사이버보안성숙도모델(CMMC) 소관 부서 변경 (획득차관실(A&S)에서 DoD CIO실로 이관)
사이버보안성숙도모델(CMMC)은 미 국방부가 점점 빈번해지고 복잡해지는 사이버 공격으로부터 방위산업기반(DIB)을 보호하기 위해 마련한 포괄적인 프레임워크로 민감한 국가안보정보를 안전하게 보호하는 것이 목적이다. 그동안 미 국방부의 획득/유지 차관실(USD/A&S)이 주관하여 추진해오면서 CMMC 1.0에서 CMMC 2.0으로 진화했다.
2022년2월2일, 캐스린 힉스 미 국방부 부장관은 CMMC 프로그램 책임을 획득차관실에서 국방부 최고정보책임자(DOD CIO)실로 이관하도록 지시했다. 방위사업을 관리하는 부서에서 정보기술을 관리하는 부서로 이동한 것이다.
DoD CIO는 국방장관의 수석 참모보좌관이자 수석 정보기술 고문으로, 다양한 국가안보 및 국방 업무 정보시스템 감독, 정보 자원 관리, 효율성 증대 업무를 책임지고 있다. 업무 영역은 다음과 같다.
통신
스펙트럼 관리
네트워크 정책 및 표준
정보시스템
사이버보안
위치, 탐색, 타이밍 (PNT) 정책
국방부 지휘통제를 지원하는 전사적 국방 정보시스템
국방부는 모든 방산업체 관련 사이버보안 프로그램들을 같은 부서에서 통합관리하게 함으로써 시너지와 협력을 제고하게 될 것이라고 말했는데, CIO 아래 사이버보안을 담당하는 DCIO Cybersecurity 실의 업무를 보면 이 말의 의미가 좀더 명확해진다.
국방부 사이버환경
리스크관리프레임워크(RMF)
방위산업기반 사이버보안
미 국방부 사이버환경 및 레퍼런스
미 국방부 사이버스페이스 인력관리
그동안 CMMC를 획득차관실에서 담당한 이유는 사이버보안을 방위사업의 관점에서 본 것으로 이해된다. 사이버보안을 단순히 정보보호의 차원이 아닌, 미 국방부와 계약을 하려면 반드시 시행해야할 비즈니스의 요건이라는 것이다. 이제 획득실에서 정보기술 담당관실로 이관된 CMMC 프로그램은 관점의 변화에 따라 추가적인 변화가 있을 것으로 예상된다.