미국의 사이버보안 인증 제도인 CMMC는 미국 방산시장 공급망에 들어가기 위한 자격 심사에 가깝다는 분석이 나온다.
미국 전쟁부(국방부)는 중국과 러시아 등의 자국 무기 정보 해킹 공격에 맞서 CMMC 인증 제도를 수년간 치밀하게 준비해 왔다. 미국은 ‘CMMC 헌법’이라고 볼 수 있는 ‘32 CFR Part 170’을 2024년 10월 공표했다. CMMC 제도의 목적, 적용 대상, 인증 수준, 평가 방식 등을 담은 기본 규정이다. 이에 대한 각론 격인 ‘48 CFR Part 204’를 지난해 9월 공표한 뒤 11월부터 바로 시행했다. 조달 계약에 CMMC 요건을 반영하기 위한 절차다.
미국은 제도만 마련한 것이 아니다. 인증심사대행기관(C3PAO), 컨설팅 기업(RPO), 공인 인증심사역(CCA·CCP), 개인 컨설턴트 자격뿐 아니라 교육기관, 강사 자격까지 일일이 세분화해 지정했다. 국내 기업이 인증을 받으려면 전 과정을 미국식 체계에 맞춰 움직여야 한다.
국내 방산업계가 CMMC를 낯설어하는 가장 큰 이유도 여기에 있다. 한국은 방위사업청, 국가정보원, 방첩사 등 정부 기관이 방산업체를 점검하는 방식에 익숙하다. 하지만 CMMC는 미국식 민간 인증 체계에 맞춰 기관 선정부터 심사 대응까지 기업이 직접 준비해야 한다. 국내 기업들이 “어느 기관을 통해 무엇부터 준비해야 하는지 모르겠다”고 호소하는 배경이다.
당장 오는 11월부터 본격화되는 CMMC 레벨 2 인증의 관건은 제3자 인증심사대행기관인 ‘C3PAO’다. CMMC 인증 기관인 전쟁부 산하 사이버AB에 따르면 C3PAO에는 100여 개 기업이 등록돼 있는데, 모두 미국 현지 기업이다. 국내 기업이 레벨 2 인증을 받으려면 결국 미국 평가 기관을 찾아 계약해야 한다. 국내 컨설팅 기업이나 로펌, 회계법인은 C3PAO를 보조하는 수준에 그치기 때문이다.
평가 기관 자체에 대한 미국 측 검증도 까다롭다. C3PAO는 외국 소유·지배·영향심사 등 미국 측의 철저한 조사를 통과해야만 설립할 수 있다. 여기서 근무하는 인력도 미국 측 보안심사와 신원 조회를 받아야 한다.
비용 부담도 적지 않다. 컨설팅 비용과 인증 비용을 합쳐 평균 5억~10억원이 드는 것으로 알려졌다. 수시로 전쟁부나 산하기관의 재조사 요구에 응해야 하는 것도 부담이 될 전망이다.
국내 회계법인이나 로펌은 미국 현지 컨설팅법인과 연계해 한국항공우주산업(KAI), LIG디펜스앤에어로스페이스(옛 LIG넥스원), 한화에어로스페이스 등의 자문 서비스에 나서고 있다. 한 기업 관계자는 “당장 의무 도입이 코앞인데 국내에는 CMMC 전문 컨설팅 기관이 한 곳도 없다”고 토로했다.
조철오/이해성 기자 cheol@hankyung.com
미국 전쟁부(국방부)는 중국과 러시아 등의 자국 무기 정보 해킹 공격에 맞서 CMMC 인증 제도를 수년간 치밀하게 준비해 왔다. 미국은 ‘CMMC 헌법’이라고 볼 수 있는 ‘32 CFR Part 170’을 2024년 10월 공표했다. CMMC 제도의 목적, 적용 대상, 인증 수준, 평가 방식 등을 담은 기본 규정이다. 이에 대한 각론 격인 ‘48 CFR Part 204’를 지난해 9월 공표한 뒤 11월부터 바로 시행했다. 조달 계약에 CMMC 요건을 반영하기 위한 절차다.
미국은 제도만 마련한 것이 아니다. 인증심사대행기관(C3PAO), 컨설팅 기업(RPO), 공인 인증심사역(CCA·CCP), 개인 컨설턴트 자격뿐 아니라 교육기관, 강사 자격까지 일일이 세분화해 지정했다. 국내 기업이 인증을 받으려면 전 과정을 미국식 체계에 맞춰 움직여야 한다.
국내 방산업계가 CMMC를 낯설어하는 가장 큰 이유도 여기에 있다. 한국은 방위사업청, 국가정보원, 방첩사 등 정부 기관이 방산업체를 점검하는 방식에 익숙하다. 하지만 CMMC는 미국식 민간 인증 체계에 맞춰 기관 선정부터 심사 대응까지 기업이 직접 준비해야 한다. 국내 기업들이 “어느 기관을 통해 무엇부터 준비해야 하는지 모르겠다”고 호소하는 배경이다.
당장 오는 11월부터 본격화되는 CMMC 레벨 2 인증의 관건은 제3자 인증심사대행기관인 ‘C3PAO’다. CMMC 인증 기관인 전쟁부 산하 사이버AB에 따르면 C3PAO에는 100여 개 기업이 등록돼 있는데, 모두 미국 현지 기업이다. 국내 기업이 레벨 2 인증을 받으려면 결국 미국 평가 기관을 찾아 계약해야 한다. 국내 컨설팅 기업이나 로펌, 회계법인은 C3PAO를 보조하는 수준에 그치기 때문이다.
평가 기관 자체에 대한 미국 측 검증도 까다롭다. C3PAO는 외국 소유·지배·영향심사 등 미국 측의 철저한 조사를 통과해야만 설립할 수 있다. 여기서 근무하는 인력도 미국 측 보안심사와 신원 조회를 받아야 한다.
비용 부담도 적지 않다. 컨설팅 비용과 인증 비용을 합쳐 평균 5억~10억원이 드는 것으로 알려졌다. 수시로 전쟁부나 산하기관의 재조사 요구에 응해야 하는 것도 부담이 될 전망이다.
국내 회계법인이나 로펌은 미국 현지 컨설팅법인과 연계해 한국항공우주산업(KAI), LIG디펜스앤에어로스페이스(옛 LIG넥스원), 한화에어로스페이스 등의 자문 서비스에 나서고 있다. 한 기업 관계자는 “당장 의무 도입이 코앞인데 국내에는 CMMC 전문 컨설팅 기관이 한 곳도 없다”고 토로했다.
조철오/이해성 기자 cheol@hankyung.com
관련뉴스
