.gif)
보안뉴스, 美 국방 분야 의무인증 CMMC 준비현황 간담회 개최
“정부 주도의 대응체계 마련과 관심 필요해”
[보안뉴스 조재호 기자] 美 CMMC 시행을 앞두고 K-방산이 시험대에 올랐다. 방산 분야 공급망 보안을 강화한 조치로 일정 수준 이상의 보안 능력을 요구한다. 방산업계는 물론이고, 정부 차원의 지원이 필요하다는 지적이 제기된다.
이에 <보안뉴스>는 미국 국방부(DoD)의 사이버보안 성숙도 모델 인증(CMMC·Cybersecurity Maturity Model Certification) 의무화에 앞서 국내 방산업체들의 준비 현황과 인증 이해도 제고를 위한 간담회를 개최했다.
간담회는 김승연 LIG넥스원 방산기술보호실장과 고희재 한화에어로스페이스 보안팀장, 류연승 명지대 방산안보학과 교수를 비롯한 방산업체와 학계, 인증 컨설팅 담당자들이 참석했다.
▲(왼쪽부터) 김승연 LIG넥스원 방산기술보호실장과 고희재 한화에어로스페이스 보안팀장, 최시철 에프원시큐리티 이사가 간담회에서 의견을 듣고 있다. [자료: 보안뉴스]
방산업계에 따르면 DoD는 지난해 12월 CMMC 인증 시행을 공식화했다. 올해부터 일부 계약에 CMMC 도입을 시작하고, 점진적 적용 단계를 거쳐 오는 2028년까지 전면 시행될 예정이다.
미국은 지난 2019년 국방 관련 정보 유출 방지를 위해 CMMC를 마련됐다. 국방 사업에 참여하는 업체들을 대상으로 일정 수준 이상의 보안 체계를 검증하기 위해서다. 인증의 핵심은 美 국방부 사업 수행에 필요한 연방계약정보(FCI)와 통제필요정보(CUI) 보호다. 보안 수준에 따라 레벨1~3으로 나뉜다.
간담회에서 김 실장은 “CMMC는 무기 체계와 군수 물품 전반을 포함한 광범위한 영역에 영향을 미치는 제도”라며 “인증을 받을 기업을 비롯해 협력사 전반을 정비하는 작업인 만큼 컨설팅 업체의 선정부터 신중에 신중을 기할 것”이라고 전했다.
고 팀장은 “CMMC 컨설팅은 초기 단계로 업체마다 비용도 다르고, 자격증 보유만으로 컨설턴트의 역량을 평가하기 어려운 상황”이라며 “기업 차원에서 신중할 수밖에 없는데, 최근 정부가 관심을 보이기 시작해 기대가 크다”고 전했다.
미국과 방산 계약을 하려면 최소 CMMC 레벨2 인증이 필요하다. 이를 위해 미국 기술표준기술연구소(NIST)의 SP 800-171에서 제시한 14개 영역 110개 보안 과제를 충족하고, 제3자(C3PAO) 인증을 거쳐야 한다. 이 중 연방정보처리표준(FIPS)에 따른 통제필요정보 암호화 요구사항(SC.L2-L3.13.11)은 비용과 더불어 국내 CC 인증과 상충되는 부분이 있다.
최시철 에프원시큐리티 이사는 “FIPS 암호화는 비용 부담과 함께 국내 CC 인증과 충돌하는 부분이 있어 업계에서도 상황을 살피는 중”이라며 “정부 차원의 협상을 통해 CC 인증과의 충돌 사항을 예외적으로 허용하거나 한국형 암호화 방식을 수용하도록 하거나 클라우드 방식의 암호화를 도입하는 방법도 있다”고 말했다.
정부에서도 CMMC의 중요성을 인식하고 미국과 협력 방안을 논의하고 있다. 지난해 레벨1 컨설팅 지원을 시작으로 올해 레벨2 인증을 위한 컨설팅 지원을 예고했다. 국내 인증심사 기관 설립도 추진되고 있다. 다만, 실무진 차원의 접근으로 가이드라인 제시나 한국형 방위산업 수출 생태계 조성 같은 거대 담론을 다루기엔 다소 미흡한 측면이 있다.
▲(왼쪽부터) 김민수 김앤장법률사무소 정보보안연구소장과 류연승 명지대 방산안보학과 교수, 권준 보안뉴스 부사장이 간담회에서 의견을 교환하고 있다. [자료: 보안뉴스]
CMMC는 업체 전반의 프로세스와 보안 정책, 운영 검증을 아우르는 인증인 만큼 막대한 비용이 든다. 수주량이 일정 수준 이상 확보되지 않는 중소규모 업체들은 참여가 어려울 수 있다.
김민수 김앤장법률사무소 정보보안연구소장은 “CMMC가 본격화되면서 제도 정착 초기의 혼란이 상당한 편”이라며 “아무도 가보지 않은 길을 걷기 위해서는 신뢰할 수 있는 컨설팅이 중요한 만큼 오늘 참석하신 전문가들이 CMMC 인증 생태계 조성을 위해 힘써 주시길 바란다”고 말했다.
명지대 류 교수는 “글로벌 방산 수출 4대 강국을 목표로 하는 K-방산이 미국과의 국방 협력을 강화하기 위해서는 CMMC 인증 역량을 갖춰야 한다”며 “인증 취득을 위해 컨설팅을 받아야 한다면 비용과 신뢰성 등 여러 측면을 고려해 국내외 현황을 세심하게 살펴봐야 할 것”이라고 말했다.
현재 CMMC 컨설팅 자격증은 온라인 수업과 오픈북 시험을 통해 취득할 수 있다. 미국은 정기적으로 컨퍼런스를 열어 컨설턴트와 인증심사원의 수준을 관리하고 있는데, 국내에서는 이러한 움직임을 보이지 않고 있다. 그럼에도 2023년부터 자격증 취득 가능 국가가 미국 동맹국으로 확대되면서 한국인의 자격증 취득자가 100명을 넘긴 상태다. 미국을 제외하고 세계에서 가장 많은 숫자로, 미국 CMMC 업계가 주목하는 이유다.
정부가 미국과의 CMMC 상호인정 협정 체결을 위해 적극 나서야 한다는 게 참석자들의 공통된 의견이다. 류 교수는 “K-CMMC 제도 구축을 통해 방산업체의 CMMC 인증을 지원하고, 자생적으로 형성되고 있는 국내 CMMC 생태계의 질을 관리해야 한다”며, “인증 수준이 떨어진다면 미국과 상호인정 협정이 어려워질 수 있기 때문”이라고 강조했다.
[조재호 기자(sw@boannews.com)]
“정부 주도의 대응체계 마련과 관심 필요해”
[보안뉴스 조재호 기자] 美 CMMC 시행을 앞두고 K-방산이 시험대에 올랐다. 방산 분야 공급망 보안을 강화한 조치로 일정 수준 이상의 보안 능력을 요구한다. 방산업계는 물론이고, 정부 차원의 지원이 필요하다는 지적이 제기된다.
이에 <보안뉴스>는 미국 국방부(DoD)의 사이버보안 성숙도 모델 인증(CMMC·Cybersecurity Maturity Model Certification) 의무화에 앞서 국내 방산업체들의 준비 현황과 인증 이해도 제고를 위한 간담회를 개최했다.
간담회는 김승연 LIG넥스원 방산기술보호실장과 고희재 한화에어로스페이스 보안팀장, 류연승 명지대 방산안보학과 교수를 비롯한 방산업체와 학계, 인증 컨설팅 담당자들이 참석했다.
▲(왼쪽부터) 김승연 LIG넥스원 방산기술보호실장과 고희재 한화에어로스페이스 보안팀장, 최시철 에프원시큐리티 이사가 간담회에서 의견을 듣고 있다. [자료: 보안뉴스]
방산업계에 따르면 DoD는 지난해 12월 CMMC 인증 시행을 공식화했다. 올해부터 일부 계약에 CMMC 도입을 시작하고, 점진적 적용 단계를 거쳐 오는 2028년까지 전면 시행될 예정이다.
미국은 지난 2019년 국방 관련 정보 유출 방지를 위해 CMMC를 마련됐다. 국방 사업에 참여하는 업체들을 대상으로 일정 수준 이상의 보안 체계를 검증하기 위해서다. 인증의 핵심은 美 국방부 사업 수행에 필요한 연방계약정보(FCI)와 통제필요정보(CUI) 보호다. 보안 수준에 따라 레벨1~3으로 나뉜다.
간담회에서 김 실장은 “CMMC는 무기 체계와 군수 물품 전반을 포함한 광범위한 영역에 영향을 미치는 제도”라며 “인증을 받을 기업을 비롯해 협력사 전반을 정비하는 작업인 만큼 컨설팅 업체의 선정부터 신중에 신중을 기할 것”이라고 전했다.
고 팀장은 “CMMC 컨설팅은 초기 단계로 업체마다 비용도 다르고, 자격증 보유만으로 컨설턴트의 역량을 평가하기 어려운 상황”이라며 “기업 차원에서 신중할 수밖에 없는데, 최근 정부가 관심을 보이기 시작해 기대가 크다”고 전했다.
미국과 방산 계약을 하려면 최소 CMMC 레벨2 인증이 필요하다. 이를 위해 미국 기술표준기술연구소(NIST)의 SP 800-171에서 제시한 14개 영역 110개 보안 과제를 충족하고, 제3자(C3PAO) 인증을 거쳐야 한다. 이 중 연방정보처리표준(FIPS)에 따른 통제필요정보 암호화 요구사항(SC.L2-L3.13.11)은 비용과 더불어 국내 CC 인증과 상충되는 부분이 있다.
최시철 에프원시큐리티 이사는 “FIPS 암호화는 비용 부담과 함께 국내 CC 인증과 충돌하는 부분이 있어 업계에서도 상황을 살피는 중”이라며 “정부 차원의 협상을 통해 CC 인증과의 충돌 사항을 예외적으로 허용하거나 한국형 암호화 방식을 수용하도록 하거나 클라우드 방식의 암호화를 도입하는 방법도 있다”고 말했다.
정부에서도 CMMC의 중요성을 인식하고 미국과 협력 방안을 논의하고 있다. 지난해 레벨1 컨설팅 지원을 시작으로 올해 레벨2 인증을 위한 컨설팅 지원을 예고했다. 국내 인증심사 기관 설립도 추진되고 있다. 다만, 실무진 차원의 접근으로 가이드라인 제시나 한국형 방위산업 수출 생태계 조성 같은 거대 담론을 다루기엔 다소 미흡한 측면이 있다.
▲(왼쪽부터) 김민수 김앤장법률사무소 정보보안연구소장과 류연승 명지대 방산안보학과 교수, 권준 보안뉴스 부사장이 간담회에서 의견을 교환하고 있다. [자료: 보안뉴스]
CMMC는 업체 전반의 프로세스와 보안 정책, 운영 검증을 아우르는 인증인 만큼 막대한 비용이 든다. 수주량이 일정 수준 이상 확보되지 않는 중소규모 업체들은 참여가 어려울 수 있다.
김민수 김앤장법률사무소 정보보안연구소장은 “CMMC가 본격화되면서 제도 정착 초기의 혼란이 상당한 편”이라며 “아무도 가보지 않은 길을 걷기 위해서는 신뢰할 수 있는 컨설팅이 중요한 만큼 오늘 참석하신 전문가들이 CMMC 인증 생태계 조성을 위해 힘써 주시길 바란다”고 말했다.
명지대 류 교수는 “글로벌 방산 수출 4대 강국을 목표로 하는 K-방산이 미국과의 국방 협력을 강화하기 위해서는 CMMC 인증 역량을 갖춰야 한다”며 “인증 취득을 위해 컨설팅을 받아야 한다면 비용과 신뢰성 등 여러 측면을 고려해 국내외 현황을 세심하게 살펴봐야 할 것”이라고 말했다.
현재 CMMC 컨설팅 자격증은 온라인 수업과 오픈북 시험을 통해 취득할 수 있다. 미국은 정기적으로 컨퍼런스를 열어 컨설턴트와 인증심사원의 수준을 관리하고 있는데, 국내에서는 이러한 움직임을 보이지 않고 있다. 그럼에도 2023년부터 자격증 취득 가능 국가가 미국 동맹국으로 확대되면서 한국인의 자격증 취득자가 100명을 넘긴 상태다. 미국을 제외하고 세계에서 가장 많은 숫자로, 미국 CMMC 업계가 주목하는 이유다.
정부가 미국과의 CMMC 상호인정 협정 체결을 위해 적극 나서야 한다는 게 참석자들의 공통된 의견이다. 류 교수는 “K-CMMC 제도 구축을 통해 방산업체의 CMMC 인증을 지원하고, 자생적으로 형성되고 있는 국내 CMMC 생태계의 질을 관리해야 한다”며, “인증 수준이 떨어진다면 미국과 상호인정 협정이 어려워질 수 있기 때문”이라고 강조했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
