최근 미국 국방부(DoD) 사업 참여 요건이 강화되면서 방산 및 연방 공급망 관련 기업이 갖춰야 할 사이버보안 수준도 높아지고 있다. 미 국방부는 국방 조달 계약에 사이버보안 인증인 CMMC(Cybersecurity Maturity Model Certification)를 의무화하는 규정을 확정했으며, 2025년 11월 10일부터 단계적으로 시행하고 있다. CMMC는 연방계약정보(FCI) 또는 통제대상 비기밀 정보(CUI, Controlled Unclassified Information)를 처리·저장·전송하는 기업에 적용되는 필수 인증 제도로, 원청업체뿐 아니라 하청·재하청업체까지 인증 대상에 포함된다.
이에 따라 미국 국방 공급망에 직·간접적으로 참여하는 국내 방산·조선업체와 관련 IT 서비스 기업은 자사의 보안 체계를 점검하고 CMMC 요구사항에 맞춰 선제적으로 정비해야 한다. CMMC는 단순한 보안 인증을 넘어 미 국방부 사업과 공급망 진입을 위한 핵심 자격으로 자리 잡았으며, 미국을 비롯한 캐나다, 호주, 아랍미리트(UAE), 대만 등의 주요 방산 기업들은 이미 인증 취득을 추진하거나 완료한 상태다.
CMMC 준비 수준은 기업이 수행하는 사업과 다루는 정보의 민감도에 따라 달라진다. 단순 납품 중심인지, 설계·기술 개발에 참여 하는지에 따라 요구되는 보안 범위가 달라지므로 사업 특성에 맞는 전략 수립이 중요하다. 또한 CMMC 대응은 기술적 보완뿐 아니라 정책, 업무 프로세스, 조직 운영 전반의 개선을 요구하므로 일반적으로 1년 이상의 준비 기간이 필요하다. 특히 CUI 범위를 어떻게 설정하느냐에 따라 구축 범위와 비용이 크게 달라지기 때문에 전사 적용보다는 필요한 영역을 중심으로 한 전략적 Enclave 설계가 효과적이다. 아울러 공급망 내 협력사 역시 CMMC 요구사항의 영향을 받는 만큼, 주요 협력사의 대응 수준까지 고려한 공급망 차원의 준비가 요구된다.