top of page
Writer's pictureDelta One

[Korea Herald] CMMC vital for defense exports

Updated: Oct 3

By Hwa Yu, CEO of Delta One LLC; CMMC RP




2024년 3월 2일, 조 바이든 미국 행정부는 국가 사이버보안 전략을 발표했다. 이 전략은 미국 정부와 기업을 비롯한 사이버 생태계를 국내외 적대세력의 사이버 공격으로부터 보호하기 위한 지침을 제공한다. 특히 이번 전략에서 주목할 점은 기존에 기업 자율에 맡겨졌던 사이버보안 준수 영역에 대해 정부의 지원과 개입을 강화하는 방향으로 패러다임이 전환된 것이다.


이러한 정책 변화가 산업에 미칠 영향을 이해하려면, 2020년 미 국방부가 방산 산업의 사이버보안을 평가하기 위해 수립한 사이버보안 성숙도 모델 인증(CMMC)을 살펴봐야 한다.


CMMC는 국방부 계약에 참여하는 모든 기업에 적용되며, 이는 미국 방산 시장 진입을 목표로 하는 한국 정부와 방산 기업들에게 중요한 관심사가 될 수밖에 없다.


CMMC는 미국 정부의 민감한 정보를 적절히 보호하는지를 평가하는 제도로, 정보의 민감도에 따라 세 가지 수준의 사이버보안 기준이 적용된다. 이 제도는 2020년에 처음 도입되었고, 2021년 11월에는 CMMC 2.0이 발표되어 초기 모델에 큰 변화를 가져왔다. CMMC는 2024년 또는 2025년부터 계약서에 필수 요건으로 등장할 것으로 예상된다.


CMMC는 공개되지 않은 연방정부의 민감한 정보를 보호하기 위한 도구로, 적대 세력으로부터 지식재산과 민감한 정보를 보호해 국가 안보와 경제를 지키는 것을 목표로 한다. CMMC 평가는 NIST SP 800-171 표준을 기반으로 이루어지며, 이는 2017년부터 이미 적용되고 있다. 따라서 방산 기업들은 CMMC가 시행되기 전에도 NIST 요건을 준수해야 한다.


일본, 이스라엘, 영국 등 미국의 동맹국들도 NIST 요건을 채택하거나 자국의 보안 표준에 통합하고 있어, 한국 정부도 NIST 기반의 사이버보안 표준을 수립하고, CMMC 생태계를 구축해 방산 기업을 지원할 필요가 있다. CMMC와 같은 프로그램이 한국에서 시행되어 미국과 상호 인정되면 방산 산업 간 신뢰가 높아지고 협력 기회가 증대될 것이다.


방산 기업의 경영진은 CMMC를 IT 부서의 문제가 아닌 비즈니스 차원에서 접근해야 하며, 정부 지원을 기다리기보다 자발적으로 사이버보안 역량 강화를 위해 투자해야 한다. 무엇보다 전 직원이 사이버보안 수칙을 일상적으로 실천하도록 교육을 강화해야 한다. 사이버 공격은 '만일'의 문제가 아니라 '언제'의 문제이기 때문이다.


정부와 방산 기업이 협력해 한국 방산 산업의 사이버보안을 강화하면, 방위 산업과 기술을 보호하고, 산업 협력을 강화하며, 방산 수출을 촉진할 수 있는 기회를 얻을 것이다. [끝]



16 views0 comments

Recent Posts

See All

CMMC 최종 규칙 발표

2024년 10월 11일, 사이버 보안 성숙도 모델 인증(CMMC) 최종 규칙이 발표되었다. 연방관보에는 10월 15일 게재될 예정이다. CMMC는 연방계약정보(FCI) 및 대외비밀에 해당하는 CUI를 취급하는 방위기업들이 적절한 수준으로...

Comments


bottom of page