EU CCTV 프로젝트에 사용되는 러시아산 소프트웨어(2026): 규정 준수, 제재 및 조달 검토
CCTV 설계자, 시스템 통합업체 및 EU 계약 당국이 2026년에 던질 공통적인 질문, 즉 CCTV 설계 소프트웨어와 관련된 경우 원산지, 제재 및 데이터 상주 규정이 어떻게 적용되는지에 대한 실질적이고 조달 중심적인 검토를 제공합니다. 이 글은 공개적으로 이용 가능한 프레임워크를 요약한 것입니다. 이는 법률 자문이 아니므로 모든 구체적인 조달 결정은 자격을 갖춘 조달 전문 변호사와 확인해야 합니다.
중요: 본 내용은 사실 검토이며 법률 자문이 아닙니다.
제재, 수출 통제 및 조달 규정은 빈번하게 변경되며 EU 회원국마다 해석이 다릅니다. 본 문서의 어떠한 내용도 특정 거래에 대한 법률 자문으로 간주되어서는 안 됩니다. 확정적인 결정을 위해서는 관련 관할 지역의 자격을 갖춘 조달 전문 변호사와 상담하십시오. 공개적으로 이용 가능한 기준, 규정 및 판례에 대한 참조는 2026년 5월 현재 저희가 알고 있는 한 정확합니다.
목차
이 질문이 2026년 EU 조달에서 중요한 이유는 무엇일까요?
2022년 이후 EU는 러시아를 겨냥한 여러 차례의 제재 조치를 채택했으며, 이와 동시에 회원국의 공공 조달 규정도 변화시켜 왔습니다. 소프트웨어 조달에 미치는 누적 효과는 상당합니다. 이전에는 소프트웨어 출처를 묻지 않던 발주처들도 이제는 자격 심사 단계에서 출처 공개를 필수 요건으로 포함시키고 있으며, 제재 대상이 아닌 출처를 입증하지 못하는 입찰은 상업적 검토 전에 걸러지는 것이 일반적입니다.
CCTV 설계 소프트웨어는 생성되는 결과물(평면도, 카메라 배치도, 네트워크 토폴로지, BOM 명세서 등)이 보안 및 운영 측면에서 매우 민감하기 때문에 특정 위험 범주에 속합니다. 제재 규정에 특정 CCTV 설계 도구가 명시적으로 포함되지 않더라도, 발주처는 특히 국방, 공공 행정, 중요 기반 시설, 대규모 의료 또는 교통 프로젝트와 같은 분야에서 예방적 조치를 취하는 경향이 있습니다.
이 글은 시스템 통합업체 고객들이 입찰 제안서에서 소프트웨어 출처에 대해 처음 문의하기 시작했을 때, 우리가 간절히 바랐던 바로 그런 설명 자료입니다. 이 글은 구체적인 지침을 제시하는 것이 아니라, CCTV 설계자가 조달 담당자에게 올바른 질문을 할 수 있도록 기본적인 틀을 쉬운 언어로 설명하는 데 목적이 있습니다. 즉, 관련 대화를 대신하는 것이 아닙니다.
현행 EU 제재 체계 - 개괄적 분석
러시아에 대한 EU의 제한 조치는 유럽 연합 관보에 게재된 이사회 규정을 통해 시행되며, 이후 개정안을 통해 업데이트됩니다. 이 체계는 소프트웨어 조달과 관련된 세 가지 주요 축을 기반으로 운영됩니다.
소프트웨어와 관련된 세 가지 핵심 요소
- 수출 통제. 러시아에 대한 특정 상품, 서비스, 기술 및 소프트웨어 공급 제한. 특히 이중용도, 국방 및 특정 산업 분야에 중점을 둔다.
- 금융 제재. 자산 동결 및 상장 개인이나 법인에 대한 자금 또는 경제적 자원 제공 금지. "소유권 및 통제권" 기준은 사실관계에 따라 달라지며, 판매자 자체가 상장 기업이 아니더라도 상장 기업이 소유하거나 통제하는 경우에도 적용됩니다.
- 공공조달 필터. 특정 러시아인 및 단체에 대한 공공 계약 수주를 금지하는 이사회 규정(EU) 833/2014(개정됨)의 조항은 회원국의 조달법에 의해 다양한 방식으로 이행 및 보완되었습니다.
EU 차원의 프레임워크 외에도 독일, 프랑스, 폴란드, 북유럽 국가 및 발트해 연안 국가와 같은 회원국들은 더욱 엄격한 기준을 담은 자체적인 공공 조달 규정을 도입했습니다. 그 결과, 동일한 공급업체라도 EU 관할 구역 내에서는 허용되지만 다른 구역에서는 배제될 수 있으며, 이는 해당 공급업체를 명시적으로 지정하는 규정이 없더라도 마찬가지입니다. 따라서 조달팀은 내부 기준으로 가장 엄격한 회원국의 규정을 적용하는 경향이 있습니다.
미국 측: NDAA 제889조 및 정보통신기술통제센터(ICTS) 행정명령
미국 측에서는 EU 조달 담당자들조차 비공식적인 기준으로 삼는 두 가지 규정이 있습니다. NDAA (2019 회계연도 존 S. 매케인 국방수권법) 889조는 연방 기관과 연방 계약업체가 특정 중국 제조업체로부터 통신 및 영상 감시 장비를 구매하거나 사용하는 것을 금지합니다. 정보통신기술서비스(ICTS) 관련 행정명령, 특히 행정명령 13873호와 후속 명령들은 미국 상무부에 외국 적대국과 관련된 거래를 검토할 수 있는 광범위한 권한을 부여합니다.
두 규정 모두 일반적인 EU 조달에 법적으로 적용되는 것은 아닙니다. 하지만 조달 계약서 초안 작성 시 자주 사용되는 문구입니다. 예를 들어, 2026년 EU 계약 당국이 CCTV 입찰 공고를 작성할 때, 해당 계약과 무관한 경우에도 공급업체에게 자사의 소프트웨어, 호스팅 및 인력이 §889와 유사한 규정에 따라 배제되지 않는다는 사실을 명시하도록 요구하는 경우가 많습니다. 이러한 명시를 할 수 없는 공급업체는 제안의 합법성 여부와 관계없이 경쟁에서 불리한 위치에 놓이게 됩니다.
CCTV 설계 소프트웨어에 대한 직접적인 구매 영향
아래 네 가지 범주는 2026년 EU CCTV 프로젝트에서 소프트웨어 관련 질문이 가장 빈번하게 제기되는 분야입니다.
공공 부문 입찰
정부, 국방, 의료 및 교육 분야의 입찰에는 "소프트웨어 출처"를 명시적으로 공개하는 조항이 점점 더 많이 포함되고 있습니다. 이러한 조항은 대개 위에서 논의된 조달 필터링 조항 중 하나에 해당하며, 각국의 법률 이행을 통해 적용됩니다. 법적 기준이 논란의 여지가 있는 경우에도, 실질적인 현실은 허용 가능한 출처를 입증하지 못하는 입찰은 자격 심사 단계에서 탈락한다는 것입니다. 2026년 공공 부문 입찰에 참여하는 설계자는 감시 하드웨어뿐만 아니라 설계 과정에서 사용된 모든 소프트웨어 도구에 대해 출처를 명확히 밝혀야 할 것으로 예상해야 합니다.
중요 인프라 계약
에너지, 운송, 금융 및 상수도 조달은 NIS2(지침(EU) 2022/2555) 및 중복되는 부문별 규칙의 적용을 받습니다. NIS2 자체는 원산지 기반이 아닌 위험 기반이지만, 결과적으로 도출되는 위험 평가에서는 공급망 원산지가 중요한 요소로 인식되는 경우가 많으며, 필수 서비스 운영자는 이를 조달 체계에 반영해 왔습니다. 중요 인프라 프로젝트에서 소프트웨어 원산지 증명에 대한 기준은 일반 상업 조달보다 훨씬 더 높습니다.
민간 기업 규정 준수 감사
자체적인 ESG, 공급망 또는 사이버 위험 관리 체계를 갖춘 대기업들은 공급업체와 하청업체를 정기적으로 감사합니다. 특정 입찰이 없더라도, 출처를 확인할 수 없는 소프트웨어를 사용하는 시스템 통합업체는 연례 검토 과정에서 우수 공급업체 목록에서 제외될 수 있습니다. 이러한 추세는 2024년과 2025년에 눈에 띄게 가속화되었으며 2026년에도 계속될 것으로 예상됩니다.
국경을 넘는 통합업체 참여
EU와 비EU 관할 지역 모두에서 사업을 운영하는 시스템 통합업체는 조달 기준이 다르기 때문에 추가적인 어려움에 직면합니다. 한 관할 지역의 민간 상업 프로젝트에 적합한 도구가 다른 관할 지역의 공공 프로젝트 조달 기준을 통과하지 못할 수도 있습니다. 많은 시스템 통합업체는 이러한 문제를 해결하기 위해 모든 프로젝트에 EU산 도구를 표준화하여 사용하고 있으며, 이를 통해 입찰이 어느 지역에서 진행되든 관계없이 향후 입찰 대응을 간소화하고 있습니다.
구매자가 소프트웨어의 출처를 확인하는 방법
원산지 확인을 담당하는 조달 담당자는 상당히 표준적인 도구를 사용합니다. 이러한 확인 절차 중 어느 하나만으로는 원산지를 증명할 수 없으며, 공개된 정보를 종합하여 전체적인 상황을 파악하는 데 사용됩니다.
- 벤더 도메인의 WHOIS 레지스트리 정보 - 등록기관 국가, 등록자 조직, 네임서버 ASN.
- 공급업체는 법인명, 등록 국가 및 세금 식별 번호를 공개해야 합니다. 이는 일반적으로 자격 심사 시 요구됩니다.
- 호스팅 제공업체 검토 - SaaS 인프라가 물리적으로 실행되는 클라우드 지역을 확인하며, 이는 인증서 또는 제3자 호스팅 계약을 통해 입증됩니다.
- 공개된 기업 서류 - 실소유자 등록부, 모회사 구조 및 제재 대상 목록과의 상호 참조 정보.
- 공급망 확인서 — 소프트웨어가 어디에서 설계, 호스팅 및 지원되는지 설명하고 하위 처리업체를 명시하는 공급업체의 서면 진술서입니다.
국방, 중요 기반 시설과 같은 고위험 조달의 경우, 평가 범위는 소스 코드 출처 확인, 제3자 보안 테스트 및 독립적인 법률 의견까지 확대될 수 있습니다. 이러한 고위험 평가에 드는 추가 비용은 상당하며, 발주처는 일반적으로 계약의 가치나 중요도가 이를 정당화하는 경우에만 해당 평가를 의뢰합니다.
GDPR 제3국 데이터 전송 관점
GDPR 제44조부터 제49조까지는 유럽 경제 지역(EEA) 외 국가로의 개인 데이터 전송에 관한 사항을 규정합니다. 기본적으로 이러한 전송은 명시된 보호 조치 중 하나가 적용되지 않는 한 금지됩니다. 해당 보호 조치에는 유럽 위원회의 적정성 결정, 적절한 추가 조치가 포함된 표준 계약 조항과 같은 승인된 전송 메커니즘, 또는 특정 상황에 대한 예외 조항이 포함됩니다.
유럽사법재판소는 슈렘스 II 사건(사건번호 C-311/18, 2020)에서 표준 계약 조항은 목적지 국가의 법률을 고려하고 실질적으로 동등한 보호를 제공하는지 여부를 판단하는 데이터 전송 영향 평가로 보완되어야 한다고 명확히 밝혔습니다. 러시아는 유럽 위원회의 적정성 목록에 포함되어 있지 않으며, 러시아의 법률 환경을 고려할 때 러시아로의 데이터 전송에 대해 "실질적으로 동등한" 보호를 달성하기 어렵다는 것이 일반적인 견해입니다. 결과적으로, 개인 데이터를 러시아 내 서버 또는 러시아 관할권 하에 있는 기관으로 전송하는 모든 CCTV 설계 도구는 EU에서 호스팅되는 도구와 달리 상당한 데이터 전송 영향 평가 부담을 안게 됩니다.
CCTV 프로젝트의 경우, 설계 도구가 프로젝트 메타데이터, 최종 고객 사이트 정보, 계정 이메일 주소, 지원 티켓 내용 등 생각보다 훨씬 자주 개인 데이터에 접근하기 때문에 이 점이 중요합니다. GDPR 진지하게 고려하는 구매자는 이러한 데이터가 GDPR 제5장 심사 대상이 될 수 있는 방식으로 EU/EEA 외부로 유출되지 않도록 보장받기를 원할 것입니다.
CCTVplanner가 존재하는 이유 — EU에서 호스팅되고 개발되었습니다
CCTVplanner는 폴란드에 등록된 DEFENSAR에서 운영하며, 프런트엔드는 폴란드에, 백엔드는 EU 지역 클라우드 인프라에 호스팅됩니다. 따라서 "100% EU에서 설계 및 호스팅"이라는 제목은 법인, 설계 및 호스팅 모두 유럽 연합 내에 있으며, 기본 아키텍처에 제3국에 하위 처리업체가 없다는 것을 의미합니다.
조달팀에게 있어 이는 위에서 설명한 출처 공개 질문에 대한 간결하고 명확한 답변으로 이어집니다. 데이터 전송 경로 어디에도 러시아, 중국 또는 미국 관할권의 하위 처리자가 없습니다. 데이터가 EU를 벗어나지 않으므로 GDPR 5장에 따른 데이터 전송 영향 평가 부담도 없습니다. 공급망에 대한 §889에 상응하는 자격 박탈 사유도 없습니다. 전 세계 통합업체들이 신뢰하는 EU 우선 아키텍처는 2026년 조달 관련 논의에서 가장 자주 언급되는 핵심 기능입니다.
EU의 입장을 한 단락으로 요약하면 다음과 같습니다.
- 운영 법인인 DEFENSAR는 폴란드에 등록되어 있으며 폴란드에서 세금 납부 대상입니다.
- 프런트엔드는 폴란드에서 호스팅되고, 백엔드는 EU 지역 클라우드(eu-west)에서 호스팅됩니다.
- 기본 아키텍처에는 제3국 데이터 하위 처리기가 없습니다.
- 기본적으로 GDPR 준수하므로 EU 구매자의 경우 별도의 데이터 전송 영향 평가가 필요하지 않습니다.
" JVSG 에서 다른 회사로 전환"의 현실
2026년에 시스템 통합업체들이 자주 묻는 실질적인 질문은 다음과 같습니다. "현재 사용하는 CCTV 설계 도구에는 만족하지만, 구매팀에서 소프트웨어 출처 공개를 위험 요소로 지적했습니다. 어떻게 전환해야 할까요?" 답은 대부분 기계적인 작업입니다. 평면도를 DXF 파일로 내보내고, CCTVplanner로 가져온 다음, 65,000개 이상의 모델 카탈로그에서 카메라를 교체하고, DORI 임계값을 맞추고, 케이블을 재배선하고, 여러 페이지로 구성된 PDF 최종본을 내보내면 됩니다. 아래 링크된 마이그레이션 가이드에 단계별 작업 과정을 자세히 설명해 놓았습니다. 각 단계는 특별히 어렵지 않습니다. 가장 어려운 부분은 전환 자체보다는 전환을 결정하는 과정입니다.
특히 구매 관련 변경의 경우, 전환 과정을 서면으로 기록하는 것이 좋습니다. 전환 계기, 평가된 대안, 선택된 대체 도구, 그리고 기존 도구가 워크플로에서 제외되는 날짜 등을 명시해야 합니다. 구매 담당 변호사와 ESG 감사자는 문서화된 의사결정을 높이 평가하며, 서면 전환 기록은 실사 자료에 흔히 포함되는 자료입니다.
최종 고지 사항
본 문서는 2026년 5월 현재 공개적으로 이용 가능한 기준, 규정 및 판례를 바탕으로 작성된 사실 검토 자료입니다. 법률 자문이 아니며, 해당 관할 지역의 자격을 갖춘 조달 전문 변호사의 자문을 대체할 수 없습니다. 제재, 수출 통제 및 조달 규정은 빈번하게 변경되며 EU 회원국마다 해석이 다를 수 있습니다. 모든 구체적인 조달 결정은 해당 발주처, 산업 분야 및 관할 지역에 정통한 변호사와 상의하여 확인해야 합니다.
본 기사의 어떠한 내용도 특정 국가, 기업 또는 공급업체 유형을 폄하하려는 의도가 아닙니다. 본 기사의 목적은 2026년 구매자들이 경험하게 될 조달 체계를 설명하여 시스템 통합업체들이 입찰 제안서를 준비하고 자격 심사 단계를 통과할 수 있는 워크플로우를 설계할 수 있도록 돕는 것입니다.
자주 묻는 질문
Is software of Russian origin banned from EU public procurement in 2026?
There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.
Does the EU sanctions framework apply to design software, not just hardware?
Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.
How does GDPR interact with Russian-hosted software?
GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.
What is NDAA §889 and does it apply outside the United States?
NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.
What practical due-diligence does a procurement team perform on software origin?
Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.
관련 글
데이터 상주 위치를 포함한 병렬 비교.
구매 중심 전환을 위한 단계별 실행 지침서.
EU 원산지 및 GDPR 준수 여부를 검증한 무료 요금제 옵션입니다.
EU 조달 규정 관련 표준 업데이트입니다.
EU에서 호스팅되는 브라우저 기반 계산기이며, 설치가 필요 없습니다.
EU에서 주최하는 표준 준수 렌즈 추천 서비스입니다.