법무법인(유) 화우

미국 국방부 현 전쟁부(DoD)는 국방 조달 계약에 사이버보안 인증인 CMMC(Cybersecurity Maturity Model Certification)를 의무화하는 조달 규정을 확정했으며, 2025년 11월 10일부터 1단계 시행에 들어갔습니다. CMMC는 연방계약정보(Federal Contract Information, FCI) 또는 통제대상 비기밀 정보(Controlled Unclassified Information, CUI)를 처리·저장·전송하는 모든 기업에 적용되는 필수 사이버보안 인증 제도입니다. 이에 따라 미 국방부와 직접 계약하는 원청업체는 물론, 하청 및 재하청업체까지 CMMC인증 취득 대상이 됩니다. 따라서 미 국방 공급망에 직간접적으로 참여하는 국내 방산·조선업체 및 관련 IT 서비스 업체들은 CMMC 요구사항에 부합하는지 여부를 신속히 점검하고, 관련 내부 시스템을 선제적으로 정비할 필요가 있습니다.

1. 배경

2. CMMC 2.0의 주요 내용

3. 기업의 실무적 과제

4. 시사점

1. 배경: 왜 CMMC가 등장했는가?

미 국방부는 2016년 국방부 조달규정 부칙(DFARS) 개정을 통해 방산 계약업체에 국방 정보(Covered Defense Information, CDI) 보호 의무 및 사이버 사고 보고 의무를 부과하고, 보안 요구사항을 정비하여 왔습니다. 그러나 보안 요구사항을 갖추도록 계약하는 것만으로는 실제 이행 여부를 일관되고 체계적으로 검증하는 데 한계가 있다고 판단하였습니다. 그래서 미 국방부(현 전쟁부)는 국방 부문의 계약 요구사항에 사이버보안 성숙도 모델인증인 CMMC 제도를 도입하여, 계약업체 및 하청업체가 보안 요구사항을 실제로 구현하였는지를 제3자가 검증(Verify)할 수 있는 메커니즘을 제도화하였습니다. 규칙 발효일로부터 3년 동안은 특정 계약에 한하여 제한적으로 적용되나, 3년이 지난 이후에는 FCI와 CUI를 처리, 저장, 전송해야 하는 모든 입찰 및 계약 등에 CMMC 요구사항을 포함할 예정입니다.

2. CMMC 2.0의 주요 내용

가. 무엇을 보호하려는 제도인가? : FCI와 CUI

CMMC는 궁극적으로 연방계약정보(FCI)와 통제대상 비기밀정보(CUI)를 보호하기 위한 제도입니다. 연방계약정보(FCI)는 정부 계약에 따라 제품이나 서비스를 개발·인도하는 과정에서 생성·제공·식별되는 비기밀 정보를 의미합니다. 반면 통제대상 비기밀정보(CUI)는 정부가 생성·보유하거나 정부를 위하여 생성·보유하는 정보 중, 법률·규정 또는 정부 전반 정책에 따라 보호조치(Safeguarding) 또는 유포통제(Dissemination Controls)가 요구되거나 허용되는 정보를 뜻합니다. 이는 국가안보 기밀정보를 다루는 체계와는 별개의 범주입니다.

나. CMMC 2.0의 3단계 구조

CMMC 2.0은 레벨 1, 레벨 2, 레벨 3의 3단계 구조를 취합니다. 다만 실제 적용은 기업의 업종 자체가 아니라, 취급 정보의 성격과 개별 제안 요청서(Solicitation) 또는 계약서(Contract)에서 요구되는 수준에 따라 달라집니다.

3. 기업의 실무적 과제

CMMC 대응 업무는 보안 부서의 단독 과제로 보기 어렵습니다. 실제로는 정보식별, 평가범위 설정, 계약조항 정비, 공급망 관리, 문서증적 체계, 사고대응, 연례 확약 준비까지 연결되는 전사적 컴플라이언스 과제에 가깝습니다. 따라서 아래와 같은 실무 포인트를 통합적으로 검토할 필요가 있습니다.

가. 범위를 잘못 잡으면 비용이 과다해지고, 좁게 잡으면 인증 심사에서 불합격됩니다.

미 국방부가 발행한 CMMC 레벨 2 범위 설정 가이드(CMMC Scoping Guide – Level 2)¹에 따르면, CMMC 평가를 수행하기에 앞서 평가 대상 조직(OSA)은 연방법령 32 CFR §170.19(c)에 따라 평가범위(CMMC Assessment Scope)를 사전에 특정해야 합니다. 이 가이드는 평가 대상 자산을 다음 5가지 유형으로 분류하고 있습니다.

CMMC 대응의 출발점은 우리 회사가 어떤 정보를 다루고, 어느 시스템이 평가범위에 포함되는지를 정확히 식별하는 것입니다. 어떤 시스템을 평가 대상에 포함시킬 것인지가 전체 비용, 일정, 운영 복잡도를 좌우합니다.

나. 원청뿐만 아니라  하청·재하청까지 의무를 부담합니다.

기업은 연방조달규정(Federal Acquisition Regulation, FAR 52.204-21), 연방법령(32 CFR Part 170), 국방조달규정 추가조항(DFARS 252.204-7012, DFARS 252.204-7021) 등 관련 조항과 실제 개별 계약서의 문구를 함께 검토할 필요가 있습니다.

특히 원청과 하청·재하청 간 계약에서 CMMC 요구사항을 어떤 방식으로 반영할 것인지, 자료접근 권한은 어떻게 설정되는지, 사고 발생 시 통지·협조·손해배상 구조는 어떻게 설계되는지에 대한 점검이 필요합니다.

확정된 조달규칙은 원청업체가 계약을 통해 하청업체까지도 CMMC 관련 의무를 부가할 것을 전제하고 있으므로, 공급망 전체의 계약 구조와 의무 분담 체계를 함께 설계해야 합니다.

다. 심사기관은 보안 솔루션 '설치' 여부가 아니라, '실제 운영 기록'을 봅니다.
 

CMMC 대응은 보안 프로그램이나 솔루션을 설치하는 것만으로 끝나지 않습니다. 전산망 구조, 클라우드 사용 방식, 외부 파일 공유 절차, 계정관리, 로그 보관 및 모니터링 체계 등이 실제 심사 가능한 형태로 내재화되어야 합니다.

따라서 기업은 보안통제 자체뿐 아니라, “시스템 보안 계획서(System Security Plan, SSP)”, “시정조치 계획서(Plans of Action and Milestones, POA&M)”, “자산 인벤토리”, “정책 및 절차서”, “로그”, “교육기록”, “인터뷰 대응자료” 등 증적 패키지를 함께 정비해야 합니다.

라. 미국 계약상 요구와 국내 법규가 충돌할 수 있는 지점을 사전에 파악해야 합니다.

국내 기업은 CMMC 대응 과정에서 국내 개인정보 보호법, 노동법, 전자기록 관리 규정, 그리고 미국의 국제무기거래규정(ITAR) 및 수출관리규정(EAR) 등과의 정합성도 함께 검토해야 합니다. 예를 들어 “로그수집범위”, “해외 자료이전”, “협력사 접근권한”, “심사기관 자료제출 범위” 등 영역에서 미국 계약상 요구와 국내 규제가 충돌할 수 있습니다.

또한 공인 심사기관(C3PAO)이 인증 심사를 수행하는 과정에서는 시스템 구성, 기술문서, 설계 도면 등 영업비밀성이 높은 정보가 노출될 가능성이 있습니다. CMMC 인증 심사와 관련하여 어떤 자료를 어떤 수준까지 제출할 것인지, 제출자료와 내부 보존자료를 어떻게 구분할 것인지에 대한 사전 설계가 필요합니다.

마. 인증 취득은 시작일 뿐, 이후 부과되는 의무가 더 많습니다.

조달규칙에 따라 기업은 공급자 위험관리 시스템(SPRS) 상태를 최신으로 유지하고 연례 확약(annual affirmation)을 수행해야 합니다. 사업부·보안팀·법무팀·경영진이 어떤 자료를 근거로 준수 여부를 확인할 것인지에 대한 체계를 갖추어야 합니다.

그 밖에도, “72시간 내 사고 보고 대응체계”, “공급망내 사고 발생시 책임 분담 구조”, “손해배상 구조 및 구상권”, “보험청구 및 계약상 통지의무 이행 여부” 등에 대한 점검도 필요합니다.

단계적으로 아래와 같은 사항을 준비하여, 인증 취득은 물론 인증 이후 부과되는 의무를 이행하는 절차를 마련해야 합니다.

4. 시사점

국내 방산·조선업체 및 관련 IT 서비스 기업에게 CMMC는 더 이상 미래 과제가 아닙니다. 국방부 조달규정 부칙(DFARS) 개정이 이미 완료되었고, 1단계 절차가 시작된 이상, 미국 방산시장에 직간접적으로 참여하고 있거나 향후 참여할 예정인 기업이라면 CMMC 취득을 위한 준비를 서두르실 필요가 있습니다.

CMMC는 단순히 보안 인증 취득 문제가 아니라, 정보유형 분류, 평가범위 설정, 계약 구조 재설계, 증적 체계 정비, 사고대응, 보험·손해배상까지 아우르는 전사적 컴플라이언스 체계의 구축을 요구합니다.

CMMC 취득을 요하는 기업이라고 한다면 다음 세 가지를 우선 점검하실 것을 권장 드립니다.

첫째, 우리 회사가 다루는 정보가 FCI인지 CUI인지 식별하고, 인증 대상 범위를 어디까지 잡을 것인지 확정해야 할 것입니다. 범위 설정은 전체 비용과 일정에 직결됩니다.

둘째, 하청·재하청 계약에 CMMC 의무가 적절히 반영되어 있는지 계약 구조를 재검토해야 할 것입니다. 원청만 인증을 받는 것으로는 부족하며, 공급망 전체의 의무 분담 체계가 설계되어야 합니다.

셋째, 보안팀·법무팀·사업부가 함께 참여하는 대응 체계를 조기에 가동할 필요가 있습니다. 제3자 인증심사가 개시되는 2단계(2026년 11월)까지 인증 준비에 소요되는 시간을 감안하면 신속히 착수해야 할 것입니다.

화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있고, 방산 기업을 위한 CMMC 컨설팅 서비스도 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든 연락하여 주시기 바랍니다.