CMMC 전면 시행이 눈앞에
- Delta One
- Sep 10
- 2 min read
2025년 9월 9일, CMMC 시행의 최종관문인 DFARS 최종규칙(48 CFR/Part 204·252 갱신)이 마침내 승인되었다. 9월 10일 출판 후, 60일이 지난 11월 10일에 공식 시행되며, CMMC는 계약상 의무로 포함되어 미 정부와의 계약서에 나타날 예정이다.
최종 규칙의 구조와 핵심 의무
A. 프로그램 규칙(32 CFR Part 170)
CMMC는 3개 레벨로 구분
L1: FCI 보호·연간 자가평가,
L2: CUI 보호·자가 또는 C3PAO, NIST SP 800-171(110개 요구사항)이 기반
L3: 고도위협 대비·정부평가)로 정렬. L3는 NIST SP 800-172 일부 추가
일부 조건에서 POA&M(개선계획) 허용하되 최저점수 88/110 등 조건이 붙는다.
B. 계약 규칙(48 CFR/DFARS) – 실제로 ‘계약에 박히는’ 부분
DFARS 252.204-7021: “계약서가 요구한 CMMC 레벨의 유효 인증(3년 주기)을 보유·유지” 및 하도급 플로우다운 의무를 명문화.
DFARS 252.204-7019/-7020: NIST 800-171 자가평가 점수(SPRS) 제출·갱신, DoD의 현장·시스템 접근권 부여(중·고도평가) 등을 요구. CMMC와 병행·연동된다.
DFARS 252.204-7012: CUI를 클라우드에 저장/처리하면 FedRAMP Moderate ‘동등’ 이상을 충족하는 CSP만 사용 가능(사고통지·포렌식 협력 포함). CMMC 하에서 이 요구는 그대로 유효하다.
적용 시점과 단계(DoD 공지 기준)
48 CFR(DFARS) 최종 규칙 발효 후 60일 → Phase 1 시작.
이후 매년 1단계씩 확장, Phase 4에서 전면 적용.
타임라인의 구체 해석은 아래와 같다. Department of Defense CIO
Phase 1(예상 2025 Q4~2026 초): L1/L2 자가평가를 수주 조건으로 포함 가능. 일부 사업에서 L2 C3PAO 요구가 ‘선택적’ 도입.
Phase 2(+1년): L2 C3PAO 인증이 신규 계약에서 본격 요구.
Phase 3(+1년): L2 C3PAO 요구 확대, 일부는 L3(정부평가) 신규 계약에서 요구.
Phase 4(+1년): 신규·옵션 모두 완전 적용, 사실상 전 계약이 CMMC 범주 안으로.
해외 기업에 대한 함의
CMMC/DFARS는 원산지와 무관하게 DoD 계약망(DIB)에 들어오는 모든 업체에 동일 적용된다. 하도급(2·3차)까지 플로우다운이므로, 미국 내 파트너사의 요구가 그대로 적용된다.
핵심 기술적 기준은 ‘NIST SP 800-171’: L2 대상이면 110개 통제를 충족해야 하고, 제3자 인증(C3PAO) 또는 자가평가가 계약별로 지정된다. 조건부 합격(POA&M)이 허용되는 경우에도 최저 88점과 180일 내 보완 등 엄격한 제약이 붙는다.
클라우드·데이터 주권 이슈: CUI를 다루는 클라우드는 FedRAMP Moderate(또는 동등) 규격을 갖춘 서비스만 사용 가능. 해외 지역/비미국 사업자가 동등성 검증을 입증하지 못하면 사용이 막히거나 미국 Gov 전용 클라우드(예: Azure Government 등)로 분리(Enclave)해야 하는 경우가 많다. MSP/ESP(외부 서비스 제공자)의 보안도 평가 범위 안으로 들어온다.
행정·법무 리스크(허위표시 금지): SPRS 점수(DFARS 7019/7020)·CMMC 상태를 부풀리거나 오인시키면, 미 법무부의 Civil Cyber-Fraud Initiative(FCA) 적용 대상이 된다. 최근 FCA 합의·제재 사례가 이어지고 있어(대형 방산사·대학·중소기업 포함) 허위·과장은 매우 위험
“상호인정(Reciprocity)”의 한계: ISO 27001 등 타 규격의 자동 대체는 규정화되지 않았다. DoD가 특정 경우 동등성을 인정할 수 있다는 가능성 언급은 있으나, 계약상 요구(CMMC/NIST·FedRAMP)를 직접 충족하는 게 현실적이다.
Comments