Home > 전체기사 > 오피니언

[이슈칼럼] 방위산업 사이버안보 주권을 지키자

  |  입력 : 2022-04-26 09:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미국, 방위산업 사이버보안 인증 CMMC 취득 의무화 추진
방위산업 사이버안보 주권 확보 위해 미국 CMMC 수준으로 K-CMMC 체계 마련해야


[보안뉴스= 류연승 명지대 방산안보학과 교수] 최근 미국은 국방부와 계약하는 업체를 사이버 위협으로부터 보호하기 위해 2025년부터 사이버보안 성숙도 인증(CMMC : Cybersecurity Maturity Model Certification) 취득 의무화를 추진하고 있다. 2020년부터 CMMC 제도 운영을 위해 인증기관(CMMC-AB, Accreditation Body) 설립, 심사기관 지정, 인증심사원 양성 등의 민간 생태계를 구축하고 있으며 지금은 몇 개 국방사업에 시범 적용을 하면서 업체들에게 준비 기간을 주고 있다.

[이미지=utoimage]


CMMC는 국방부와 계약하는 업체 및 협력업체들까지 사이버보안 성숙도 수준을 3개 등급으로 구분하여 인증을 받아야 하는 제도이다. 업체가 연방계약정보(FCI: Federal Contract Information)만 취급하는 경우에는 CMMC 1등급 인증을 취득해야 하고, 업체가 통제 비기밀정보(CUI: Controlled Unclassified Information)를 취급하는 경우에는 정보의 중요도에 따라 CMMC 2등급 또는 3등급 인증을 취득해야 계약이 가능하다. 통제 비기밀정보란, 정부가 생산하거나 정부를 대신하여 업체가 생산하는 정보로서 기밀로 분류되지 않지만 유출되지 않도록 보호가 필요한 정보다. 미국 국방부에서 취급하는 통제 비기밀정보의 예로서 통제 기술 정보(CTI: Controlled Technical Information)가 있으며, 우리나라의 방위산업기술보호법에 의해 보호되는 방위산업기술이 이에 해당된다.

CMMC에 대비하는 미국 동맹국
CMMC 인증은 미국 업체에만 요구되는 것이 아니라 타국 업체에도 요구된다. 미국 CMMC 인증을 취득하지 못하면 미국에 방산물자 수출, 공동연구협력 등이 불가능해진다. 사실상 CMMC 인증을 통해 미국의 국방 글로벌 공급망 체계가 구축될 것으로 예상된다.

이에 따라 미국 동맹국이자 방산협력을 활발하게 하고 있는 일본, 이스라엘 등은 CMMC 인증에 대비해 자국의 방산업체 사이버보안 체계를 미국 CMMC 수준으로 구축하는 한편, 자국의 사이버보안 인증 취득을 CMMC 인증으로 인정받는 상호인정 협정을 위해 활발하게 움직이고 있다. 일본은 올해 4월에 방위산업 사이버보안 강화 방안을 발표했는데, 발표된 사이버보안 지침의 내용을 보면 미국 CMMC 내용을 반영하고 있다.

우리 방산업체도 미국에 방산물자를 수출하거나 공동연구개발을 하려면 CMMC 인증을 취득해야 하고, 미국 방산업체의 협력업체로 참여할 때도 마찬가지다. 최근 모 방산 협력업체는 미국 방산업체로부터 CMMC 인증에 대비하라는 연락도 받았다고 한다. 방산 수출이 크게 증가하고 방산 5대 강국 도약을 위해 노력하고 있는 정부와 방산업계는 미국 CMMC 동향에 큰 관심을 기울이고 있다.

위험한 방위산업 사이버안보 주권
우리 방산업체와 협력업체가 미국 CMMC 인증을 받아야 한다면 어떻게 될까? 미국은 심사기관을 수행하는 업체, 컨설팅을 수행하는 업체, 교육을 수행하는 업체 및 대학 등을 각각 별도로 국방부에서 자격을 심사해 지정하고 있다. 미국 CMMC 인증을 받으려면 미국의 교육업체로부터 교육을 받아야 하고, 컨설팅 업체로부터 컨설팅을 받아야 하며, 심사 업체에게 인증 심사를 받아야 한다. 이 과정에서 많은 비용이 미국으로 지불된다. 이보다 더 심각한 것은 미국 민간인이 와서 우리 방산업체의 사이버보안 취약점을 점검하고 심사하면서 방산업체 내부 시스템을 다 들여다보게 된다는 점에서 방위산업 사이버안보의 주권을 미국에 맡기는 심각한 사태가 예상된다.

방위산업 사이버안보 주권 K-CMMC

▲류연승 명지대학교 방산안보학과 교수

방위산업 사이버안보 주권을 지키려면 어떻게 해야 할까? 미국 CMMC가 2025년부터 전면 시행되므로 그 전에 미국 CMMC 수준으로 방산 사이버보안 인증제도(가칭 K-CMMC)를 구축하고, 일본 등 미국 군사 동맹국처럼 우리의 인증을 받으면 미국의 CMMC 인증 취득으로 인정하는 상호인정 협정을 추진해야 한다.

다행히도 방위사업청은 K-CMMC 구축 방안을 연구 중에 있으며, 심사기관 및 인증심사원 등의 인증제도 구축, 업체 지원제도, 미국과 상호인정 추진 등을 계획하고 있다. 정부가 K-CMMC를 계획대로 내년부터 단계적으로 구축해 시행하게 된다면 미국 CMMC 인증 취득을 위해 많은 비용을 미국 업체에 지불하지 않으면서 우리 방위산업 사이버안보 주권을 지키게 될 것이다.

또한, K-CMMC를 통해 우리나라가 미국 국방 글로벌 공급망에 포함되면서 방산 5대 강국의 비전을 달성하는데 큰 도움이 된다. 또한, 우리 방위산업의 사이버보안 수준이 국제적 수준으로 향상되어 국가안보에도 기여하게 될 것이다.
[글_류연승 명지대학교 방산안보학과 교수]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야