사이버보안은 미 국방부의 최우선 과제이다. 방위산업의 근간을 어지럽히고 뒤흔드는 사이버 공격이 더욱더 빈번해지고 정교해짐에 따라, 미 국방부는 미 국방부에 납품하는 모든 방산업체의 사이버보안을 강화하기 위한 노력의 일환으로 CMMC 프로그램을 도입했다.
2019년, 미 국방부는 사이버보안 요건을 방산업체의 자율적인 준수에 맡겨 왔던 방식에서 벗어나 제3자 인증 또는 미 정부 인증 방식으로 전환하겠다고 발표했다. 이 방식의 전환이 CMMC 시행이다. 이후 많은 우여곡절을 거친 끝에 입법 절차를 마치고, 2024년12월16일 드디어 CMMC 프로그램은 정식 규정이 되었다 (32 CFR Part 170).
CMMC는 계층형 모델이다. 방산기업은 기밀이 아닌 민감한 정보를 민감함의 수준에 따라 점진적으로 높은 수준의 사이버보안 표준을 구현해야 한다.
CMMC는 방산업체와 그 협력업체에 공유되는 연방계약정보(FCI)와 통제 대상인 평문 정보(CUI)를 보호하기 위해 설계된 프로그램이다. 등급에 따른 보안 요건과 평가 요건은 다음과 같다.
CMMC 등급 | 보안 요건의 출처 및 개수 | 평가 요건 | 조치계획(POA&M) 요건 | 확약 요건 |
레벨 1 (자체평가) |
|
|
|
|
레벨 2 (자체평가) |
|
|
|
|
레벨 2 (C3PAO 평가) |
|
|
|
|
레벨 3 미 국방부 평가(DIBCAC) |
|
|
|
|
CMMC 프로그램의 시행은 CMMC의 계약 반영에 관한 규정(48 CFR) 개정이 발표된 날로부터 60일 후, 3년에 걸쳐 4단계로 점진적으로 시행될 예정이다.
이 점진적인 시행 계획 아래에는 단서 조항이 붙어 있다 - 일부 조달의 경우에는 계획된 단계 이전에 CMMC 요건을 부과할 수 있다는 것.
결론적으로, 시간이 많지 않다. 계획된 시행 일정에 의존하지 말고 당장 준비해야 한다. 사이버보안은 미국 조달시장 진입을 위해서라기보다 회사의 생존을 위해서도 반드시 필요한 요건임을 인식하고 회사의 사이버보안 요건을 강화할 필요가 있다.
Comments