미 국방부, 기존 ‘사이버보안 성숙도 모델 인증’ 개정한 ‘CMMC 2.0’ 발표

김한경 안보전문기자 입력 : 2021.11.09 09:47 ㅣ 수정 : 2021.11.09 09:47

미국 방위산업계의 요구사항 수렴 검토…모델 간소화, 평가 신뢰도, 유연성, 확장성 등 보완

  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 글자크게
  • 글자작게
image
CMMC 모델 1.0과  CMMC 모델 2.0 비교. [자료=이민재 티큐엠에스 대표]

 

[뉴스투데이=김한경 기자] 미 국방부가 지난 4일 CMMC(Cybersecurity Maturity Model Certification) 즉 ‘사이버보안 성숙도 모델 인증’ 프로그램에 관한 향후 전략적 방향을 발표했다.

 

지난해 9월 미 국방부는 CMMC 프로그램(CMMC 1.0)에 대한 미 국방부의 초기 비전을 실행하는 임시 규칙을 연방 관보에 ‘국방연방조달규정 추가조항 2019-D041’로 발표하고 프로그램의 기본적인 특징을 설명했다. 

 

임시 규칙은 지난해 11월 30일에 발효돼 5년의 단계적 시행 기간이 설정됐다. 이 규칙은 올해부터 미 국방부가 발주하는 일부 사업의 참여업체들에게 CMMC 인증을 요구하고 있으며, 이후 점차 확대해 2025년에는 모든 사업에 CMMC 인증을 요구한다는 내용을 담고 있다.

 

지난 3월부터 미 국방부는 방위산업계로부터 임시 규칙에 대한 850개 이상의 의견을 받아 CMMC 구현에 대한 내부 검토를 시작했다. CMMC에 관한 정책과 프로그램 구현을 개선하기 위해 미 국방부 내의 사이버보안 및 획득 담당 리더들이 평가에 참여했다.

 

이와 같은 과정을 거쳐 미 국방부는 지난 4일 방위산업계와 정부의 국방 분야 이해관계자들의 의견을 수렴해 개정한 ‘CMMC 2.0’을 발표했으며, 주요 변경사항은 다음과 같다.

 

첫째로 가장 중요한 요구사항에 중점을 둬 5개 등급의 기존 모델을 3개의 규정 준수 등급으로 간소화했으며, 널리 인정되는 국립표준기술연구소(NIST)의 사이버보안 표준을 사용했다.

 

둘째로 평가비용 절감 차원에서 1등급(기본) 기업과 일부 2등급(고급) 기업은 자체 평가를 통해 규정 준수 입증이 가능하며, 더 높은 책임성을 위해 제3자 평가자의 전문적이고 윤리적인 표준에 대한 감독을 강화했다.

 

셋째로 특정하게 제한된 상황에서 CMMC 요구사항에 대한 면제가 허용되며, 기업이 실행계획과 마일스톤에 따른 인증 획득도 가능하다. 

 

미 국방부는 CMMC 2.0에 반영된 변경사항에 대해 연방규정집 파트 32와 파트 48의 국방연방조달규정 추가조항을 통해 규칙을 제정할 계획이며, 기업은 규칙이 발효되면 이를 준수해야 한다.

 

CMMC 2.0의 산업계 적용을 위한 규칙이 제정될 때까지 미 국방부는 현행 CMMC 시범 적용을 중단할 계획이며, 이 기간 동안 획득 사업에도 CMMC 인증 요구사항을 포함하지 않을 것이라고 밝혔다. 

 

CMMC 컨설팅 및 인증심사 서비스를 제공하는 이민재 티큐엠에스 대표는 “아직 상세한 자료는 공개되지 않았는데, CMMC 프로그램에 대한 자료 공개는 미 국방부의 전략적 의도를 반영하므로 산업계에 적용하기 위한 규칙 제정 일정에 맞춰 공개할 것”이라고 말했다.

 

그러면서 그는 “규칙 제정 프로세스와 일정은 9∼24개월이 소요될 것으로 예상되는 만큼 미국 진출을 고려하는 우리나라 기업의 경우 인증을 준비할 수 있는 충분한 시간을 확보할 수 있게 됐다”라고 덧붙였다.

 

BEST 뉴스

댓글 (0)

- 띄어 쓰기를 포함하여 250자 이내로 써주세요.

- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.

0 /250