Skip to main content


      방산 기업 미국 진출의 필수 관문!
      사이버보안 성숙도 모델 인증(CMMC) 전담팀
      미국 국방부가 CMMC(Cybersecurity Maturity Model Certification, 사이버보안 성숙도 모델 인증) 도입을 본격화하면서 국내 방산기업들의 대응 필요성도 커지고 있다. 미국 방산 공급망에 참여하기 위해서는 주계약사는 물론 협력업체까지 인증을 취득해야 하는 만큼, CMMC는 선택이 아닌 필수 요건으로 자리 잡고 있다.

      이에 삼정KPMG는 미국 국방부 및 글로벌 방산 공급망 진출을 희망하는 국내 기업을 지원하기 위해 올해 초 CMMC 전담팀을 출범했다. 이번 호에서는 CMMC 전담팀을 만나본다.

      emering


      # CMMC, 1년 이상의 준비 기간과 CUI 범위 설정이 관건

      최근 미국 국방부(DoD) 사업 참여 요건이 강화되면서 방산 및 연방 공급망 관련 기업이 갖춰야 할 사이버보안 수준도 높아지고 있다. 미 국방부는 국방 조달 계약에 사이버보안 인증인 CMMC(Cybersecurity Maturity Model Certification)를 의무화하는 규정을 확정했으며, 2025년 11월 10일부터 단계적으로 시행하고 있다. CMMC는 연방계약정보(FCI) 또는 통제대상 비기밀 정보(CUI, Controlled Unclassified Information)를 처리·저장·전송하는 기업에 적용되는 필수 인증 제도로, 원청업체뿐 아니라 하청·재하청업체까지 인증 대상에 포함된다.

      이에 따라 미국 국방 공급망에 직·간접적으로 참여하는 국내 방산·조선업체와 관련 IT 서비스 기업은 자사의 보안 체계를 점검하고 CMMC 요구사항에 맞춰 선제적으로 정비해야 한다. CMMC는 단순한 보안 인증을 넘어 미 국방부 사업과 공급망 진입을 위한 핵심 자격으로 자리 잡았으며, 미국을 비롯한 캐나다, 호주, 아랍미리트(UAE), 대만 등의 주요 방산 기업들은 이미 인증 취득을 추진하거나 완료한 상태다.

      CMMC 준비 수준은 기업이 수행하는 사업과 다루는 정보의 민감도에 따라 달라진다. 단순 납품 중심인지, 설계·기술 개발에 참여 하는지에 따라 요구되는 보안 범위가 달라지므로 사업 특성에 맞는 전략 수립이 중요하다. 또한 CMMC 대응은 기술적 보완뿐 아니라 정책, 업무 프로세스, 조직 운영 전반의 개선을 요구하므로 일반적으로 1년 이상의 준비 기간이 필요하다. 특히 CUI 범위를 어떻게 설정하느냐에 따라 구축 범위와 비용이 크게 달라지기 때문에 전사 적용보다는 필요한 영역을 중심으로 한 전략적 Enclave 설계가 효과적이다. 아울러 공급망 내 협력사 역시 CMMC 요구사항의 영향을 받는 만큼, 주요 협력사의 대응 수준까지 고려한 공급망 차원의 준비가 요구된다.


      1 사이버보안 성숙도 모델 인증(CMMC) 전담팀이 파이팅을 외치고 있다!

      # CMMC 대응 전 과정 아우르는 End-to-End 서비스 제공

      CMMC 전담팀은 미국 국방부(DoD)가 글로벌 방산 공급망을 대상으 로 도입한 사이버 보안 인증 체계인 CMMC(Cybersecurity Maturity Model Certification) 대응을 전문적으로 지원하는 컨설팅 조직이다. CMMC는 미국 국방부와 직·간접적으로 거래하는 방산 기업의 필수 요건으로 자리 잡고 있으며,인증을 획득하지 못할 경우 향후 방산 사업 및 계약 참여에 제약이 발생할 수 있다.

      이에 CMMC 전담팀은 NIST SP 800-171 기반의 현황 진단(Gap Assessment)을 시작으로 CUI(Controlled Unclassified Information) 범위 설정 및 보호 체계 설계, 시스템 보안 계획(SSP) 수립, 보안 통제 개선, 인증 심사 대응에 이르기까지 CMMC 준비 전 과정을 End-to-End로 지원하고 있다. 특히, 미국의 DFARS 및 32 CFR Part 170과 국내 방위산업기술 보호제도를 함께 고려한 통합 접근 방법론을 바탕으로, 국내 방산기업의 현실에 맞는 실질적인 대응 전략을 제시하고 있다. 또한, CMMC 전문 자격을 보유한 컨설턴트들이 참여해 글로벌 수준의 전문성을 바탕으로 서비스를 제공하고 있으며, 기업들의 사업 특성과 보안 환경을 반영한 맞춤형 컨설팅 통해 효과적인 인증 취득과 안정적인 공급망 진입을 지원하고 있다.

      한편, CMMC 전담팀은 현재 수행 중인 국내 주요 방산기업의 인증 프로젝트를 성공적으로 완수하여, 국내 CMMC 컨설팅 시장의 표준이 될 수 있는 레퍼런스를 구축하는 것을 목표로 하고 있다. 나아가 CMMC 실무 협의체의 확대, 전문 인력 양성, 국내 환경에 최적화된 대응 방법론 고도화를 통해 국내 방산 사이버보안 생태계의 발전을 선도해 나가고자 한다. 이를 통해 K-방산이 글로벌 시장으로 도약하는 과정에서 보안 규제가 장애물이 아닌 경쟁 우위로 작용할 수 있도록, 국내 기업들과 함께 한발 앞서 대응 전략을 마련하고 실행 방안을 제시하며 그 길을 함께 개척해 나가고자 한다.


      ‘CMMC 전담팀’ 주요 서비스
      CMMC 인증 대응 컨설팅
      - 국내 주요 방산기업을 대상으로 현황 분석(Gap A ssessment), CUI 범위 설정(Scoping), 시스템 보안 계획(SSP) 수립, 보안 통제 개선, C3PAO 인증 심사 대응 등 CMMC 인증 전 과정을 지원함
      - CyberAB 공식 RPO(Registered Provider Organization)에 등록된 전문가들이 RPA(Registered Practitioner Advanced) 및 RP(Registered Practitioner) 자격을 바탕으로 미국 CMMC 제도와 인증 심사 체계에 대한 전문성을 바탕으로 고객 맞춤형 컨설팅을 제공함
      CMMC 실무자 보안 협의회 운영 지원
      - 국내 방산산업의 성공적인 CMMC 대응을 위해 주요 방산기업 실무자들과 함께 CMMC 협의체 운영을 지원함
      - 협의체를 통해 글로벌 CMMC 정책 및 규제 동향과 인증 준비 과정에서의 실무 경험 및 우수 사례를 공유하며, 국내 방산 생태계 전반의 대응 역량 강화에 기여함


      ‘CMMC 전담팀’ 구성원들의 한 마디!

      1 고영대 전무, 홍진경 Director, 장석찬 S.Manager

      고영대 전무 (팀 리더) youngdaiko@kr.kpmg.com “CMMC는 단순한 인증 취득이 아니라 글로벌 방산 시장에서 신뢰를 확보하기 위한 경영 과제입니다. 보안 기술 전문성과 컴플라이언스 자문 역량을 결합하여, 고객사의 글로벌 시장 진출을 지원하겠습니다.”


      홍진경 Director jinkyounghong@kr.kpmg.com “K-방산의 세계 시장 진출이 확대되는 지금, 보안은 더 이상 비용이 아니라 경쟁력입니다. 고객사가 CMMC라는 새로운 기준을 기회로 전환할 수 있도록 가장 가까운 파트너가 되겠습니다.”


      장석찬 S.Manager sukchanchang@kr.kpmg.com “진정한 CMMC 대응은 솔루션 도입에서 끝나지 않습니다. 고객사가 스스로 보안 체계를 운영하고 지속적으로 개선해 나갈 수 있는 역량을 갖추도록 지원하는 것이 우리의 목표입니다.”