뉴스레터

해외규제 리포트 2024-08-21
  • 공유하기

    1. URL

해외규제 리포트 - 2025년 사이버 보안 성숙도 모델 인증제도 시행

2025년 사이버 보안 성숙도 모델 인증제도 시행


1. 주요 내용

사이버 보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification) 2.0 프로그램(“CMMC”)에 따라 모든 방위 산업에 관련된 공급계약은 세 가지 사이버 보안 등급 중 하나로 지정됩니다. 1등급과 2등급은 연방계약정보(FCI, Federal Contract Information) 및 통제된 비밀 정보(CUI, Controlled Unclassified Information)와 관련된 연방조달규정(FAR, Federal Acquisition Regulations) 및 미국 국방부 보충규정(DFAR, Defense supplement FAR)에 명시된 기존의 사이버 보안 통제의 적용을 받습니다. 반면, 가장 민감한 계약에 할당되는 3등급은 2등급보다 더 엄격한 추가 통제를 받게 됩니다. 

최종 규정은 올해 말 혹은 내년 초에 발표가 될 것으로 예상됩니다. 현재 CMMC 관련 새롭게 제안된 규칙에는 각 CMMC 등급과 관련된 새로운 평가 및 증명 요구 사항도 추가됩니다. 이에 영향을 받을 수 있는 기업들은 사이버 보안 관리 시스템을 검토하고 CMMC 컴플라이언스 요건들에 비추어 현재 수준을 평가하여, CMMC 시행 이전에 부족한 점을 보완하고 새로운 제도에 대비하여야 할 것으로 생각됩니다. 구체적인 내용을 참고하실 수 있도록 아래에 간략하게 요약하였습니다. 


CMCC의 등급

CMCC의 단계적 도입 계획에 따라 발효일부터 순차적으로 방위 계약마다 CMMC 등급이 지정됩니다. 

대부분의 계약은 1등급 또는 2등급으로 지정될 예정이며, 이는 각각 FCI 및 CUI에 대한 연방조달규정(FARs 52.204-21 기본 보호) 및 미국 국방부 보충규정(DFARs 252.204-7012 방위 정보 보호 및 사이버 보고)의 기존 사이버 보안 통제를 채택합니다. 기존 공급업체들은 이미 이러한 사이버 보안 표준을 준수하고 있습니다.

새롭게 제안된 규칙에서는 3등급 계약에 대한 추가 통제를 명시하고 있으며, 이는 2등급 요구 사항에 더해 국립표준기술연구소(NIST, National Institute of Standards and Technology) 특별 간행물(SP, Special Publication) 800-172를 기반으로 한 통제를 추가한 것입니다.

공급업체들은 현재 보유한 정부 계약을 검토하고 기존의 사이버 보안 요구 사항을 제안된 규칙에서 명시된 CMMC 등급 기준과 비교 평가함으로써 자신들의 CMMC 등급을 미리 예측할 수 있습니다. 또한 공급업체들은 주요 하청업체들의 CMMC 준수 상태도 평가해야 합니다. CMMC가 시행되면, 원청업체는 관련 CMMC 요구 사항을 준수하지 않는 하청업체와 계약할 수 없게 됩니다.

참고로, 현재 미국 국방부 보충규정(DFARs 252.204-7012)은 공급업체들이 NIST SP 800-171 통제의 구현과 계획 및 이행 일정(POAM, Plan Of Action and Milestones)을 조합하여 사이버 보안 표준을 충족할 수 있도록 허용하고 있지만, 제안된 규정은 미완성 POAM을 완료하여야 하는 180일의 마감기한을 설정하고 있습니다. 따라서, 별도의 승인이 없는 한, 기존 공급업체들은 마감기한까지 NIST SP 800-171의 모든 110개 통제를 완전히 준수해야 합니다.


평가 및 증명에 관한 요구 사항

각 CMMC 등급에 대한 평가 요구 사항은 평가 빈도를 결정하며, 계약을 수주하기 위해서는 최신 평가를 유지해야 합니다.

1등급 계약은 공급업체와 하청업체가 해당 보안 통제에 대한 준수 여부를 스스로 평가할 것을 요구합니다.
 
2등급 계약은 3년마다 (1) 준수 여부에 대한 스스로의 평가 또는 (2) 승인을 받은 독립된 제3자의 인증 평가를 요구합니다. 참고로, 인증 평가를 수행하는 제3자는 CMMC 인증 기관을 통해 인증을 받아야 하는데, 이러한 제3자는 이미 인증을 받았거나 인증 절차를 진행하고 있습니다.

3등급 계약은 2등급의 제3자 인증 평가와 정부 주도 평가를 모두 받아야 하며, 이는 해당 3등급 통제 사항의 준수를 보장하기 위한 것입니다.

위와 같은 평가 외에도, 모든 CMMC 등급에서는 공급업체의 고위 관리자가 해당 사이버 보안 요구 사항 준수 여부를 매년 확인해야 합니다. 공급업체들은 이러한 확인이 정확하도록, 대상 시스템을 정비하고 내부 컴플라이언스 정책을 수립하는 것이 중요합니다.


컴플라이언스 및 보고

모든 평가와 증명은 전자적으로 미국 국방부의 공급업체 성과 위험 시스템(SPRS, Supplier Performance Risk Systems)에 제출됩니다. 프로그램이 완전히 시행되면, 공급계약 및 관련 하청 계약 수주는 공급업체 또는 하청업체가 해당 평가 및 증명 요구 사항을 충족하는지 여부에 따라 결정됩니다. 자가 평가는 공급업체가 직접 업로드하며, 제3자 평가는 승인된 제3자 평가 기관이 보고합니다. 2등급 및 3등급 계약자에 대한 모든 요구 사항은 CUI를 저장, 처리 또는 전송하는 공급망 내 모든 등급의 관련 하청업체로 전달됩니다. 원청업체는 하청계약을 체결하기 전에 해당 하청업체가 최신 SPRS 점수를 보유하고 있는지 확인해야 합니다.


불이행 

이와 같은 요구 사항을 준수하지 않는 공급업체는 해당 계약에 대한 자격을 상실할 수 있으며, 규정이 적용되는 계약을 수행하는 동안 적절한 통제를 시행하지 않거나 SPRS를 통해 준수 여부를 잘못 보고한 경우에는 허위청구법(False Claims Act) 책임에 직면할 수 있습니다. 법무부의 민간 사이버사기(Civil Cyber-Fraud) 이니셔티브는 허위청구법을 이용하여 정부 계약자 및 보조금 수령자의 사이버보안 관련 사기를 추적하고 있으며, 여기에는 사이버보안 관행이나 프로토콜을 고의로 잘못 표현하는 공급업체들도 포함됩니다. 허위청구법에 따른 책임은 수백만 달러의 민사상 벌금과 함께, 계약 및 거래 정지 및 배제 절차를 초래할 수 있습니다.


도입시점

미국 국방부는 최종 규정을 올해 말 혹은 내년 초에 사이에 발표할 것으로 예상됩니다. 최종 규정이 발효되면, 공급업체들은 새로운 요청서 또는 기존 계약에서 CMMC 등급 지정이 시작되는 것을 확인할 수 있을 것입니다.




2. 시사점

새로운 CMMC 규정의 시행이 이미 사이버보안 통제를 충족하는 기존 방위 산업 공급업체들에게 근본적인 영향을 미칠 가능성은 낮지만, 새로운 방위 공급망 진입자들에게 추가적인 부담이 될 수 있습니다. 또한 CMMC는 현재 방위 계약에 특정되어 있지만, 사이버 공격에 대비한 공급망 보안을 강화하려는 노력의 일환으로 미국 정부가 향후 몇 년 내에 다른 연방 기관에도 유사한 프로그램을 도입할 가능성이 높습니다. 이에 방위산업 관련 업체들은 물론, 미국 정부와 공급계약을 체결하였거나 체결을 준비하고 있는 업체라면, 관련 비즈니스를 평가하여 예상되는 CMMC 수준을 확인하고, 주요 하청업체들에게 요구 사항을 전달하여 그들의 준수 상태를 평가하며, 사이버 보안 보고를 충족하기 위한 IT 보안 전략을 개발하고 예상되는 감사 및 증명 요구 사항을 준수하기 위한 내부 프로세스 및 절차를 구현하여야 할 것입니다.