[뉴스투데이=금교영 기자] 한국이 미국 CMMC(사이버보안 성숙도 모델 인증) 시장을 효과적으로 공략하려면 미국이 요구하는 규격에 맞는 암호화를 적용해야 한다는 분석이 나왔다.

서청정 명지대학교 방산안보연구소 CMMC센터 센터장은 24일 서울 여의도 국회의원회관 제1소회의실에서 'CMMC·RMF(위험관리프레임워크)의 현주소와 향후 대비 방향'을 주제로 열린 ‘2025 K-방산혁신포럼’에서 이같이 말했다 .

서청정 센터장은 '미국 CMMC 최신 동향과 한국의 대응 전략'을 주제로 하는 발표에서 "CMMC가 성공하려면 암호화가 중요하다"며 "한국은 미국이 요구하는 규격에 부합하는 암호화 기술을 갖춰야 한다"고 주문했다.

서 센터장은 또 이를 위해 한국정부의 △재정적·기술적 지원 △평가 및 모니터링 체계 구축이 뒷받침돼야 한다고 제언했다. 

미국 국방부가 제정한 사이버 보안 인증 체계 CMMC는 미국 국방부 계약업체 및 협력업체가 갖춰야 하는 사이버 보안성숙도 모델 인증이다. 이 인증은 모두 3단계로 이뤄지며 레벨별로 △1단계 15개 △2단계 110개 △3단계 134개 항목에 대한 인증을 받아야한다. 

이처럼 단계별 인증을 통해 방산 정보 시스템 및 데이터 보호를 강화해 국가 안보를 보호하고 사이버 공격으로부터 방위산업을 안전하게 지키는것을 목표로 한다.

인증 절차는 '준비→평가→인증→유지 관리' 단계로 이뤄진다. 준비 단계는 내부 보안 정책 점검 및 요구사항 충족을 위한 준비이다. 이후 제3자 평가 기관이 기업 보안 상태를 평가하고 CMMC 요구사항 준수 여부를 확인하는 평가 단계를 거친다.

해당 평가 결과가 기준을 충족하면 CMMC 인증을 얻는다. 그러나 인증을 획득해도 정기적으로 보안시스템을 점검하고 업데이트를 통해 인증 기준을 유지하고 관리해야 한다. 

서 센터장은 CMMC 인증 과정에서 '3년 마다 재검증'을 받아야 한다는 점이 중요하다며 “바뀐 부분은 항상 업데이트하고 준비해 다음 인증을 받을 때 문제가 없도록 하는 것이 가장 중요한 포인트”라고 꼽았다. 

그는 한국의 CMMC 대응 전략과 관련해 규격에 맞는 암호화 적용과 변화하는 규정에 대한 지속적인 업데이트를 주문했다. 

서 센터장은 “최근 동향을 보면 인증에 실패하는 이유는 대부분 암호화 규격을 못 맞췄기 떄문”이라며 “미국에서 요청한 내용을 정확하게 파악해야 하며 이 과정은 정부 주도로 이뤄질 필요가 있다”고 제안했다.

그는 “암호화는 CMMC의 가장 중요한 부분 중 하나이며 평가 기준에서 가장 많은 점수를 차지한다”며 “국내는 한국 정부가 주도하는 암호화를 쓰지만 미국 시장에 진출할 때 미국 규격 준수가 반드시 이뤄져야 한다"고 당부했다. 

서 센터장은 한국 정부가 미국 CMMC에 성공적으로 대응하기 위해 인증 컨설팅, 인증제도, 교육체계 고도화 등으로 나눠 설명했다. 

그는 중소기업의 비용 부담을 줄이기 위한 CMMC 인증 비용 지원은 물론 CMMC 준비 관련 투자에 세금 공제 또는 감면 혜택과 같은 재정적 지원이 필요하다고 강조했다.

또한 암호화 등 CMMC 요건 충족이 가능한 보안 기술 솔루션 지원과 양질의 컨설팅 서비스 제공 등 기술적 지원이 중요하다며 정부가 인증하는 컨설팅 업체를 발굴해달라고 요청했다.

그는 평가 및 모니터링 체계를 구축해 CMMC 준비 기업의 상태를 점검하는 평가 제도를 마련하고 규정 변경 사항에 따른 업데이트를 지속적으로 제공해야 한다고 역설했다. 

서 센터장은 “CMMC 규정이 계속 바뀌고 있어 정부가 이런 규정을 지속적으로 업데이트하고 교육하는 길을 마련해야 한다”며 “정부 주도의 법제적·재정적 지원이 필요하다”고 주문했다.

한편 한국 정부는 지난해 8월부터 올해 2월까지 CMMC 관련 통합실태 조사 개선안 연구 용역을 통해 인증제도 추진 정책을 수립했다. 또한 20개사를 대상으로 레벨1 컨설팅을 진행했으며 올해는 레벨2까지 확대할 계획이다.

아울러 CMMC 단계적 시행에 맞춰 한국 방위산업기술 사이버보안 인증제도를 수립했으며 미국과 상호인정협정을 추진해 미 국방조달 사업에 대한 국내업체 참여를 지원하고 있다.