정책기고No.06, 2021/11

NO CMMC, NO GVC ! 정규평 연구원
yullian3@dtaq.re.kr, 국방기술진흥연구소 해외시장분석팀

서론

  미국은 전 세계에서 가장 큰 방산시장을 가지고 있으며 미국 방산업체들의 수익 합계액은 2020년 기준 약 353조 원으로, 한국 방산기업 합계의 약 38배 규모에 달하고 있다. 대한민국이 2030년까지 목표로 하는 세계 5대 방산 강국으로 발돋움하기 위해서는 전 세계 방산시장의 60%를 차지하는 미국으로의 진출이 필요하다. 그러나 미국은 첨단화된 국방과학기술 기반과 역량을 보유하고 있어 국내 방산기업이 미국 대기업 대비 우위를 선점하는 것은 단기적으로 제한적일 것으로 판단되는 바, 글로벌 기업과의 직접 경쟁을 피하고 바이든 행정부의 동맹국과의 공급망 공동대응이라는 외교·안보 기조를 적극적으로 활용하여 글로벌 기업의 GVC(Global Value Chain) 진입 기회를 모색하는 것이 가장 현실적인 방안으로 판단된다.

  그러나, 공급망 진입의 효과적 지원을 위한 우리의 사전준비는 목표에 비하여 미흡한 것으로 판단된다. 최근 미국의 글로벌 방산기업들은 자사의 공급망에 참여 중인 국내기업에게 사이버보안 성숙도 모델 인증인 CMMC를 Level 3 이상 획득하지 못할 시 자사의 공급망에 더는 참여할 수 없음을 밝히고 있다. 그러나, 현재 대한민국은 CMMC 관련 법안 신설 및 지원방안 마련이 타 경쟁국인 일본, 호주, 영국에 비하여 미흡한 실정이다.

  글로벌 안보 환경의 변화 속에서 일어나는 공급망 재편이라는 호기를 국내 방산기업이 적극적으로 살리기 위해서는 CMMC 관련 준비가 시급하다.

우리는 왜 CMMC 인증 도입을 서둘러야 하는가

  코로나-19 대유행은 미국이 자국의 공급망이 취약하다는 사실을 인지하게 된 계기가 되었다. 지난 1월 미국 국방부 획득·운영유지차관실(A&S)이 의회에 제출한 ‘미국 방위산업 능력 보고서’에 따르면 2001~2015년 기간 중 국방부와 거래하던 17,000여 개의 미국 중소기업이 도산하거나 민간분야로 사업영역을 이전한 것으로 나타났다. 이처럼 현재 미국 내 방산 분야 하위공급망은 매우 취약하며 이러한 공백의 상당한 부분을 중국이 대체하고 있는 것으로 미 정부는 분석하고 있다. 이러한 현상은 단순히 제조업의 위기가 아니라 향후 미국의 안보를 위협하는 주요 요인이 될 수 있기 때문에 미 정부는 대중 의존도 감소 등의 목적으로 방산 분야 공급망 점검에 나서는 한편 대체선 확보에 대대적인 노력을 기울이고 있다.

  특히 미국은 제재기준 및 인증기준 상향 등의 방식으로 공급망 내에서 중국산의 퇴출에 나서고 있는데, 이 중 가장 국내 방산기업에 가장 큰 여파를 끼칠 것으로 예상되는 것은 사이버보안과 관련된 CMMC 인증신설이다.

  미국 정부조달 계약의 98%를 차지하는 4대 글로벌 기업들(Boeing, LM, Raytheon, Northrop Grumman)의 공급망 매니저들은 지난해부터 국내 방산기업들에 CMMC 관련 인증 준비를 하지 않으면 앞으로 계약을 체결할 수도 없으며, 하지도 않을 것임을 밝히고 인증획득 준비를 촉구하는 메일을 계속해서 보내오고 있다. CMMC는 미국 정부조달 계약의 필수인증으로 2025년 9월 30일부터 일괄 적용될 것이기 때문에 직접 진출을 희망하는 국내기업뿐만 아니라 절충교역을 활용한 간접진출을 희망하는 국내기업 역시 대비를 갖추지 않으면 뛰어난 기술력과 품질을 갖추고 있더라도 향후 미국 글로벌 기업의 공급망에 진출하는 것은 불가능하다.

  국내 대표 방산기업 관계자는 본 연구자와의 인터뷰에서 이번 CMMC 인증 도입과 관련하여 국내기업에 미칠 파장에 대한 큰 우려를 드러낸 바 있다. 미국 글로벌 기업들은 지난 2020년 11월 30일까지 CMMC 인증이 기초로 하고 있는 NIST 800-171 규정을 자체진단하고 해당 평가를 자사의 SPRS(Supplier Performance Risk System)에 등록하게 요청하였다. 요청 이후 해당 국내기업이 자체진단 한 바에 따르면 110개 세부 이행과제로 이루어진 NIST 800-171마저 준비하기에 벅찬 실정이며 그보다 20개 이행과제가 더 많은 CMMC가 당장 도입된다면 미국 시장에서의 경쟁력이 타 경쟁국에 비해 저하될 것을 우려하였다. 특히, 대기업조차 정부 지원 없이는 수행하기 어려운 보안 인증을 중소기업이 갖추기에는 역부족일 것이라는 의견을 덧붙였다.

CMMC란 무엇인가

  CMMC(CyberSecurity Maturity Model Certification)는 미 국방부가 대학 부설 연구센터(존스홉킨스대학 등)들과 연방 자금지원으로 운영되는 연구개발센터 및 방위산업계와 협력하여 만든 사이버 성숙도 모델 인증이다. 미국은 악의적인 사이버 범죄자들이 미국 방위산업의 공급망을 표적으로 삼고 있다고 판단하고 기밀로 취급되는 연방 계약정보부터 기밀이 아니지만 통제가 필요한 정보에 이르기까지 기업정보를 보호하기 위한 인증을 신설, 자국 산업을 보호하고자 한다. 이와 같은 목적에서 탄생한 것이 바로 CMMC 인증이다.

  기존 NIST 800-171 보안인증을 기초로 만든 CMMC 인증과 관련하여 주목할 만한 내용은 다음과 같다.

  첫째, 적용대상은 주 계약업체부터 하위공급망을 포함하는 미국에 진출을 희망하는 모든 방산기업이다. 사이버 보안인증의 경우 보안장비 구축 및 심사비용이 상대적으로 높은 데 기인하여 지금껏 미국 정부는 중소기업의 현실적인 어려움을 반영하여 모든 세부 이행과제를 준수하지 못하더라도 미국 정부와의 조달계약을 허용하였다. 그러나 Solar-Winds 사건 이후 미국 정부는 모든 방산기업을 대상으로 CMMC를 일괄 적용하기로 결정하였다.

  둘째, 규정 적용이 더욱 엄격해졌다. CMMC가 기초로 하는 NIST 800-171 규정의 경우 평가는 기업이 자체적으로 수행하도록 하였다. 따라서, 기업들은 해당 규정을 단순 체크리스트 수준으로 인식하고 너그럽게 자사의 보안수준을 진단하고 평가해왔다. 그러나 CMMC의 경우 C3PAO라는 제3의 기구를 통해 별도로 평가를 수행하게끔 규정하고 있기에 더 이상 자사의 주관적인 평가는 불가능하며 보다 엄격한 평가가 이루어질 것으로 예상된다.

  또한, 기존 규정인 NIST 800-171의 경우 POA&M(Plan of Actions and Milestones)이 허용되어, 세부 이행과제를 수행할 만한 능력을 현재 갖추고 있지 못하더라도 향후 시행계획을 수립하고 이를 서류로 제출하기만 하면 미국 국방조달 절차에 참여할 수 있었다. 그러나, CMMC의 경우 POA&M이 허용되지 않기 때문에 모든 보안 관련 세부 이행과제가 충족되지 못할 시 정부조달에 참여할 수 없게 규정하고 있다.

  셋째, 2025년까지 모든 정부조달 계약에 적용하는 것을 목표로 하고 있다. 미 획득·운영유지차관실은 2021년까지 주요 계약업체 15개를 대상으로 시범 적용하고 2022년은 75개 업체, 2023년은 250개, 2024년은 479개의 업체를 대상으로 점진적 확대 적용해 나갈 것을 밝힌바 있다. 따라서, 현재 미국 OMFV 사업을 진행 중인 한화디펜스사와 FCT 사업을 진행 중인 국내 4개사는 사업 진행이 심화됨에 따라 해당 규정을 직접 적용받을 것으로 예상되며, 2021년 7월 기준 미국으로 방산 수출을 한 이력이 있는 86개의 국내기업 및 1천 여개로 추산되는 이들 협력업체 역시 해당 규정을 향후 적용 받을 것으로 예상되는 바, 점차 CMMC에 대한 중요성은 커질 것으로 보인다.

CMMC 인증 관련 미국 내 동향

  일본, 영국, 호주 정부는 미국의 CMMC 요건 수립에 맞추어 세계 최대 방산시장인 미 방산시장 진출을 용이하게 하기 위한 노력을 경주중이다. 특히 자국의 국방부가 직접 미 국방부와 협력을 진행하고 있다. 미 연방정부 전·현직 공무원 단체 Potomac Officers Club에서 지난 6월 열린 웨비나에서는 CMMC-AB 의장이 영국, 일본 방위성과는 현재 CMMC 관련 협정 체결 준비를 위해 매주 2~3회의 회의를 진행 중이라고 밝힌 바 있다. 이처럼 대한민국의 경쟁 대상 국가들은 적극적으로 CMMC에 대한 노력을 빠르게 그리고 바르게 진행 중에 있다.

  이들 국가는 현재 미 국방부와 자국의 인증제도와 미국의 CMMC 인증을 상호인증하는 협정을 체결하는 방안을 협의하고 있다. 특히 ISO 국제표준 관련하여 미국의 TCSEC와 유럽의 ITSEC가 보안 관련 상호인정(CCRA) 협정을 체결한 전례를 바탕으로 이와 유사한 협정을 체결할 것으로 파악된다.

  또한 일부 미국 사이버 보안 관련기업들은 대한민국 방산기업의 CMMC에 대한 수요가 점차 확대 될 것임을 예견하고, 한국시장 진출을 시도 중에 있다. 대표적인 기업은 다음 <표 1>의 5개 사가 있다.

평가사 진행 중인 내용
AWS 미 국방부 및 CMMC-AB와 CMMC 요구 사항에 대해 협업하면서 고객의 배포 및 인증을 가속화할 수 있는 솔루션 개발
AttackIQ CMMC 보안제어를 검증하기 위해 보안 최적화 플랫폼에 새로운 평가제도 도입
Entrust CMMC 도메인의 27개 기능 전부를 지원하는 플랫폼 보유
KRATOS 현재 CMMC의 공인된 3개 평가사 중 1개
TQMS CMMI와 자체 개발한 한국현 사이버보안 성숙도 모델(CSMM)로 2004년부터 국내 방산기업 및 국방과학연구소 등을 대상으로 사이버보안 프로세스 진단 및 개선 컨설팅 제공
<표 1> 국내 진출을 추진 중인 미국 사이버 보안 관련 기업 사례

  특히, TQMS사는 CMMI 및 CSMM 관련 국내 방산기업과 국방과학연구소를 대상으로 사이버보안 프로세스 진단 및 개선 컨설팅을 제공한 바 있어 적극 진출을 모색 중인 것으로 알려져 있으며, KRATOS사 역시 미국 획득·운영유지차관실이 공인한 인증기관 3곳 중 한 곳이기 때문에 향후 적극 진출을 모색할 것으로 판단된다. 만약 정부의 CMMC에 대한 지원이 효과적으로 이루어지지 않는다면 국내기업은 해당 5개 사에 보안 진단 및 개선 컨설팅에 대한 비용을 불가피하게 계속해서 지급해야만 하는 상황이 일어날 것으로 예측된다.

CMMC 인증을 위한 4단계 준비방안

  우리 정부가 방산 수출진흥을 위해 CMMC 지원을 하는 방안은 다음과 같은 4단계로 이루어지는 것이 효과적일 것으로 판단된다.

  첫째, 한-미 정부 간 방산 분야 협의체 개최 시 CMMC 인증 관련 협력을 공식 의제화해야 한다. 현재 미국 정부도 자국의 공급망을 단기에 스스로 재편하는 것은 불가능하다고 판단하고 있다. 따라서 한국과의 방산 협력이 미국의 국방력에 일조할 수 있으며 양국 기업 모두에 상호적으로 이루어질 수 있음을 주지시킨다면 충분히 진행할 수 있을 것으로 판단된다.

  그 중 한미 방산 분야 협의체 중 하나인 DICSC(Defense Industrial Cooperation Sub-Committee, 방산 협력소위원회)와 DTSCM(Defense Technology&Security Consultative Mechanism,방산기술보호협의회)의 양 채널을 동시에 가동하여 협력 의제를 제기해 나가야 한다. DICSC의 경우 양국 국방장관간 한미 연례안보 회의(SCM, 매주 10월)의 하위 분과위 중 하나로 미국의 국방부 획득·운영유지차관과 한국의 방위사업청장이 주관으로 운영된다. 특히, CMMC 인증을 신설하고 운영하는 주체가 미국의 획득·운영유지차관이라는 점에서 해당 협의체를 통한 협력방안 도출은 가장 직접적인 방안이 될 수 있다. 이를 위해 방위사업청 국제협력관실 주도로 DICSC 산하 CMMC 관련 실무회의(Woking Group)를 신설하고 월 1~2회에 걸쳐 실무회의(과장급)를 개최하여 협력을 구체화해 나가야 한다.

  또한, 방위사업청 국방기술보호국이 주관하여 양국의 기술보호정책 및 수출정책을 의논하는 DTSCM 회의에서도 동시에 의제화하여 대한민국 정부의 CMMC 관련 인증의 적극적인 의지를 표명할 필요가 있다.

  둘째, 미국 CMMC 체계와 공조되는 평가 방법을 구상하고 K-CMMC 모델을 구축해나가야 한다. 방위사업청이 중심이 되어 CMMC 수준에 맞는 평가를 진행하기 위한 사업계획 및 평가기관 지정이 시급하다. 특히, 관련 조직을 구성하고 보안관련 규정을 신설할 시 CMMC는 단순한 보안이슈가 아니라 대한민국의 미래 먹거리와 직결되는 경제 이슈임을 명심하고 방산업체의 의견을 적극적으로 수렴하여 업체 친화적인 평가체계 구축이 필요하다. 필요한 업체 지원 예산은 국방기술진흥연구소의 유망수출품목 발굴지원사업 예산 중 해외인증획득 예산을 활용하여 별도의 비용부담 없이 기업들이 인증을 획득할 수 있도록 해야 한다.

  셋째, 미국과의 상호인증협정 체결 추진이 요구된다. 많은 국가는 무역에 있어 다자간 및 복수국 간 상호인정협정(MRA)을 통해 시험성적서를 상호 인정하여 수출입의 편의성 및 효율성을 제고하고 있다. 특히 이번 CMMC의 경우 각국의 보안 환경이 상이하고 인증 체계가 동일하지 않기 때문에 인증서 간 상호인정 방식을 미국이 허용할 가능성은 낮다. 따라서 미국 측이 협상에 있어 더욱 쉽게 수용할 수 있지만 실질적 효과에서는 별 차이가 없는 각국의 시험성적서를 상호인정하는 방안을 추진하는 것이 보다 용이할 것으로 판단된다.

결언

  CMMC는 대한민국 정부가 목표로 하는 세계 5대 방산수출 강국을 달성하기 위한 필수 선결조건이다. 향후 상호운용성의 중요성이 증대되고 각국 간의 컨소시엄이 활발해지는 미래 방산시장 환경을 고려한다면 미국시장뿐만 아니라, NATO 및 유럽시장 역시 CMMC를 필수인증으로 요구할 가능성이 높다. 기술과 품질이 우수한 국내기업을 발굴하고 육성하더라도 해당 인증이 없으면 해외시장에 진출할 수 없는 것이 현실이다. 보안인증의 진단 및 구축 비용은 언제나 업체에 상당한 부담으로 작용하기 때문에 CMMC를 보안이슈로만 인식하고 정부지원을 소홀히 한다면 CMMC는 오히려 국내 업체의 수출 의지를 꺾는 또다른 규제로 기업에 인식될 가능성이 있다. 따라서, 국내기업이 해외 사이버 보안업체에 불필요한 비용을 지불하는 상황을 막고, 국내기관을 활용하여 관련 수출 진흥책을 펼치는 것이 반드시 필요하다. CMMC 관련 지원의 첫걸음은 DICSC 및 DTSCM 한-미 협의체가 될 것이며 방위사업청은 해당 기회를 적극 활용하여 정부지원안을 모색해 나가야한다. 특히, 중간단계로 이번 12월에 열릴 방위사업청-CSIS 공동회의를 시작으로 협력방안 도출을 위한 노력을 본격화하여 조속히 CMMC 지원안을 마련해 나가야 할 것이다.

6) The list is here : Find Out How global defense Companies performed in FY20, Defense News, ’21. 7. 13
7) Industrial Capabilities : Annual Report to Congress FY 2020, United States, Department of Defense(US OSD A&S), 2021.1
8) Janes Market Forecast 2021
9) 국방기술진흥연구소 미 주재원 획득 정보로 자세한 기업명은 밝힐 수 없음.
TOP