최근 방위 산업 공급망을 겨냥한 사이버 위협이 급증함에 따라, 통제된 기밀 정보(CUI) 보호 및 연방 계약 정보(FCI)의 안전한 관리를 위한 보안 규정 준수가 필수 요소로 자리잡고 있다. 이에 따라 미국 국방부(DoD)는 일관된 사이버 보안 기준을 확립하고자 ‘사이버보안 성숙도 모델 인증(CMMC)’ 제도를 도입했으며, 이 기준은 원청 및 하청을 포함한 모든 국방부 계약업체에 적용된다. 이러한 변화는 방위 계약 입찰 자격 조건에도 직접 반영되고 있다.

그러나 다수의 계약업체들은 CMMC 준수 과정에서 상당한 어려움을 겪고 있다. 이는 레거시 시스템 유지, 부족한 내부 전문성, 빈번한 요구사항 변화, 높은 구현 비용 등이 복합적으로 작용한 결과다. 이에 따라 많은 기업들이 제도 변화에 효과적으로 대응하지 못하고 있으며, 이는 국방 계약 시장에서의 경쟁력 상실로 이어질 위험이 있다.

사이버보안 성숙도 모델 인증 준수 현실적 전략

글로벌 IT 리서치 및 자문기관 인포테크 리서치 그룹(Info-Tech Research Group)은 ‘CMMC 규정 준수의 효과적 달성(Achieve CMMC Compliance Effectively)’이라는 연구 보고서를 통해 기업을 위한 실용적 준수 전략을 발표했다. 이 연구 보고서는 계약업체가 자사의 사이버 보안 운영을 국방부 요구사항과 데이터 민감도 수준에 맞춰 조정할 수 있도록 안내한다.

보고서는 특히 인증 신청 기관(OSC)과 평가 신청 기관(OSA)이 DoD 입찰 요건에 따라 목표 인증 수준을 선택하고 관련 통제를 사전에 구현해야 한다는 점을 강조한다. 인포테크는 세부적인 레벨별 설명을 통해 계약업체가 실질적인 준비를 할 수 있도록 지원하고 있으며, 각 계약서에 명시되는 인증 요건에 맞춘 대응 전략의 수립이 필요함을 제시한다.

CMMC 레벨별 기준 및 요구사항 

연구 보고서에 따르면, CMMC는 총 4개 레벨로 구분되며, 각 레벨은 처리하는 데이터의 민감도와 인증 방식에 따라 구성된다.

레벨 1(기초, 자체 평가)은 FCI를 처리하는 기업 대상이며, 15개 기본 통제를 구현하고 매년 자체 확인 절차를 수행해야 한다. 조건부 자격은 불허된다.

레벨 2(고급, 자체 평가)는 CUI를 처리하는 기업이 대상이며, NIST SP 800-171 기준의 110개 통제를 구현해야 한다. 최소 80% 이상 점수 획득 후, 180일 내 시정 조치를 완료해야 하며, 3년 주기로 재평가가 요구된다.

레벨 2(고급, 제3자 평가)는 자체 평가와 동일한 통제를 요구하지만, 공인 제3자 평가자(C3PAO)의 공식 검증이 필수다. 일부 DoD 계약에 이 레벨이 요구된다.

레벨 3(전문가, 정부 평가)은 핵심 방위 프로그램 지원 기업이 대상이며, 레벨 2 인증 외에도 NIST SP 800-172의 24개 통제를 도입하고 국방산업기지 사이버보안평가센터(DIBCAC)의 평가를 통과해야 한다.

계약 요건 대응하는 단계별 기업 맞춤형 전략

① 데이터 민감도 분석 및 목표 인증 수준 결정

기업은 먼저 자사가 국방 계약에서 처리하게 될 데이터의 유형을 명확히 파악해야 한다. 연방 계약 정보(FCI)를 처리하는 기업은 레벨 1 인증이, 통제된 기밀 정보(CUI)를 다루는 기업은 레벨 2 이상의 인증이 요구된다. 계약 공고에서 명시된 인증 요건을 기준으로, 기업은 자사에 필요한 CMMC 인증 수준을 정확히 지정해야 한다.

② 내부 사이버 보안 역량 진단 및 통제 항목 매핑

CMMC는 각 인증 레벨별로 구현해야 하는 보안 통제 항목이 다르다. 기업은 현재 보유한 보안 정책, IT 인프라, 관리 체계를 진단하고, 요구되는 통제 항목과의 격차를 분석해야 한다. 이때, 레벨 2의 경우 NIST SP 800-171의 110개 통제를 기반으로 점검해야 하며, 조직 내 정보보안 책임자 또는 외부 전문가의 도움을 받아 매핑 작업을 수행하는 것이 효과적이다.

③ 문서화 및 증적 자료 준비

CMMC 평가에서는 보안 정책과 절차가 실제로 구현되어 있으며, 그에 대한 운영 증적이 있는지를 중점적으로 확인한다. 기업은 각 통제 항목에 대한 정책 문서, 작업 지침서, 접근 통제 로그, 교육 이력 등 모든 관련 자료를 문서화하고 체계적으로 정리해야 한다. 평가 기준별 증적 준비는 향후 제3자 인증 시 핵심 근거 자료로 활용된다.

④ 시정 조치 계획 수립 및 모의 평가 수행

자체 진단을 통해 도출된 미비점을 개선하기 위한 시정 조치 계획을 수립해야 하며, 일부 항목은 180일 이내 완료가 요구된다. 이후 공인된 제3자 평가기관(C3PAO) 또는 외부 컨설팅 기관을 통해 모의 평가를 진행함으로써 실제 인증 절차에 대비할 수 있다. 특히 레벨 2 이상을 목표로 하는 기업은 연례 자체 평가 외에도 3년 주기의 재평가 절차를 고려해 반복 가능한 대응 체계를 갖춰야 한다.

⑤ 장기적 관점의 보안 운영 체계 확립

CMMC 준수는 일회성 프로젝트가 아니라 지속적 보안 운영 역량을 요구하는 인증 체계다. 기업은 장기적인 보안 전략 수립을 통해 내부 담당자 교육, 위험 평가, 감사 대응 프로세스를 지속 운영해야 한다. 이를 통해 단기 성과 중심의 대응이 아닌, 국방 산업에서 요구하는 신뢰성과 복원력을 갖춘 공급업체로 자리매김할 수 있다.

이러한 5단계 전략은 계약 자격 유지와 더불어, 국방부 및 주요 방위 파트너로부터 신뢰를 확보하고 시장에서의 경쟁력을 지속 강화할 수 있는 핵심 기반이 된다.

인포테크 리서치 그룹의 연구 책임자 사파야트 모아하마드(Safayat Moahmad)는 “국방부에 필요한 수준의 평가나 인증이 없으면 기업은 입찰 및 수주 자격을 상실”할 수 있다고 지적하며, “사이버 보안 복원력에 적극적으로 투자하는 기업은 경쟁 우위를 확보할 수 있으며, 이는 단순한 규정 준수 이상의 전략적 가치가 있다.”라고 덧붙였다.

이번 연구 보고서는 CMMC 요구사항에 대한 기업의 대응 수준을 높이고, 국방 산업에서의 사업 기회를 확보하고자 하는 기업들에게 실질적이고 단계적인 전략을 제공하는 자료로 평가된다. 인포테크는 향후 규정 변화에 발맞춰 지속적인 업데이트와 분석 자료를 통해 글로벌 방위 산업 공급망의 보안 수준 제고를 지원할 계획이다.

[알림] GTT KORE GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFPdoor 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPFdoor 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.