[2025 K-방산혁신포럼 (8)] 최시철 에프원시큐리티 이사 "CMMC 육성하려면 정부 컨설팅 품질관리 나서야"
전소영 기자 입력 : 2025.02.24 17:43 ㅣ 수정 : 2025.02.24 17:43
국내 방산기업 및 협력업체CMMC 인증 필요성 절감 정부·관련 기관, 방산업체 대상 관찰 후 인증 추진해야 전문기관 역할 커져…컨설팅 품질 유지 및 신뢰성 강화해야
최시철 에프원시큐리티 이사가 24일 서울 여의도 국회의원회관 제1소회의실에서 열린 ‘2025 K-방산혁신포럼’에서 주제발표를 하고 있다. [사진 = 뉴스투데이]
[뉴스투데이=전소영 기자] 한국이 CMMC(사이버보안 성숙도 모델 인증)를 육성하려면 △정부 차원의 컨설팅 품질 관리 △인증 획득 효율화 △전문 인력 육성 위한 교육기관 설립 △정보보호 전문·보안성 갖춘 컨설팅 전담기관(기업) 등 요건이 충족돼야 한다는 의견이 나왔다.
최시철 에프원시큐리티 이사는 24일 서울 여의도 국회의원회관 제1소회의실에서 ‘CMMC·RMF(위험관리프레임워크)의 현주소와 향후 대비 방향’을 주제로 한 ‘2025 K-방산혁신포럼’에서 이같이 밝혔다.
이날 첫 번째 세션 ‘CMMC’의 주제발표자로 나선 최시철 이사는 ‘정보보호 컨설팅 관점의 CMMC’를 통해 정보보호와 CMMC 인증 컨설팅을 비교한 후 CMMC 컨설팅 발전방안을 제시했다.
CMMC는 사이버 보안 성숙도 모델 인증 프로그램이다. 이 프로그램은 모든 DIB(방위 산업 기지) 회사가 적절한 사이버 보안을 갖추도록 설계한 메커니즘이다.
미국은 2024년 12월 16일 '32 CFR Part 170'을 발효해 CMMC 제도 시행 공식화했다. 32 CFR Part 170는 미국 국방부(DoD)의 사이버 보안 성숙도 모델 인증(CMMC) 프로그램에 대한 규정을 다루고 있다.
다만 48 CFR Part 204가 발효돼야 규정상 미국 국방부와 계약을 체결할 때 CMMC 인증이 의무화된다. 48 CFR Part 204는 연방 조달규정(FAR)의 일부로 행정 및 정보 사항을 취급한다. 48 CFR Part 204는 이르면 올해 상반기 발효될 것으로 예상된다.
최 이사에 따르면 현재 국내 방산업체나 관련 기업은 CMMC 인증의 필요성을 실감하고 있다. 이에 따라 현재 수출에 나선 일부 방산업체는 외부 컨설팅을 실시하고 있다.
이에 따라 정부기관인 방위사업청은 관련 방산업체를 관찰하고 유예 기간을 적용해 천천히 추진하는 방안을 권고한 바 있다.
최 이사는 "CMMC는 정보보호 활동의 하나로 ISMS-P(정보보호 및 개인정보보호 관리체계 인증), ISO27001(정보보호 관리체계 표준 인증) 등 기존 정보보호 인증 컨설팅과 밀접한 관련이 있다"며 "이에 따라 정보보호 수준을 끌어올릴 수 있는 전문 컨설팅이 필요하다"고 강조했다.
그는 “컨설팅 기업 입장에서는 CMMC 제도를 자세하게 이해하지 못해 재심사를 받게 되면 많은 인증 비용이 투입된다”며 “컨설팅에 대한 수행 기간 투입과 인력 비용 판단 미흡 등 시행착오와 이러한 문제가 발생하면 이를 효율적으로 대처하기가 쉽지 않다"고 지적했다.
최시철 에프원시큐리티 이사가 ‘정보보호 컨설팅 관점의 CMMC’를 주제로 발표하고 있다.[사진 = 뉴스투데이]
이에 따라 최 이사는 한국 CMMC 인증이 발전하기 위해 4가지 방안을 제시했다.
우선 정부 차원의 컨설팅 품질 관리다.
그는 “컨설팅 기업과 컨설턴트 자격이 강화돼 우수 인재들이 컨설팅에 참여해야 한다”며 “이러한 전문성을 갖춰야 업계에 대한 신뢰성도 뒤따른다"고 설명했다.
두 번째, CMMC 인증 획득 효율화가 제시됐다.
그는 “현재 제3자 인증은 미국 CMMC 심사기관 'C3PAO'와 미국 국방부 산하 '방산업계 사이버보안 심사센터(DIBCAC)' 등 미국 인증 기관을 통해서만 가능하다"며 "이에 따라 이들 인증기관이 국내에 파견되거나 지사 형태를 갖추면 국내 인증 기업이 절차를 간소화하고 비용도 줄일 수 있다"고 강조했다.
최 이사는 전문 인력을 육성하는 교육기관 설립도 주문했다.
그는 "국내는 현재 CMMC 전문 교육기관으로 지정된 곳이 없다"며 "이에 따라 업체나 개인이 컨설팅 사업이 참여하기 위해 자격증은 취득하지만 실제 실무 능력에 대한 검증에 의문이 있는 게 현실"이라고 지적했다.
그는 또 "이러한 문제점을 해결하기 위해 전문 교육기관을 설립해 실무 중심의 교육을 제공해 국내 컨설팅 역량을 끌어올려야 한다"고 역설했다.
이와 함께 정보보호 전문·보안성 갖춘 컨설팅 전담기관(기업) 지정의 필요성도 나왔다.
최 이사는 “CMMC는 한국과 미국 간 체계적인 인증을 진행해 정보를 보호하는 신뢰도를 형성하는 것이라는 점에서 국가 안보 및 국제 무역과도 직결된다”며 “계약 및 기술 협력 간 비밀 유지 등 보안 관리가 강화되고 CMMC 인증 심사 및 사후 관리 지원이 쉽게 이뤄질 수 있도록 정부 차원에서 전담기관을 지정할 필요하다”고 당부했다.
