-
>
美 국방부, 사이버보안 성숙도 모델 인증(CMMC) 규칙 제정 예정보다 지연
김한경 안보전문기자
입력 : 2023.03.12 13:17
ㅣ 수정 : 2023.03.12 14:14
최종 규칙은 24년에 완성될 것으로 예상되며, 이전에 방산기업의 자발적 제3자 심사 권장
[뉴스투데이=김한경 기자] 美 국방부가 올해 3월 고시하겠다고 지난해 발표한 사이버보안 성숙도 모델 인증(CMMC, Cybersecurity Maturity Model Certification) 규칙 제정이 예정보다 지연될 것으로 알려졌다.
최근 워싱턴 테크놀러지(Washington Technology)는 CMMC 인증기관인 Cyber AB의 CEO 매튜 트래비스와의 인터뷰를 통해 이 일정이 늦어지고 있어 잠정 최종 규칙(interim final rule)은 빨라야 올해 5월쯤 공지되고, 이후 6~12개월간 의견 수렴을 거쳐 최종 규칙(final rule)이 완성될 것이라고 발표했다.
이에 따라, 최종 규칙은 2024년에 완성될 것으로 예상되며, 지난해 합동감시자율심사프로그램(Joint Surveillance Voluntary Assessement Program)을 발표한 美 국방부는 CMMC 최종 규칙이 나오기 전이라도 방산기업들이 자발적으로 제3자 심사를 받도록 권장하고 있다고 워싱턴 테크놀러지는 밝혔다.
이 심사 프로그램은 CMMC 심사기관인 C3PAO와 美 국방부의 방산업계 사이버보안 심사 센터 (DIBCAC)가 공동으로 국립표준기술연구소 특별간행물 800-171, “비연방 시스템과 조직에서 통제필요정보 보호”의 준수를 심사하는 것이다.
현재 60개 업체가 신청했고 7개 업체가 심사를 마쳤는데, 이 프로그램을 통해 심사받은 기업은 CMMC 2등급으로 인정되며, CMMC 인증제도가 개시된 후 별도로 CMMC 심사를 받을 필요가 없다고 워싱턴 테크놀러지는 설명했다.
CMMC 컨설팅 및 인증심사 서비스를 제공하는 이민재 티큐엠에스 대표는 “CMMC 2등급 인증을 받으려면 14개 도메인 110개 프랙티스의 이행을 입증해야 한다”며 “인증심사 조직의 규모와 환경에 따라 대상 범위가 달라질 수 있으나 일반적으로 240여 종의 문서가 요구되며, 이외에 90여개 업무기능과 인터뷰 및 170여종의 시연도 요구된다”라고 말했다.
그러면서 그는 “최종 규칙 제정 일정이 지연돼 미국 진출을 고려하는 우리나라 기업의 경우 인증을 준비할 수 있는 충분한 시간을 확보할 수 있게 됐다”라고 덧붙였다.
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.
0
/250
