• home>

[2025 K-방산혁신포럼 (9)] "정부와 기업, 방산업계 필수 과제 CMMC 지원 나서야"

김성현 기자 입력 : 2025.02.24 18:24 ㅣ 수정 : 2025.02.24 18:24

미 국방부 사이버 보안 인증제도 대응 위한 지원 필수
CMMC 스코프 설정 중요...잘못 설정하면 불이익 당할 수도
한미 간 암호체계 차이 등 현안 많아 정부 적극 나서야
미국과 협의해 한국형 방산기술보호 사이버 인증제도 도입 추진

  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 프린터
  • 글자크게
  • 글자작게
image
사이버보안 전문가들이 24일 서울 여의도 국회의사당 의원회관 제1소회의실에서 ‘CMMC·RMF의 현주소와 향후 대비방향’을 주제로 열린 ‘2025 K-방산혁신포럼’에 참석해 발표하고 있다. [사진=뉴스투데이]

 

[뉴스투데이=김성현 기자] 방위산업에서 보안 인증의 중요성이 커지면서 정부와 기업이 방산업계 필수 과제로 등장한 CMMC(사이버보안 성숙도 모델 인증)를 적극 지원해야 한다는 목소리를 내고 있다. 

 

이와 함께 업계 전문가들은 CMMC를 도입할 때 관련 기업 상황에 맞는 맞춤형 방식을 정해야 한다는 지적도 나왔다.

 

‘CMMC·RMF(위험관리프레임워크)'의 현주소와 향후 대비방향’을 주제로 한  ‘2025 K-방산혁신포럼’이 24일 서울 여의도 국회의사당 의원회관 제1소회의실에서 열렸다.

 

이날 종합토론은 류연승 명지대학교 교수가 좌장을 맡고 서청정 명지대 CMMC 센터장, 최시철 에프원시큐리티 이사, 최영종 국방기술품질원 방산기술보호센터장, 염상훈 한화시스템 보안팀장, 문보형 KAI 기술보호팀장이 토론에 참여했다. 

 

image
최영종(가운데) 국방기술품질원 방산기술보호센터장이 24일 열린 ‘2025 K-방산혁신포럼’에서 주제발표를 하고 있다. [사진=뉴스투데이]

 

방산업체들이 미국 국방부 사이버 보안 인증제도인 CMMC에 본격적으로 대응하고 있는 가운데 전문가들은 정부 차원에서 체계적인 준비를 해야 한다고 입을 모았다. 

 

최영종 국방기술품질원 방산기술보호센터장은 "CMMC는 현재 매우 중요한 전환점을 맞이하고 있다"며 "앞으로 적용될 CMMC 정책이 방산업체 보안 체계에 기초가 될 것이지만 얼마나 안정적으로 정착하느냐가 관건"이라고 강조했다.

 

최영종 센터장은 "도널드 트럼프 미국 행정부 2기가 출범하면서 철저한 미국 우선주의가 두드러지고 있다"며 "이에 따라 CMMC 체계가 현재 상태로 유지될 지 아니면 더욱 강화될 지 예의주시할 필요가 있다"고 지적했다.

 

그는 "CMMC 요건이 강화되거나 적용 기간이 단축되면 국내 방산업체들은 더 큰 부담을 안게 될 수도 있다"며 "이러한 상황을 고려해 정부기관인 방위사업청 기술보호국에서도 철저하게 대비하고 있다"고 말했다.

 

그는 이어 "현재 방산업체 실태 조사와 연계해 CMMC 제도 개선 방안을 마련 중이며 미국과 협의해 한국형 방산기술보호 사이버 인증제도를 도입하는 방안을 검토 중"이라며 "이를 통해 방산업체 부담을 줄이고, 비용과 노력을 최소화할 수 있도록 할 것"이라고 설명했다.

 

최 센터장은 CMMC 대응 수준에 대해 "지난해 방산업체 20곳을 대상으로 CMMC 레벨 1 컨설팅을 진행했는데 대기업과 중소기업 간 격차가 컸다"고 지적했다.

 

그는 "대기업은 조직과 인력을 확대하고 전문성을 강화하는 등 체계적으로 준비하고 있지만 중소기업들은 전담 조직조차 없는 경우가 많다"며 "특히 CMMC 제도의 시급성과 중요성을 인식하지 못하는 경우가 많아 우려된다"고 말했다.

 

그는 또 "CMMC 레벨 1 및 레벨 2의 자체 평가와 SPRS(보상관리시스템) 등록이 필수인데 이를 잘못 등록하면 허위 청구법(False Claims Act)에 따라 3배 이상의 과태료와 벌금이 부과될 수 있다"며 "이뿐만 아니라 미국 국방부 공급망에서 퇴출될 수도 있다"고 경고했다.

 

최 센터장은 "정보보호 실무자들은 경영진 관심이 절실하다고 얘기하지만 제대로 잘 안되는 모습"이라며 "특히 시스템 무결성(SI) 부문에서는 기존 기업 내부 보안 실무자들이 해결하기 어려운 이슈들이 많다"고 털어놨다. 

 

염상훈 한화시스템 부장은 "지난 4년간 방산보안팀장을 맡아 CMMC 레벨 2 인증을 위한 컨설팅을 진행했고 지난해 12월 최종 규칙을 발표했다"며 "이 과정에서 업체들이 직면할 수밖에 없는 어려움을 절감했다"고 말했다.

 

image
염상훈(오른쪽) 한화시스템 보안팀장이 24일 열린 ‘2025 K-방산혁신포럼’에서 주제발표를 하고 있다 [사진=뉴스투데이]

 

염 팀장은 "CMMC를 준비하는 과정에서 가장 큰 문제 중 하나가 한·미 간 암호체계 차이"라며 "미국은 연방정보처리표준(FIPS140)을 따르는데 이는 우리나라가 미국 암호 모듈 인증 프로그램(CMVP)을 준수해야 한다는 뜻"이라고 설명했다.

 

그는 "우리나라의 보안 적합성 검증(KCMVP) 체계와 FIPS 140이 요구하는 암호 알고리즘이 다소 차이가 있어 이를 해결하는 방안이 필요하다"고 강조했다.

 

염 팀장은 "CMMC 대응이 방산업체 생존과 직결되는 만큼 정부 차원에서 실질적 지원이 필요하다"며 "기술적·제도적 보완책이 마련되지 않으면 중소기업 부담이 더욱 커질 것"이라고 말했다.

 

문보형 KAI 기술보호팀장은 CMMC 인증 과정과 기업들이 주의해야 할 사항, 그리고 향후 전망에 대해 언급했다.

 

image
문보형(오른쪽) KAI 기술보호팀장이 24일 열린 ‘2025 K-방산혁신포럼’에서 주제발표를 하고 있다 [사진=뉴스투데이]

 

문보형 팀장은 CMMC의 구체적인 내용도 파악해야 한다고 강조했다.

 

문 팀장은 "무기 개발 업체 입장에서 CMMC를 어느 수준까지 봐야하는 지가 굉장히 중요하다"며 "이를 잘못 설정하면 비용 차이가 크게 날 수 있다"고 말했다.

 

그는 "초기 CMMC를 준비할 때 불필요한 자산까지 포함하면 비용이 늘어날 수 있어 관련이 없는 시스템이나 장비는 제외해야 한다"며 "그러나 네트워크 관리 시스템이나 인증 시스템 등은 CMMC에 포함돼야 한다"고 주문했다.

 

그는 또 "정부 담당자들이 CMMC와 관련된 협의를 미국과 원활하게 진행하면 이에 따른 정보왜곡이 줄어들 수 있다"며 "이는 미국 시장에 진출하려는 방산업체들이 CMMC를 준비하는 데 큰 도움이 될 것"이라고 말했다.

[email protected] 이 기자의 다른 기사 보기
Copyright ⓒ 뉴스투데이. 무단전재 & 재배포 금지

[관련기사] [2025 K-방산혁신포럼 (9)] "정부와 기업, 방산업계 필수 과제 CMMC 지원 나서야"

댓글 (0)

- 띄어 쓰기를 포함하여 250자 이내로 써주세요.

- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.

0 /250