미 국방부 CMMC 규칙제정안을 OMB에 제출(2023/7/24)

미 국방부가 드디어 연방정부의 민감한 정보를 보유한 방산업체들을 대상으로 사이버보안준수를 인증하겠다는 계획을 관리예산처(OMB)에 제출했다. 이로써 CMMC 프로그램에 대한 규칙제정 프로세스가 공식 착수되었다.

OMB 산하 OIRA는 미 연방정부의 모든 규정을 검토하고 정부의 정보 수집을 승인하며 연방 개인정보보호정책을 수립하는 조직이다. OIRA는 90일 이내에 입법안을 검토하고 미 국방부에 추가 검토를 위한 반려를 하거나 승인할 수 있다. 그렇지만 통상 60일이면 검토 결과가 나온다.

입법 절차의 종류는 두 가지 - 정식 정부입법절차(proposed rulemaking)와 임시 정부입법절차(interim rulemaking)가 있다. 연방관보 게시 후 국민 의견수렴과정을 거쳐 의견을 반영한 후에 법제화되면 proposed rulemaking, 연방관보 게시 후 먼저 임시로 법제화한 후 의견수렴을 거쳐 의견을 반영하면 interim rulemaking이다. 어느 방법으로 갈지는 법안 제출기관이 아닌 OIRA의 결정사항이다.

• 정식 정부입법절차: 연방관보에 게시된 후 공개적인 의견수렴절차를 거치게 되며 통상 1년 가량 소요된다. 이 절차로 진행될 경우 CMMC는 2024년 후반에나 법제화 절차가 완료될 것으로 예상된다.

• 임시 정부입법절차: OIRA 검토 후 (통상 60일) 연방관보에 게시되면 CMMC 프로그램이 발효된다. 이 경우 빠르면 금년 10월 이후부터 RFP에 CMMC 요건이 RFP에 반영되기 시작할 것이다.

어느 쪽이든 미국 방산시장에 진출하려는 한국 기업들에게는 시간이 많지 않다. CMMC 대비가 시급하다.