미 국방부, “외국기업에도 사이버보안 성숙도 모델 인증(CMMC) 요구할 것”
[뉴스투데이=김한경 기자] 미 국방부가 자국기업은 물론 미국에 진출하려는 외국기업에게도 ‘사이버보안 성숙도 모델 인증’(CMMC)을 요구할 것이란 주장이 제기됐다.
25일 한국방위산업진흥회(이하 방진회)가 주관한 ‘2021년 방산수출 워크숍’에서 이민재 TQMS 대표는 사이버보안 성숙도 모델 인증 프레임워크인 CMMC(Cybersecurity Maturity Model Certification) 제도를 소개하면서 미 국방부의 답변 내용을 토대로 이같이 주장했다.
미 국방부는 CMMC 적용을 묻는 질의에 “국제 파트너와 협력하여 사이버보안과 관련된 협정을 체결하고 미국 방위산업을 지원하는 외국 기업이 민감한 국가안보 정보를 보호할 수 있는 체계를 갖추도록 할 계획”이라며 “이러한 협정은 외국기업에 대한 CMMC의 적용을 다루는 프레임워크를 확립할 것이며 협정 이행은 규칙 제정 과정을 통해 이뤄질 것”이라고 답했다.
이 대표는 “이러한 답변이 미국에 진출하려는 외국기업에게도 조만간 CMMC 인증을 요구하겠다는 얘기”라고 말했다. CMMC는 미 국방부가 악의적인 사이버 범죄로부터 지적 재산과 민감한 정보를 보호하기 위해 카네기멜론대학 소프트웨어공학연구소와 존스홉킨스대학 응용물리연구소에 의뢰해 개발한 사이버보안 성숙도 모델 인증 프레임워크이다.
CMMC는 미 국방부가 정한 사이버보안의 표준으로 지난해 9월 CMMC 1.0 임시 규칙이 발표됐다. 이후 올해 3월까지 방산업계로부터 850개 이상의 의견을 수렴하고 개정을 위한 내부 검토를 진행해왔다. 그 결과 11월 초순에 개정판 프로그램 구조와 요구사항이 담긴 CMMC 2.0이 발표됐다.
이 대표의 설명에 따르면, CMMC 2.0은 조직의 사이버보안 성숙도 수준을 3개 등급으로 구분하여 인증을 부여한다. 연방계약정보만 취급하면 자체평가를 하는 1등급(기본)을 요구하고, 기밀은 아니지만 보호가 필요한 ‘통제필요정보’까지 다룰 경우 제3자가 평가하는 2등급(고급)을 최소한 요구한다. 1등급은 17개의 프랙티스(이행요건)을, 2등급은 110개를 충족해야 한다.
최상 등급인 3등급의 경우 미 정부가 직접 평가를 주도하고 110개 이상의 프랙티스를 충족해야 하지만 아직 구체적인 평가 내용이 확정되지 않은 상태다. 이 대표는 “1등급 및 2등급에 대한 모델과 평가지침은 앞으로 몇 주 이내에 미 국방부가 웹사이트를 통해 공개할 예정이며, 3등급도 준비되는 대로 공개한다는 입장”이라고 전했다.
미 국방부는 CMMC 제도 운영을 위해 CMMC 인정기관인 ‘CMMC-AB(Accreditation Body)’를 지난해 1월 설립했다. 또 CMMC-AB로부터 권한을 부여받은 CMMC 인증기관인 ‘C3PAO’도 만들었다. C3PAO는 공인 CMMC 평가사 양성과 CMMC 인증을 필요로 하는 조직을 대상으로 인증 평가를 수행한다.
이 대표는 “CMMC 인증 평가를 받으려는 조직은 최소 6개월 전에는 준비를 시작해야 한다”면서 “평가는 문서 검토, 주요 업무 담당자에 대한 면접, 데모 및 시험으로 진행된다”고 설명했다. 그는 “데모나 시험은 요구되는 이행요건(프랙티스)이 실제로 수행되었는지 입증이 필요할 때 공인 CMMC 평가사가 결정한다”고 덧붙였다.
이 대표는 CMMC 제도 소개를 마치면서 “오늘 발표가 미 국방부의 CMMC 제도에 대한 이해를 통해 국내 방산기업은 향후 무엇을 준비해야 하는지에 대한 통찰력을 얻는데 도움을 주기 위한 것”이라고 말했고, 워크숍을 주관한 방진회와 방산수출을 담당하는 방위사업청 국제협력관실도 이 분야에 지속적인 관심을 갖겠다고 밝혔다.
CMMI 선임심사원이기도한 이 대표는 국내 70여개 기업에 대한 CMMI 프로세스 개선 컨설팅과 인증심사 경험을 바탕으로 국가 사이버안보 역량 강화를 위한 사이버보안 모델 연구에 매진하고 있으며, 현재 방위사업청이 발주한 K-CMMC 관련 연구과제도 수행 중이다.