Home > 전체기사

[이슈칼럼] 방위산업 사이버안보 주권을 지키자

  |  입력 : 2022-04-26 09:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미국, 방위산업 사이버보안 인증 CMMC 취득 의무화 추진
방위산업 사이버안보 주권 확보 위해 미국 CMMC 수준으로 K-CMMC 체계 마련해야


[보안뉴스= 류연승 명지대 방산안보학과 교수] 최근 미국은 국방부와 계약하는 업체를 사이버 위협으로부터 보호하기 위해 2025년부터 사이버보안 성숙도 인증(CMMC : Cybersecurity Maturity Model Certification) 취득 의무화를 추진하고 있다. 2020년부터 CMMC 제도 운영을 위해 인증기관(CMMC-AB, Accreditation Body) 설립, 심사기관 지정, 인증심사원 양성 등의 민간 생태계를 구축하고 있으며 지금은 몇 개 국방사업에 시범 적용을 하면서 업체들에게 준비 기간을 주고 있다.

[이미지=utoimage]


CMMC는 국방부와 계약하는 업체 및 협력업체들까지 사이버보안 성숙도 수준을 3개 등급으로 구분하여 인증을 받아야 하는 제도이다. 업체가 연방계약정보(FCI: Federal Contract Information)만 취급하는 경우에는 CMMC 1등급 인증을 취득해야 하고, 업체가 통제 비기밀정보(CUI: Controlled Unclassified Information)를 취급하는 경우에는 정보의 중요도에 따라 CMMC 2등급 또는 3등급 인증을 취득해야 계약이 가능하다. 통제 비기밀정보란, 정부가 생산하거나 정부를 대신하여 업체가 생산하는 정보로서 기밀로 분류되지 않지만 유출되지 않도록 보호가 필요한 정보다. 미국 국방부에서 취급하는 통제 비기밀정보의 예로서 통제 기술 정보(CTI: Controlled Technical Information)가 있으며, 우리나라의 방위산업기술보호법에 의해 보호되는 방위산업기술이 이에 해당된다.

CMMC에 대비하는 미국 동맹국
CMMC 인증은 미국 업체에만 요구되는 것이 아니라 타국 업체에도 요구된다. 미국 CMMC 인증을 취득하지 못하면 미국에 방산물자 수출, 공동연구협력 등이 불가능해진다. 사실상 CMMC 인증을 통해 미국의 국방 글로벌 공급망 체계가 구축될 것으로 예상된다.

이에 따라 미국 동맹국이자 방산협력을 활발하게 하고 있는 일본, 이스라엘 등은 CMMC 인증에 대비해 자국의 방산업체 사이버보안 체계를 미국 CMMC 수준으로 구축하는 한편, 자국의 사이버보안 인증 취득을 CMMC 인증으로 인정받는 상호인정 협정을 위해 활발하게 움직이고 있다. 일본은 올해 4월에 방위산업 사이버보안 강화 방안을 발표했는데, 발표된 사이버보안 지침의 내용을 보면 미국 CMMC 내용을 반영하고 있다.

우리 방산업체도 미국에 방산물자를 수출하거나 공동연구개발을 하려면 CMMC 인증을 취득해야 하고, 미국 방산업체의 협력업체로 참여할 때도 마찬가지다. 최근 모 방산 협력업체는 미국 방산업체로부터 CMMC 인증에 대비하라는 연락도 받았다고 한다. 방산 수출이 크게 증가하고 방산 5대 강국 도약을 위해 노력하고 있는 정부와 방산업계는 미국 CMMC 동향에 큰 관심을 기울이고 있다.

위험한 방위산업 사이버안보 주권
우리 방산업체와 협력업체가 미국 CMMC 인증을 받아야 한다면 어떻게 될까? 미국은 심사기관을 수행하는 업체, 컨설팅을 수행하는 업체, 교육을 수행하는 업체 및 대학 등을 각각 별도로 국방부에서 자격을 심사해 지정하고 있다. 미국 CMMC 인증을 받으려면 미국의 교육업체로부터 교육을 받아야 하고, 컨설팅 업체로부터 컨설팅을 받아야 하며, 심사 업체에게 인증 심사를 받아야 한다. 이 과정에서 많은 비용이 미국으로 지불된다. 이보다 더 심각한 것은 미국 민간인이 와서 우리 방산업체의 사이버보안 취약점을 점검하고 심사하면서 방산업체 내부 시스템을 다 들여다보게 된다는 점에서 방위산업 사이버안보의 주권을 미국에 맡기는 심각한 사태가 예상된다.

방위산업 사이버안보 주권 K-CMMC

▲류연승 명지대학교 방산안보학과 교수

방위산업 사이버안보 주권을 지키려면 어떻게 해야 할까? 미국 CMMC가 2025년부터 전면 시행되므로 그 전에 미국 CMMC 수준으로 방산 사이버보안 인증제도(가칭 K-CMMC)를 구축하고, 일본 등 미국 군사 동맹국처럼 우리의 인증을 받으면 미국의 CMMC 인증 취득으로 인정하는 상호인정 협정을 추진해야 한다.

다행히도 방위사업청은 K-CMMC 구축 방안을 연구 중에 있으며, 심사기관 및 인증심사원 등의 인증제도 구축, 업체 지원제도, 미국과 상호인정 추진 등을 계획하고 있다. 정부가 K-CMMC를 계획대로 내년부터 단계적으로 구축해 시행하게 된다면 미국 CMMC 인증 취득을 위해 많은 비용을 미국 업체에 지불하지 않으면서 우리 방위산업 사이버안보 주권을 지키게 될 것이다.

또한, K-CMMC를 통해 우리나라가 미국 국방 글로벌 공급망에 포함되면서 방산 5대 강국의 비전을 달성하는데 큰 도움이 된다. 또한, 우리 방위산업의 사이버보안 수준이 국제적 수준으로 향상되어 국가안보에도 기여하게 될 것이다.
[글_류연승 명지대학교 방산안보학과 교수]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)