한국방위산업진흥회 [국방과기술] 매거진 2023년 6월호에 기고된 글이다.
*저작권을 고려하여 글의 일부만 게시합니다.
2020년 미 국방부의 CMMC 제도(사이버보안 성숙도 모델 인증) 1 제도가 발표된 이후, 미국
방산기업들은 발등에 불이 떨어졌다. 그동안 유명무실했던 사이버보안 준수 요건들에 안일하게 대처해오던 많은 방산기업들은 뒤통수를 맞은 듯한 분위기이다. 규정에는 있었지만 준수하지 않더라도 계약에 문제가 없었던 사이버보안 조항이 CMMC 제도 도입과 함께 실질적으로 시행되기 시작했기 때문이다. 더우기 규모에 관계 없이 중소기업이 사이버요건 준수를 위해 준비하는 데만도 수 개월에서 수 년이 걸리고 수 억원의 비용이 든다는 항간의 소문에 규모가 작은 중소기업들은 회사의 미래를 두고 고민하지 않을 수 없다. 미국 사정이야 어떻든 왜 다른 나라의 제도에 우리가 주의를 기울여야 할까?
CMMC제도는 국방 조달에 참여하는 모든 기업들에게 적용된다는 점에서 미국 방산 시장 진입을 목표로 하는 한국 정부와 방산 기업 모두에게 지대한 관심사항이 될 수 밖에 없다. 문제는 미 국방부가 2020년 CMMC 제도를 처음 공개한 후 2021년 11월에 CMMC 2.0을 발표했지만, 아직까지 정부입법 (rule-making) 절차가 완료되지 않아 미국에서도 시행되지 않고 있어 불명확한 점들이 많다는 점이다. 현재 2024년이나 늦어도 2025년 중에 시행될 것으로 예상하고 있다. 이처럼 미국에서조차 정착되지 않은 제도이다 보니 우리나라 방산업계에도 많은 잘못된 정보들이 떠돌고 있어, 자칫 정책결정자들이나 방산기업들이 오판을 하고 적시에 제대로된 준비와 조치를 하지 않아 나중에 한국의 방위산업에 부정적인 영향을 끼칠까 우려스럽다. 이에 필자는 CMMC 제도가 무엇인지 살펴보고 CMMC 에 대한 대비책 마련을 촉구하고자 한다.
CMMC란
CMMC는 미 국방부에 납품하는 30만여 방산 기업들을 대상으로 연방정부의 민감한 정보에 대한 사이버보안 준수 여부를 미 국방부가 평가하고 인증하겠다는 의지를 담은 신설 제도이다. 보호 대상 정보의 중요도에 따라 기초, 고급, 전문가 수준으로 분류되며, 수준이 높아질수록 이행과제의 수와 난이도가 증가한다.
무엇을 보호하기 위한 제도인가?
CMMC와 NIST SP 800-171 의 관계는?
CMMC 소관 부서는?
왜 방산수출에 CMMC가 중요한가?
맺음말
이처럼 방산 수출을 위해서는 CMMC 준수가 필수적이므로, 정부와 방산기업의 대책 마련이 시급하다.
방산기업 경영진은 CMMC가 IT담당자의 기술적인 영역을 넘어선 영역이고 문제 발생시 경영진에게 책임을 묻는다는 점을 인식하고 사업 관점에서 사이버보안에 접근해야 한다. 정부 지원을 마냥 기다리기보다는, 기업의 지식재산을 보호하고 해외 시장 진입 장벽을 허물 수 있도록 자발적이고 능동적으로 사이버보안 역량 강화에 투자해야 한다. 그러나 시스템 구축보다 중요한 것이 사람이라는 사실을 유념하여, 사이버보안 교육을 통해 전 직원이 사이버보안 수칙을 생활화하도록 당장 조치해야 한다.
정부 차원에서는, 미국을 비롯한 일본, 이스라엘, 영국 등의 사이버보안 강화 움직임에 발맞추어 방산업체의 사이버보안 역량을 강화하기 위한 조치를 취할 때이다. 미국의 CMMC 법제화 시기와 관계 없이 NIST SP 800-171 요건에 기반한 사이버보안 준수 요건을 수립하고 생태계 구축을 준비해야 한다. CMMC는 적의 사이버 공격 위협으로부터 방위 산업 보호, 방산 기술 보호, 방산 공동 협력 강화, 수출 활성화, 나아가 일자리 창출을 통한 국가 경제에 기여할 호기를 제공할 것이다. [끝]