CMMC, 이르면 2025년 10월 계약서 반영

2025년 7월22일, 미 국방부는 48 CFR (DFARS) 계약규칙 (Contractual/Acquisition Rule)을 OIRA에 제출했다. 이는 지난 겨울 CMMC 프로그램 최종 규칙(32 CFR Part 170)이 연방관보에 게재된 이후, CMMC 요건이 미 국방부 계약서에 반영되기 위한 거의 마지막 단계 조치에 해당한다.

32 CFR vs. 48 CFR 구분

• 32 CFR Part 170:

  • CMMC 프로그램 철학과 기준(FCI/CUI 보호 목적, 평가 방식 등 제시 (완료)

• 48 CFR/DFARS:

  • 실제 계약 조항에 CMMC 레벨 요구사항을 삽입해 계약 수주 및 유지 조건으로 만들기 위한 규정.

  • DFARS 252.204-7021 조항은 하도급업체에도 동일 요구사항을 flow down 하도록 요구.

  • 계약 발주부터 이행까지 엄격한 사이버보안 기준 적용 요구.

48 CFR 계약 규칙 제정의 흐름

• OIRA 검토 종료 후 연방관보(Federal Register) 공표

  • OIRA는 연방예산관리처(OMB) 소속의 연방 규제안에 대한 최종 검토 기관으로 최대 90일 안에 검토 완료 필요

  • 연방관보 공표 후 약 60일 뒤 CMMC 계약 규칙 발효

• CMMC 이행 시나리오

  • Phase 1 시작: 2025년 4사분기 (10월1일), 늦어도 2026년 1사분기 경, 일부 계약서에 CMMC 요구사항 등장 예상. 자가평가 또는 낮은 레벨 중심으로 적용

  • Phase 2~4: 점차 인증 확대 및 강도 상승을 통해 모든 계약에 적용

방산기업이 해야 할 일

1. NIST SP 800-171 준수 상태 점검 - 미 정부 조달에 진입하기 위해서는 CMMC 요건 충족이 필요하므로 사전 대비가 필요함 (현 요건은 Rev 2임).

   
   

2. SPRS 점수 게시 - 계약 체결 전에 담당관이 확인할 수 있는 상태여야 하므로, 만점(110)이 아니더라도 점수를 올리는 것이 중요함.

   
   

3. 하도급업체 (공급망) 관리 - 나만 준비 잘 한다고 끝나는 것이 아니라 하도급업체도 동일한 수준의 CMMC 인증을 갖춰야 함. Flow down 조항을 계약서에 반영하고 협력사가 있을 경우 협력사의 준비 상태도 점검함.

4. Level 2/3 사전 준비 - 제3인증업체(C3PAO)의 인증이 필요한 수준의 정보를 보유하거나 생성하는 경우에는 수요 폭증에 대비, 평가 일정과 비용을 사전에 고려하여 CMMC 능력 확보.

   
   

5. 내부 정책/계획/문서 최신화 및 준수 - CMMC 평가의 핵심은 역량 확보와 함께 증빙 자료임.

그 동안 CMMC가 시행되네 마네 말이 많았지만, 이제 CMMC는 현실이다. 준비가 안 된 방산업체는 입찰에서 밀리거나 계약을 따더라도 유지하지 못한다. 실제로 SPRS 점수를 올리지 않았던 미국 업체들이 계약 갱신이 이루어지지 않은 사례도 보고되고 있다. 따라서 미 국방시장에 진출하려는 기업들에게 CMMC는 당면한 과제이다. 사실, 미 국방시장에 진출하지 않더라도 기업의 생존을 위해서는 강력한 사이버보안 체계를 구축하는 것이 반드시 필요하다.