국내 방산업계가 미국 CMMC(사이버보안 성숙도 인증) 의무화를 앞두고 뒤늦게 비상이 걸린 건 정부 책임이 크다는 지적이 나온다. 미국 연방정부가 2019년 CMMC 도입을 예고했는데도 제대로 대응하지 못해 벌어진 ‘국방 외교 참사’라는 말이 나온다.
17일 방산업계에 따르면 CMMC 세부 사항이 국내에 알려지기 시작한 건 2021~2022년이다. 한국 방위사업청은 비슷한 시기 일부 대학에 CMMC 관련 연구용역을 발주하고 대응에 나섰다. 국군방첩사령부 산하 국방보안연구소도 2023년 8월 “(중국과 러시아, 북한 등의) 공급망 공격 등 사이버 위협에 대응하고 ‘진정한 방산 시장’인 미국에 진출하기 위해선 CMMC와 상호인정협정(MRA) 체결이 이뤄져야 한다”고 했다. 미국 보안 인증 체계를 국내 인증 체계로 대체할 수 있도록 정부가 나서야 한다는 얘기였다.
하지만 CMMC의 MRA 체결을 지원해야 할 외교부는 CMMC를 제대로 인지조차 못하고 있다. 외교부 북미국엔 한미안보협력 1·2과, 국제안보국엔 국제안보사이버협력과·팀이 있다. 국제안보국 A과장은 “CMMC를 들어본 적이 없다”고 했다. 북미국 B과장은 “함정정비협약(MSRA)은 다루지만 CMMC에는 관여하지 않는다”고 했다. MSRA는 미 해군이 해외 조선소·정비업체와 함정 유지·보수(MRO) 작업을 하기 위해 체결하는 기본 계약을 말한다.
미국 전쟁부(국방부)가 발주하는 공급망을 두고 경쟁하는 관계인 일본과 캐나다, 이스라엘 등 다른 미국 우방국은 CMMC와 거의 똑같은 자국 내 인증 제도를 수립한 것으로 알려졌다. 한 방산 전문가는 “이들 국가는 CMMC와 MRA를 한국보다 훨씬 먼저 체결할 가능성이 높다”며 “앞으로 한국이 미국의 방산 시장 ‘메인스트림’에서 배제되는 심각한 상황이 벌어질 수 있다”고 우려했다.
한 로펌 관계자는 “국방부와 방사청의 긴장 관계도 CMMC 대응이 늦어진 원인 중 하나로 보인다”며 “방산업계의 CMMC 혼선을 줄이기 위해 정부가 나서야 한다”고 말했다.
이해성 기자 ihs@hankyung.com
17일 방산업계에 따르면 CMMC 세부 사항이 국내에 알려지기 시작한 건 2021~2022년이다. 한국 방위사업청은 비슷한 시기 일부 대학에 CMMC 관련 연구용역을 발주하고 대응에 나섰다. 국군방첩사령부 산하 국방보안연구소도 2023년 8월 “(중국과 러시아, 북한 등의) 공급망 공격 등 사이버 위협에 대응하고 ‘진정한 방산 시장’인 미국에 진출하기 위해선 CMMC와 상호인정협정(MRA) 체결이 이뤄져야 한다”고 했다. 미국 보안 인증 체계를 국내 인증 체계로 대체할 수 있도록 정부가 나서야 한다는 얘기였다.
하지만 CMMC의 MRA 체결을 지원해야 할 외교부는 CMMC를 제대로 인지조차 못하고 있다. 외교부 북미국엔 한미안보협력 1·2과, 국제안보국엔 국제안보사이버협력과·팀이 있다. 국제안보국 A과장은 “CMMC를 들어본 적이 없다”고 했다. 북미국 B과장은 “함정정비협약(MSRA)은 다루지만 CMMC에는 관여하지 않는다”고 했다. MSRA는 미 해군이 해외 조선소·정비업체와 함정 유지·보수(MRO) 작업을 하기 위해 체결하는 기본 계약을 말한다.
미국 전쟁부(국방부)가 발주하는 공급망을 두고 경쟁하는 관계인 일본과 캐나다, 이스라엘 등 다른 미국 우방국은 CMMC와 거의 똑같은 자국 내 인증 제도를 수립한 것으로 알려졌다. 한 방산 전문가는 “이들 국가는 CMMC와 MRA를 한국보다 훨씬 먼저 체결할 가능성이 높다”며 “앞으로 한국이 미국의 방산 시장 ‘메인스트림’에서 배제되는 심각한 상황이 벌어질 수 있다”고 우려했다.
한 로펌 관계자는 “국방부와 방사청의 긴장 관계도 CMMC 대응이 늦어진 원인 중 하나로 보인다”며 “방산업계의 CMMC 혼선을 줄이기 위해 정부가 나서야 한다”고 말했다.
이해성 기자 ihs@hankyung.com
관련뉴스
