美 방산 진출 '입장권'된 CMMC…정부 차원 中企 지원 필요

2025년 11월 10일부터 미국 연방 규정에 따라 적용되기 시작한 사이버 보안성숙도인증(CMMC) 제도는 미국 방산 공급망에 참여하려는 글로벌 업체들이 중시하는 핵심 규제로 꼽힌다. CMMC는 최근 새롭게 제시된 규제가 아니다. 기존 연방국방조달규정(DFARS 252.204-7012)에서 요구해온 미 국가표준국의 사이버보안 기준(NIST SP 800-171) 준수 여부를 제3자 인증을 도입해 검증하고, 연방조달규정에서 국적이나 주계약자 여부와 관계없이 국방조달계약의 낙찰자 자격요건으로 명시한 것이다. 미국 시장 진출을 계획하고 있는 국내 방산업체도 사전에 반드시 갖춰야 하는 일종의 '입장권'이라고 볼 수 있다.

CMMC, 3년마다 재인증 필요

CMMC 제도의 구체적인 내용은 2024년 12월부터 시행된 국방 분야 연방규정(CFR)인 32 CFR 파트 170에 의해 확립됐다. 이 규정상 제도의 주요 특징은 먼저 국방조달계약 계약자들의 정보시스템에 유통되는 정보를 민감도와 중요도에 따라 연방계약정보(FCI)와 통제필요정보(CUI)로 구분한 후 실질적 보호를 위해 1단계 자체심사(FCI)와 2·3단계 제3자 인증(CUI)을 통한 검증을 받도록 했다는 점이다. 1단계와 2단계 자체심사는 계약자 스스로 이행 여부를 점검해 이를 공급자이행위험시스템(SPRS)에 입력하고, 2단계 제3자 인증은 공인된 제3자인증기관(C3PAO)을 통해, 3단계 인증은 미 국방계약관리국(DCMA)의 방위산업망 사이버보안 평가센터(DIBCAC)를 통해 받도록 했다.

또한 CMMC 프로그램 규정의 실효성 확보는 2025년 11월 10일부로 연방조달규정(FAR) 48 CFR 파트 204과 국방조달규정(DFARS)에 국방조달 계약의 낙찰자가 되기 위한 자격조건에 명시하는 방식을 통해 구현하고 있다. 이러한 CMMC 인증 요건은 국방조달규정에 의해 주계약자(Prime-Contractor)가 자신의 하위계약자(Sub-Contractor)에게도 그 준수를 요구(Flow-down)하도록 한다. 결국 모든 국방조달계약 참여자에게 계층적인 '계약상 의무'로 포함될 수밖에 없다. 또한 모든 CMMC 자격 인증은 3년마다 재인증을 통한 갱신과 매년 자체 준수여부 확인을 요구한다는 점에서 일회성 인증이 아니라 계속적인 의무로서 성격을 가진다는 점도 주목해야 한다.

단계적 시행에도 시작된 선제 대응

미 국방부는 2025년 11월 CMMC 최종규칙을 발효했다. 하지만 미 방산공급망에 참여하는 업체 수가 8만~10만 개를 웃도는 것으로 추산된다는 점을 고려할 때 전면시행에 필요한 평가자 수를 교육할 시간과 기업이 CMMC 요구사항을 이해하고 이를 구현할 시간을 제공하기 위해 2028년 11월 10일까지 4단계로 제도를 순차 적용하도록 했다. 1단계에서는 2025년 11월 10일부터 제안요청서에 계약자에게 CMMC 1단계와 2단계의 자체 평가를 완료할 것을 요구한다. 2단계는 2026년 11월 10일부터 제3자 인증기관인 C3PAO를 통한 CMMC 2단계(C3PAO) 인증을 요구하게 되고, 그 후 2027년 11월 10일부터는 3단계로 CMMC 3단계(DIBCAC)를 충족할 것을 요구할 수 있다. 그리고 2028년 11월 10일부터는 4단계로 CMMC 제도가 모든 국방조달계약에서 완전하게 이행돼야 한다.