-
>
미 국방부 부 CIO, 내년 1분기에 CMMC 제도 공식 출범 언급
김한경 안보전문기자
입력 : 2024.07.25 10:07
ㅣ 수정 : 2024.07.25 10:07
최종 제안규칙은 오는 11월 발표하고 의회 인준 거쳐 내년 10월부터 업체에 실제 적용할 듯
[뉴스투데이=김한경 기자] 미국 국방부의 부 CIO(최고정보책임자)인 데이비드 멕케오운(David McKeown)이 지난달 6일 열린 포토맥 임원 클럽의 ‘2024 사이버 서밋’ 연설에서 CMMC 제도가 내년에 출범한다는 사실을 언급한 것으로 최근 알려졌다.
CMMC는 미 국방부가 국방 계약업체의 사이버보안 역량을 평가하고 인증하는 제도다. 통제 필요 정보(CUI)를 취급하는 모든 조직은 앞으로 CMMC 인증을 받아야 하며, 인증 수준에 따라 계약기회와 범위가 달라진다.
CMMC 제도 시행을 위한 ‘제안규칙(proposed rule)’을 지난해 12월 26일 연방 관보(Federal Register)에 발표한 미 국방부는 방산업계로부터 약 2,000건의 의견을 접수하고 이에 관한 판단을 거의 완료한 상태다.
데이비드 멕케오운 부 CIO는 당시 연설에서 “CMMC 제도에 대한 방산업계 의견을 반영한 최종 제안규칙은 올해 11월 초에 발표될 예정이며, 이후 의회 인준을 거쳐 내년 1분기에 CMMC 제도가 공식 출범할 것”이라고 언급했다고 한다.
이와 관련, CMMC 전문 컨설팅 기업인 ‘티큐엠에스’의 이민재 CMMC 선임 컨설턴트(Registered Practitioner Advanced)는 “미 국방부는 지난 5월 30일 ‘국방연방획득규정 추가조항의 하위조항 204.75’를 통해 내년 10월 1일부터 기성품(COTS) 획득 외에 상업용 제품과 서비스 획득을 위한 모든 계약에 CMMC 인증을 요구한다는 것을 명시했다”라고 말했다.
즉 관련 규정에는 내년 10월부터 CMMC 제도를 본격 적용하는 것으로 명시돼 있다. 따라서 데이비드 멕케오운 부 CIO의 언급이 정확하다면 내년 1분기에 CMMC 제도가 공식 출범은 하지만 실제 적용까지는 6개월 정도의 유예기간이 있을 것으로 보인다.
이민재 컨설턴트는 “미국 방산기업은 이미 합동감시자율심사 프로그램(Joint Surveillance Voluntary Assessment Program)에 따라 CMMC 인증을 취득하고 있다”면서 “CMMC 인증심사에 약 8주의 기간이 소요됨으로 미국 진출을 고려하는 국내기업들은 인증 시점을 계획하고 준비할 필요가 있다”라고 설명했다.
합동감시자율심사 프로그램은 CMMC 제도 시행 이전에 한시적으로 적용되며, CMMC의 참조모델인 미국 국립표준기술연구소의 특별 간행물 800-171 기준으로 심사를 수행한다. 심사에 통과하면 CMMC 인증을 취득한 것과 같은 효력이 발생하며, CMMC 제도가 본격 시행될 경우 2등급 인증서를 발행해 준다.
한편, 미 국방부가 CMMC 인증이 필요한 방산업체들을 조사한 결과 1등급 대상업체가 5만∼8만개, 2등급 업체가 8만개, 3등급 업체가 600개로 확인됐다. CMMC는 3개의 등급으로 구분하는데, 1등급은 17개의 보안요건을 충족해야 하며, 2등급은 110개, 3등급은 134개의 보안요건을 충족해야 한다.
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.
0
/250
