한국방위산업진흥회 [국방과기술] 매거진 2023년 6월호에 기고된 글이다.
*저작권을 고려하여 글의 일부만 게시합니다.
2020년 미 국방부의 CMMC 제도(사이버보안 성숙도 모델 인증) 1 제도가 발표된 이후, 미국
방산기업들은 발등에 불이 떨어졌다. 그동안 유명무실했던 사이버보안 준수 요건들에 안일하게 대처해오던 많은 방산기업들은 뒤통수를 맞은 듯한 분위기이다. 규정에는 있었지만 준수하지 않더라도 계약에 문제가 없었던 사이버보안 조항이 CMMC 제도 도입과 함께 실질적으로 시행되기 시작했기 때문이다. 더우기 규모에 관계 없이 중소기업이 사이버요건 준수를 위해 준비하는 데만도 수 개월에서 수 년이 걸리고 수 억원의 비용이 든다는 항간의 소문에 규모가 작은 중소기업들은 회사의 미래를 두고 고민하지 않을 수 없다. 미국 사정이야 어떻든 왜 다른 나라의 제도에 우리가 주의를 기울여야 할까?
CMMC제도는 국방 조달에 참여하는 모든 기업들에게 적용된다는 점에서 미국 방산 시장 진입을 목표로 하는 한국 정부와 방산 기업 모두에게 지대한 관심사항이 될 수 밖에 없다. 문제는 미 국방부가 2020년 CMMC 제도를 처음 공개한 후 2021년 11월에 CMMC 2.0을 발표했지만, 아직까지 정부입법 (rule-making) 절차가 완료되지 않아 미국에서도 시행되지 않고 있어 불명확한 점들이 많다는 점이다. 현재 2024년이나 늦어도 2025년 중에 시행될 것으로 예상하고 있다. 이처럼 미국에서조차 정착되지 않은 제도이다 보니 우리나라 방산업계에도 많은 잘못된 정보들이 떠돌고 있어, 자칫 정책결정자들이나 방산기업들이 오판을 하고 적시에 제대로된 준비와 조치를 하지 않아 나중에 한국의 방위산업에 부정적인 영향을 끼칠까 우려스럽다. 이에 필자는 CMMC 제도가 무엇인지 살펴보고 CMMC 에 대한 대비책 마련을 촉구하고자 한다.
CMMC란
CMMC는 미 국방부에 납품하는 30만여 방산 기업들을 대상으로 연방정부의 민감한 정보에 대한 사이버보안 준수 여부를 미 국방부가 평가하고 인증하겠다는 의지를 담은 신설 제도이다. 보호 대상 정보의 중요도에 따라 기초, 고급, 전문가 수준으로 분류되며, 수준이 높아질수록 이행과제의 수와 난이도가 증가한다.
무엇을 보호하기 위한 제도인가?
CMMC에서 보호하려는 정보는 연방정부의 ‘대외비’이다. 국가 기밀은 엄격한 통제와 관리를 받으며 보호되지만, 상대적으로 덜 중요한 민감한 정보에 대한 보호가 충분히 이루어지지 않고 있는 상황에서 지식재산과 민감한 정보가 적대국들로 유출되어 국가안보 위협과 막대한 경제적 피해를 일으킴에 따라 보호를 강화하려는 조치인 것이다. 대외적으로 공개가 허용된 정보는 CMMC 보호 대상이 아니다.
연방정부 정보는 연방정부에서 소유한 정보 및 계약업체의 계약에 따라 미 정부를 위해 생성한 정보를 모두 포함한다. CMMC에서 다루는 연방정부 정보는 연방계약정보
(FCI)와 통제된 평문정보(CUI)로 구분된다. 연방정부 정보인데 대외적으로 공개되지 않으면 FCI이고, FCI 중에서도 ‘법, 규정, 정책에 따라’ 보호하고 배포가 제한되면 CUI이다. CUI 중에서도 보호를 요구하지만 특정 보호 방법이 지정되어 있지 않으면 일반 CUI (CUI Basic), 구체적인 보호방법이 지정되어 있으면 지정 CUI(CUI Specified)라고 한다. 인증 수준이 올라갈수록 지정 CUI 취급과 관계된다.
CUI는 미 연방정부가 각기 다른 명칭과 분류체계를 가졌던 연방 부처간 대외비 관리시스템을 통일하면서 만든 신조어이다. 방위산업 관계자들이 주로 접하는 CUI는 통제대상 기술정보(CTI)2나 수출통제 대상 정보이다. 연구개발자료, 도면, 시방서, 표준, 사용설명서 등이 대표적인 통제 대상 기술정보에 속한다.
미국 방산기업으로부터 고급 수준 인증을 요구받은 한국 공급업체의 입장에서 가장 중요한 것은 계약서 상에 나타난 정보의 수준이다. 한국 공급업체는 반드시 계약서에 CUI가 포함되어 있는지, 그리고 그것이 계약 이행에 필요한 정보인지를 확인할 필요가 있다. 계약 이행에 필요한 정보가 아니라면 받지 않음으로써 CMMC 범위 대상을 줄일 수 있다. 만일 한국 공급업체가 CUI를 보유하고 있지 않으면 고급 수준 인증 대상이 되지 않는다. CMMC의 목적은 미국 정부의 민감한 정보를 보호하는 데 있음을 유념해야 한다.
CMMC와 NIST SP 800-171 의 관계는?
CMMC 평가는 미 상무부 산하 국가표준기술원(NIST)에서 수립한 NIST SP 800-171표준에 따라 수행된다. NIST SP 800-171은 방산업체에서 CUI를 처리, 저장 또는 전송할 때 준수해야 하는 사이버보안 요건이다. NIST 요건을 100% 충족해야만이 고급수준의 CMMC 인증을 받을 수 있다.
많은 이들이 아직 CMMC가 시행되지 않고 있으니 NIST 요건 역시 시행되지 않고 있으리라고 단정한다. 그러나 NIST요건은 CMMC와 별개로 이미 지난 2017년에 미 국방조달규정에 반영되어 시행되고 있다. 기업들은 NIST 표준에 따라 사이버보안 자체 평가를 수행하고 그 평가 결과를 미 국방공급업체의 계약이행 관련 리스크 통합정보시스템(SPRS)[1]에 게시할 의무를 갖는다. 따라서 CMMC 시행 시기와 관계 없이 미 국방부의 계약업체는 NIST 요건을 준수해야 한다. 미 국방부 CMMC 관계자에 따르면, NIST 요건을 미 국방부를 넘어 모든 연방 기관에 적용하는 방안이 현재 검토 중에 있다.
일본의 경우, 방위사업청의 기능을 하는 방위장비청은 2019년에 NIST SP 800-171을 채택하고 방위산업체에 대한 사이버보안 표준을 수립하였다. 미 국방부와 사이버보안에 관한 협력을 지속하는 가운데 올 4월중에 NIST 요건을 포함한 산업보안계획을 시행할 예정이다. 이스라엘은 NIST SP 800-171을 전면 채택하고 이스라엘 자체적으로 평가사를 육성하기 위한 계획을 추진하고 있다. 영국은 미국과 사이버보안 준수에 관한 접근 방식을 통일하기로 하고 서로의 평가방식을 참관하며 협력하고 있다. 이처럼 다른 우방국들이 발빠르게 움직이고 있음에 따라, 한국 정부도 대미 방산수출을 전략적으로 추진하기 위해서는 NIST 요건을 기반으로 하는 사이버보안 표준을 서둘러 수립하고 CMMC 생태계를 구축하여 해외에 진출하려는 방산기업들을 지원해야 한다.
CMMC 소관 부서는?
많은 사람들이 사이버보안을 사이버사령부, IT, 정보 혹은 기술보호(정책차관실 소속) 부서의 책임으로 여긴다. 그러나 미 국방부 내에서 CMMC가 탄생한 곳은 다름 아닌 획득∙운영유지 차관실이다. 미군에 첨단 군사능력을 인도하기 위한 방위사업과 운영유지사업을 담당하는 곳, 바로 방위사업청 기능을 수행하는 부서가 CMMC를 주도했다는 것은 시사하는 바가 크다. 단순히 보안 문제가 아닌 비즈니스의 문제, 기업의 생존 문제로 접근했음을 의미한다. 즉, 미 국방부와 사업을 하려면 최소한의 사이버보안 요건을 갖추었음을 인증받아 오라는 진입요건인 것이다.
지난 해 CMMC업무는 획득∙운영유지 차관실에서 미 국방부의 모든 사이버보안 프로그램들을 통합 관리하는 국방 CIO실로 이관되었다. 그러나 CMMC책임자는 사이버보안 전문가가 아니라 여전히 방위사업 전문가이다. 또한 CMMC 정부 평가에 참여하는 조직인 방위산업기반 사이버보안평가센터(DIBCAC)[1] 역시 획득∙운영유지 차관실 산하 국방계약관리본부에 소속되어 있다. CMMC 요건이 가장 강력한 영향력을 행사하는 곳이 입찰공고와 계약서임을 고려할 때, CMMC 실무기능은 방위사업 담당 부서에 계속 남게 될 것으로 예상된다.
[1] DIBCAC: Defense Industrial Base Cybersecurity Assessment Center
왜 방산수출에 CMMC가 중요한가?
첫째, 자율에서 강제 조항이 된 CMMC 인증 획득은 미국 방산업체에 납품 중이거나 예정인 한국의 부품 공급업체들에게도 함께 적용된다. 미국의 글로벌 방산 기업들은 한국의 기업들에도 CMMC 준수 요건을 통보하고 고급수준의 인증을 취득하지 않으면 계약 해지가 불가피함을 경고하고 있다. CMMC요건은 미국 방산기업들 뿐만 아니라 미국에 수출하는 외국기업들 모두에게 예외없이 적용된다.
둘째, 대한민국의 방산수출 대상국들 중 일부 국가들도 우리 기업들에게 CMMC준수를 요구하고 있다고 한다. 이런 상황이 계속된다면, CMMC는 방산기업이 향후 해외 방산시장에 진입하기 위해 충족해야할 필수요건으로 자리잡을 것으로 예상된다.
셋째, 미국의 우방국들이 발빠르게 CMMC를 기반으로 자체 시스템을 마련하거나 미국의 표준을 그대로 채택하고 있다. 신속하게 CMMC 에 상응하는 제도를 마련하지 않으면 향후 방산 수출에 걸림돌이 될 수도 있다.
끝으로, 한국에 CMMC에 상응하는 체계를 구축하면 서로 상대방의 방위산업체에 대한 신뢰가 높아지고 그만큼 상호 협력의 기회가 많아지게 될 것이다. 특히 미 정부가 관심을 가지고 있는 첨단 반도체, 인공지능, 자율 로봇, 우주 등 분야에서의 협력을 촉진하는 기반을 다질 수 있다.
맺음말
이처럼 방산 수출을 위해서는 CMMC 준수가 필수적이므로, 정부와 방산기업의 대책 마련이 시급하다.
방산기업 경영진은 CMMC가 IT담당자의 기술적인 영역을 넘어선 영역이고 문제 발생시 경영진에게 책임을 묻는다는 점을 인식하고 사업 관점에서 사이버보안에 접근해야 한다. 정부 지원을 마냥 기다리기보다는, 기업의 지식재산을 보호하고 해외 시장 진입 장벽을 허물 수 있도록 자발적이고 능동적으로 사이버보안 역량 강화에 투자해야 한다. 그러나 시스템 구축보다 중요한 것이 사람이라는 사실을 유념하여, 사이버보안 교육을 통해 전 직원이 사이버보안 수칙을 생활화하도록 당장 조치해야 한다.
정부 차원에서는, 미국을 비롯한 일본, 이스라엘, 영국 등의 사이버보안 강화 움직임에 발맞추어 방산업체의 사이버보안 역량을 강화하기 위한 조치를 취할 때이다. 미국의 CMMC 법제화 시기와 관계 없이 NIST SP 800-171 요건에 기반한 사이버보안 준수 요건을 수립하고 생태계 구축을 준비해야 한다. CMMC는 적의 사이버 공격 위협으로부터 방위 산업 보호, 방산 기술 보호, 방산 공동 협력 강화, 수출 활성화, 나아가 일자리 창출을 통한 국가 경제에 기여할 호기를 제공할 것이다. [끝]
Comments