최근 유럽 연합(EU)이 사이버 복원력 법안(CRA)을 도입해 사이버 보안 법규를 강화하고 있다. 이 법안은 유럽 연합에서 판매되는 디지털 요소(PDE)를 포함하는 하드웨어 및 소프트웨어 제조업체가 제품 수명 주기 전반에 걸쳐에 통합적이고 철저한 사이버 보안 접근 방식을 요구하는 법적 프레임워크다.

그러나 이로 인해 기업은 제품의 보안성을 입증하고, 공급망 전반에 걸친 보안 프로세스를 강화해야 하는 부담을 안게 된다. 특히 중소기업은 규제 준수를 위한 추가적인 비용, 기술 전문성 부족, 그리고 복잡한 인증 절차로 인해 어려움을 겪고 있다. 또한, 규제를 준수하지 않을 경우 발생할 수 있는 법적 제재와 평판 손실 역시 기업에 큰 리스크로 작용된다.

이런 상황에서 소프트웨어 기업이 고객을 대상으로 보안 지원을 강화하면 CRA 준수를 위한 실질적인 해법을 제공할 수 있다. 예컨대, 자동화된 보안 업데이트 제공, 취약점 관리 솔루션, 그리고 규제 준수를 돕는 컨설팅 서비스는 고객의 부담을 줄이는 데 큰 도움을 준다. 이를 통해 소프트웨어 기업은 고객 충성도를 높이고 장기적인 신뢰를 구축할 수 있다. 또한, 이러한 지원은 기업의 서비스 차별화 요소로 작용해 시장에서 경쟁력을 강화하며, 규제 환경 속에서도 지속 가능한 비즈니스 성장을 유지할 수 있다.

애플리케이션과 기기 인터페이스 개발 글로벌 플랫폼 업체 Qt그룹(Qt Group)이 사이버복원력법(CRA) 준수를 위해 자체 개발 소프트웨어 개발 솔루션 Qt 프레임워크의 장기 지원 정책(LTS) 기간을 3년에서 5년으로 연장한다고 5일 밝혔다.

CRA의 핵심 중 하나는 제품의 전체 수명 주기 동안 보안 업데이트를 제공해야 한다는 점이다. Qt그룹은 제품 및 솔루션이 CRA를 준수하고 고객의 규정 준수를 지원하기 위해 Qt 6.8 버전부터 모든 릴리스에 대해 LTS를 3년에서 최대 5년으로 연장한다.

LTS 기간을 연장하면 보안이나 성능 저하 문제 없이 충분한 시간을 두고 고객의 업그레이드 계획을 지원할 수 있다. 이는 예측 가능한 지원 체계를 제공해 제품 수명 주기 전반에 걸쳐 안전하고 안정적인 프로젝트 운영을 보장한다. 이를 통해 고객이 CRA에 부합하는 보안 및 품질 관리 전략을 수립하고, 보다 긴 제품 수명 주기가 필요한 프로젝트를 개발하도록 지원할 수 있다.

CRA의 보안 및 취약점 관리 요건을 준수하기 위해 Qt 프레임워크의 프로토콜 및 방식을 강화했다. 보안 문제가 발견되면 실제 보안 위협 해당 여부를 평가하고 확인된 보안 문제를 즉시 조치하며 심각성에 따라 우선 대응한다. 확인된 모든 보안 이슈는 문서화된다. 공개 CVE(Common Vulnerabilities and Exposures) 데이터베이스에 기록되고, 이에 대한 사전 통지를 위해 고객에게 EWL(Early Warning List)을 제공한다.

최근 CRA 및 미국 행정명령 및 지침에서 소프트웨어 자재 명세서(SBOM)를 요구하고 있다. 이에 Qt그룹은 Qt 6.8 LTS에서 표준 형식의 SBOM 문서를 제공하고 추후 전체 제품 포트폴리오에 걸쳐 추가적인 문서 개발을 진행할 계획이다.

Qt그룹 이규훈 지사장은 “새로운 AI 기술이 등장하고 복잡한 연결이 가능해지면서 사이버 위협은 점점 빠르게 진화하며 적응력이 높아지고 있다.”라며, “안전하고 안정적인 인프라를 제공하기 위해서는 소프트웨어 개발 단계에서부터 디지털 보안 규정을 준수한 개발 프레임워크 및 툴을 사용해야 한다.”라고 말했다.