CMMC 규정안, 곧 의견수렴절차 착수

미 관리예산처(OMB) 산하 정보&규제업무담당관실(OIRA)은 지난 11월17일 금요일 CMMC 규정안 검토를 완료했다. 이 부서는 정부규제간에 중복을 피하고 타부처 규제와 조정을 촉진하며 비용 대비 규제 이익의 효과성을 검토하기 위해 정식 정부입법조치가 시행되기 이전에 모든 정부규제안에 대한 검토를 수행하는 기관이다. 접수후 90일 내에 검토를 수행해야 하지만 연장이 가능하다.

*OIRA: Office of Information and Regulatory Affairs

미 국방부는 2023년7월24일 CMMC 규정안을 OIRA에 제출했다. OIRA의 평균 검토기간이 60일 가량이었으므로 사이버보안 전문가들은 9월말에는 검토 결과가 나올 것으로 예상했고 늦어도 10월말에는 발표되리라 예상했었다. 하지만 CMMC Ecosystem Summit이 있던 이달 초까지 발표되지 않아 CMMC 규정안의 행로에 대해 많은 의구심들이 있었던 것인데, 이번 발표를 통해 그러한 의구심을 잠재웠다.

CMMC 규정안에 대한 정식입법절차의 다음 단계는 연방관보(Federal Register)에 게시되어Notice and comment, 국민 의견을 수렴하는 단계이다. 의견수렴 착수에서 법제화까지는 통상적으로 약 20개월 가량 소요되는 점을 고려할 때, CMMC 요건이 정식 시행되는 시기는 2025년 중후반이 될 것으로 예상된다.

CMMC는 이미 2017년부터 업체에 부과해온 사이버보안 준수요건(NIST SP 800-171)을 정부에서 확인하는 프로그램에 지나지 않는다. 과거에는 업체 자체적으로 사이버보안 준수여부를 인증하면 됐지만 CMMC는 제3자 또는 정부가 직접 확인하는 프로그램인 것이다. 미 국방조달사업에 참여하려는 기업은 당장 사이버보안 요건인 NIST SP 800-171 의 준수가 필요하다.

OIRA 검토 승인 완료 알림 (reginfo.gov)