CMMC 2.0이 바꾸는 글로벌 공급망의 판도
얼마 전, 지방의 방위 산업체에서 일하는 후배가 서울 출장왔다 해 잠깐 만난 적이 있다. 이야기를 나누다 요즘 가장 골치 아픈 일이 뭔지 물었더니, "인증 준비"라고 했다. 처음에는 그냥 흘려들었다. 방산 업체라면 ISO 27001이나 ISMS, CSAP 같은 보안 인증 심사가 늘 따라붙는다. 그런 거 또 하나 걸렸구나 싶었다.
그런데 후배의 말이 달랐다. "그런 거랑은 차원이 다릅니다. CMMC라는 건데, 항목이 너무 광범위하고 어디서부터 손을 대야 할지 모르겠어요." 혀를 내두르며 하는 말이 심상치 않았다. ISO나 ISMS 심사도 만만치 않다는 걸 아는데, 그것보다 더 힘들다고 하니 귀가 솔깃해졌다.
솔직히 처음에는 이름도 낯설었다. CMMI라면 잘 안다. 소프트웨어 개발 역량을 평가하는 국제 성숙도 모델로 내가 익숙하게 다뤄온 프레임워크다. CMMC는 이름이 비슷하니 당연히 CMMI의 새로운 확장판이나 변형 모델인 줄 알았다. 그 자리에서 그렇게 말했다가 후배에게 "아니에요, 전혀 다른 겁니다"라는 말을 들었다. 그 순간부터 제대로 듣기 시작했다.
CMMC는 CMMI와 이름만 비슷할 뿐, 전혀 다른 목적과 구조를 가진 제도다. CMMI(Capability Maturity Model Integration)가 소프트웨어 개발 프로세스의 성숙도를 측정하는 품질 개선 모델이라면, CMMC(Cybersecurity Maturity Model Certification)는 미국 국방부가 공급망 전체에 사이버보안 기준을 강제하기 위해 만든 조달 자격 요건이다. ISO 27001이나 ISMS처럼 "갖추면 좋은" 인증이 아니다. 충족하지 못하면 입찰 자격 자체를 박탈하는 '문지기'다. 그리고 무엇보다, 기업 스스로 "우리는 준비됐다"고 선언하는 방식이 아니라 공인된 제3자가 와서 직접 심사하고 확인한다.
후배가 ISO나 ISMS보다 더 힘들다고 한 이유가 바로 거기에 있었다. 한 번 통과한다고 끝이 아니라, 계약 기간 내내 그 상태를 유지해야 하고, 매년 지속 준수 여부를 확인(Affirmation)하며, 3년마다 재평가를 통해 갱신해야 한다.
후배와 헤어지면서 한 번 제대로 정리해봐야겠다고 생각했다. CMMC가 무엇인지, 왜 방산 현장의 실무자들이 혀를 내두르는지, 그리고 이것이 단순히 방산 업체만의 이야기가 아닌 이유를 말이다.
2025년 11월 10일, 미국 국방조달보충규정(DFARS) 조항 252.204-7021이 발효됐다.[1] 이날부터 신규 DoD 계약에는 CMMC 요구가 단계적으로 반영되기 시작하며, 해당 공고가 지정한 인증 레벨(자체평가 또는 제3자평가)을 계약 기간 동안 유지해야 한다. 이것이 CMMC 2.0(사이버보안 성숙도 모델 인증, Cybersecurity Maturity Model Certification)이다.
K-방산의 수출 호황이 절정을 향해 달려가는 지금, 한국의 방산 기업들 앞에 새로운 문이 서 있다. 그런데 그 문에는 자물쇠가 달려 있다. 기술력이 있어도, 납기를 지켜왔어도, 가격 경쟁력이 있어도 이 자물쇠를 열지 못하면 입찰서 자체를 낼 수가 없다. 더 중요한 사실은 이 자물쇠가 방산 분야에만 달려 있는 게 아니라는 점이다. 지금 이 순간에도 그 자물쇠는 반도체, 항공우주, 첨단 제조업의 문에도 조용히 걸리고 있다.
CMMC 2.0을 이해하려면 먼저 이 제도가 세 단계로 구성된 계단형 구조라는 사실을 알아야 한다. 어느 계단에 서야 하는지는 기업이 선택하는 것이 아니라, 다루게 될 정보의 민감도와 계약 유형에 따라 결정된다.
Level 1 — 기초 위생: 15개 요건, 자체 평가
가장 낮은 단계인 Level 1은 FCI(연방 계약 정보, Federal Contract Information)만을 취급하는 기업에게 적용된다. FCI란 정부 조달 계약 이행 과정에서 생성되거나 제공된 정보로, 공개되어서는 안 되는 기초적 계약 데이터를 말한다. Level 1은 FAR 52.204-21 조항에 규정된 15개의 기본 사이버 위생 요건을 충족하면 되며,[2] 평가 방식은 기업 스스로 수행하는 연간 자체 평가(self-assessment)로 충분하다. 물리적 접근 통제, 기본 계정 관리, 미디어 보호 같은 항목들이 여기에 포함된다.
협력사 입장에서 "Level 1이면 충분한가?"라는 질문이 자연스럽게 나온다. 답은 다루는 정보의 성격에 달려 있다. 만약 협력사가 완제품을 납품하는 역할만 하고, 설계 도면이나 기술 사양서 같은 민감 데이터를 전혀 취급하지 않는다면 Level 1으로 충분할 수 있다.
그러나 부품 설계에 참여하거나, 군사 기술 데이터를 받아 가공하거나, 방산 소프트웨어 개발에 관여하는 순간, 즉 실제 방산 공급망에서 의미 있는 역할을 하는 대부분의 협력사는 곧바로 Level 2의 요건을 충족해야 한다.[3]
다수의 연구 및 보고서에서 DIB(방위산업기지) 전체를 약 22만 개 이상의 기업으로 추정하며, 자료마다 차이가 있지만 그중 CUI를 취급해 Level 2가 적용되는 기업이 수만~수십만 단위에 이를 것으로 추정된다. 그 대다수는 프라임이 아니라 전투기 앞유리를 만드는 유리 제조업체, 무기 체계 정밀 부품을 가공하는 기계 공장, 전차 바퀴를 공급하는 타이어 회사들이다.[3]
Level 2 — 실질적 관문: 110개 통제 항목, 자체평가 또는 C3PAO
Level 2는 CUI(통제 비밀 정보, Controlled Unclassified Information)를 취급하는 기업에게 적용된다. CUI는 비밀(Classified)로 분류되지는 않지만, 유출 시 국가 안보나 군사 작전에 심각한 영향을 미칠 수 있는 기술 설계 정보, 무기 체계 사양, 작전 계획 등을 포함한다.
NIST SP 800-171 Rev.2의 110개 보안 통제 항목이 기준이며, 이 항목들은 접근 통제, 감사 및 책임, 구성 관리, 식별 및 인증, 사고 대응, 유지보수, 미디어 보호, 인원 보안, 물리적 보호, 리스크 평가, 보안 평가, 시스템 및 통신 보호, 시스템 및 정보 무결성 등 14개 도메인에 걸쳐 있다.[4]
평가는 공고가 지정한 방식에 따라 자체평가(Level 2 Self) 또는 공인 제3자 심사기관(C3PAO)의 인증평가(Level 2 C3PAO)로 진행된다. 인증 유효 기간은 3년이며, SPRS(공급자 성과 리스크 시스템)에 결과와 연간 지속 준수 확인(Affirmation)을 등록·유지해야 한다.[5]
Level 2는 방위산업기지 전체에서 가장 일반적으로 요구되는 인증 수준이다.[6] 대형 체계업체(프라임)들이 Level 2를 목표로 하는 것은 이들이 맺는 계약의 대부분이 CUI를 포함하기 때문이다. 방산 수출 사업에서 다루는 기술 데이터, 성능 시험 결과, 형상 관리 문서가 거의 예외 없이 CUI로 분류된다. Level 2는 선택이 아니라 주요 방산 계약 참여의 전제 조건이다.
Level 3 — 최고 기밀 영역: 134개 통제 항목, 정부 직접 심사
Level 3는 DoD가 가장 민감하게 지정한 프로그램에 적용된다. Level 2의 110개 통제에 NIST SP 800-172에서 추출한 24개 강화 요건이 더해져 총 134개 항목을 충족해야 하며, 평가는 C3PAO가 아니라 국방부 산하 DIBCAC(방위산업기반 사이버보안 평가센터)가 직접 수행한다.[6] 한국 방산 기업이 이 수준까지 요구받는 계약에 진입하는 것은 현재로선 제한적이지만, 기술 협력의 깊이가 깊어질수록 요구될 가능성이 있다.
이 세 계단이 만드는 핵심 시사점은 하나다. Level 1은 진짜 방산 협력에서 거의 충분하지 않다. CUI를 직접 취급하는 역할을 맡는 Tier-2·3 협력사는 사실상 Level 2의 대상이 된다. "우리는 협력사이니 Level 1이면 되겠지"라는 인식은 자신이 취급하는 정보의 성격을 정확히 파악하지 못한 데서 비롯된 오판일 수 있다.
CMMC를 단순한 보안 인증으로 보는 시각은 이 제도의 본질을 절반만 이해하는 것이다. 본질은 구조에 있다. CMMC가 이전의 자체 점검 방식과 근본적으로 다른 지점은 "증명의 방식"과 "적용의 범위" 두 가지다.
이전까지 방산 계약업체들은 NIST SP 800-171의 보안 요건을 충족하고 있다고 스스로 신고하면 됐다. 감사를 받지 않아도 됐고, 제3자의 확인도 필요 없었다. 결과는 참혹했다. DoD는 계약업체들이 보안 요건을 갖추고 있다고 신고하지만 실제로는 그렇지 않다는 사실을 반복적으로 확인했다. 이 자기 선언(self-attestation) 시스템은 사실상 신사협정에 불과했다.[4]
CMMC는 이 구조를 뒤집었다. 이제 계약에 지정된 CMMC 레벨을 취득한 뒤 SPRS에 결과를 등록하고, 매년 지속 준수 여부를 확인(Annual Affirmation)하며, 인증 유효 기간인 3년마다 재평가를 통해 갱신해야 한다. 계약 기간 내내 이 상태를 유지해야 하며, 상태가 만료되면 계약 이행 자격도 함께 사라진다.[5]
더 결정적인 것은 '플로우-다운(Flow-down)' 조항이다. CMMC의 요건은 주계약자에서 끝나지 않는다. 32 CFR Part 170에 따르면 CUI가 하도급으로 흘러 내려가는 순간, 그 하도급사도 해당 정보 취급에 적합한 CMMC 레벨(자체평가 또는 C3PAO, 공고 지정에 따라)을 준수해야 할 수 있다.[7] 하도급사가 FCI만 취급한다면 Level 1으로 충분할 수 있지만, CUI를 다루게 되는 순간 Level 2 요건이 요구된다. 공급망은 가장 약한 고리로 끊기고, CMMC는 그 고리를 제도적으로 추적한다.
False Claims Act(허위청구법)도 강력한 집행 도구로 작동한다. DoJ(법무부)는 이미 사이버보안 요건에 관한 허위 신고를 이 법으로 추적하고 있으며, 위반이 확인될 경우 정부 손해액의 최대 3배에 달하는 민사 배상 책임이 발생한다.[7]
보안을 갖추지 않고 갖췄다고 신고하는 것은 단순한 규정 위반이 아니라 연방 사기 행위가 된다.
GDPR과 비교하면 이 구조의 파급력이 더 선명해진다. GDPR이 개인정보의 국외 이전을 통제함으로써 유럽 데이터 생태계를 보호하는 장벽이 된 것처럼, CMMC는 FCI와 CUI가 흐르는 경로를 인증된 기업들끼리만 공유하도록 설계한다. 기술력의 문제가 아니라 자격의 문제다. CMMC는 보안 규정이 아니라 미국 조달 시스템의 새로운 운영체제(OS)다.
K-방산의 간판 기업들은 이미 움직이기 시작했다. 한화에어로스페이스, LIG넥스원, KAI 등 대형 체계업체들은 해외 자문사 등을 통해 Level 2 인증을 위한 컨설팅을 준비하고 있다.[8]
삼정KPMG는 RP(등록 전문가) 자격을 취득하고 CMMC 전담 서비스팀을 출범시켰다.[9]
삼일PwC는 RPO(등록 제공자 기관) 자격을 보유한 PwC US와 협력해 CUI 데이터 흐름 분석, 엔클레이브 설계, 수출통제 법률 자문을 포함한 통합 솔루션을 제공하고 있다.[8]
EY한영은 명지대학교 방산안보연구소의 CMMC센터와 업무협약을 맺고 모의 심사 서비스를 제공 중이며, 이노티움 같은 전문 보안 기업도 RPO 자격을 확보해 컨설팅 시장에 진입했다.[8]
그러나 이 움직임의 초점은 대부분 프라임 기업 자신의 보호에 맞춰져 있다. 훨씬 더 심각한 문제는 이들과 연결된 수백 개의 협력사다. 협력사가 인증을 받지 못하면 결국 체계업체의 수출 사업에 차질이 생긴다.[8]
체계업체는 자물쇠를 열었지만, 열쇠를 협력사에게 주는 일이 아직 시작조차 되지 않은 것이다.
협력사들이 직면한 현실은 세 겹의 제약이 동시에 작동하는 구조다.
비용의 제약
DoD 최종 규칙(32 CFR Part 170)의 공식 비용 산정에 따르면, Level 2 인증 취득과 3년 유지를 위한 평가·확인 비용은 중소기업(small entity) 기준 약 10만 1,752달러, 중대형 기업(other than small entity) 기준 약 11만 2,345달러로 추정된다.[10]
그러나 이 수치는 이미 NIST 800-171 구현이 완료되어 있다는 가정 하의 평가·확인 비용에 불과하다. 실제로는 차세대 방화벽, 보안 모니터링 시스템(SIEM), 다요소 인증(MFA) 배포, FIPS 검증 암호화 모듈 등 인프라 구축을 위한 초기 투자가 먼저 이루어져야 한다. C3PAO 심사 수요가 폭발하면서 심사 비용은 2026년 말 7만 5,000달러~15만 달러 수준으로 오를 것이라는 전망도 나온다.[11]
모든 비용을 합산하면 중소 제조기업의 연간 영업이익을 훌쩍 넘는 규모가 될 수도 있다.
인력의 제약
CMMC는 시스템을 한 번 구축하면 끝나는 인증이 아니다.
지속적 운영, 취약점 관리, 로그 수집·분석, 정기 리스크 평가, 보안 정책 문서화, 그리고 모든 것의 증적 생산을 담당할 보안 거버넌스 전문가가 조직 안에 있어야 한다.
특히 제조업 중소기업은 OT(운영기술) 환경과 IT 환경이 혼재되어 있어, 협력사 원격 유지보수 접속이나 CUI를 다루는 시스템에 대한 접근 통제를 일관되게 적용하는 것이 현실적으로 어렵다.[4]
국내 보안 인력 시장은 만성적 공급 부족 상태이며, 이 전문 인력이 중소기업을 선택하는 일은 구조적으로 드물다.
시간의 제약
대부분의 조직이 준비에 최소 6~12개월이 필요하다.[11]
C3PAO 심사 대기줄이 길어질수록 입찰 일정과의 충돌 위험이 커진다. 일부 업계 전망에서는 C3PAO 심사 수요 증가에 따라 2026년 말 심사 비용이 7만 5,000달러~15만 달러 수준까지 오를 수 있다고 보기도 한다.[11]
조건부 Level 2 인증(Conditional CMMC Status)을 받더라도 미이행 항목(POA&M)은 180일 이내에 모두 종결해야 하며, 이를 넘기면 인증이 만료되고 계약 자격도 함께 소멸한다.[5]
특히 CMMC 2.0 규정은 POA&M에 포함 가능한 항목을 원칙적으로 점수 1점 이하로 제한하고 있어, 가중치가 높은 핵심 항목(예: FIPS 암호화 관련 3.13.11, MFA 관련 3.5.3 등)이 미달 상태라면 POA&M 유예 자체를 받지 못할 수 있다는 점에서 더욱 엄격하다.
준비를 늦게 시작할수록 선택지가 줄어드는 구조다.
많은 기업이 CMMC를 "IT 부서가 처리해야 할 보안 이슈"로 접근한다. 이것이 첫 번째이자 가장 치명적인 실수다. CMMC는 보안 프로젝트가 아니라 사업 연속성(Business Continuity)의 문제다. 삼정KPMG의 고영대 컨설팅 부문 상무는 "CMMC 대응은 단순한 인증 준비가 아니라, 기업의 중장기 해외 사업 전략과 글로벌 공급망 참여 구조를 함께 점검하는 과정"이라고 밝혔다.[12]
이 말은 컨설팅 회사의 마케팅 문구가 아니라, CMMC의 구조적 본질에서 나오는 진단이다.
부분 대응의 함정도 경계해야 한다. 기술 통제 항목을 하나씩 체크해 나가는 방식은 가장 비싼 접근법이다. 업계 세미나 및 DIBCAC 관련 분석 자료에 따르면, 상당수 계약업체가 스스로의 점수를 실제 심사 점수보다 훨씬 높게 매기는 경향이 있다. 이는 대부분 범위(scoping) 정의가 불충분하고 경계를 방어할 수 없는 데서 비롯된다.[13]
가상 보안 컴플라이언스 솔루션 제공업체인 CyberSheath가 분석한 현장에서 가장 많이 탈락하는 항목 상위 5위는 다음과 같다.
첫째, FIPS 검증 암호화(3.13.11)
CyberSheath가 평가한 고객사의 52%가 이 항목에서 문제가 발생했다.[14]
'암호화 사용'이 아니라 미국 연방이 검증한 암호화 모듈(FIPS 140-2/3)을 사용해야 한다는 요건이다. 국내에서 쓰이는 국산 암호 모듈(KCMVP)은 FIPS 검증 요건을 충족하지 못하는 경우가 대부분이어서, 방산·연방 조달 맥락에서는 FIPS validated 모듈을 별도로 준비해야 한다.[14]
이는 단순한 모듈 교체를 넘어, 한국 기업이 자국 보안 표준 체계를 유지하면서 동시에 미국 연방 기준을 충족해야 하는 '보안 주권의 충돌' 문제이기도 하다. 이메일, 파일 전송, 저장, 백업, 키 관리 전 영역에 걸쳐 검토가 필요하다.
둘째, 다요소 인증(MFA, 3.5.3)의 적용
CyberSheath가 평가한 고객사의 73%가 이 항목에서 문제가 발생했다.[14]
NIST 800-171 3.5.3은 특권 계정의 로컬·네트워크 접근 및 비특권 계정의 네트워크 접근에 MFA를 요구한다. 제조 현장의 OT 환경이나 협력사 원격 접속 경로처럼 레거시 시스템이 많은 곳에서는 이 요건을 일관되게 적용하기가 현실적으로 어렵고, 운영 난이도가 높아 이행 지연으로 이어지는 경우가 많다.
셋째, 시스템 결함 관리(3.14.1), 넷째, 리스크 평가(3.11.1), 다섯째, 취약점 스캔(3.11.2)
이 세 항목은 기술 도구만의 문제가 아니라 운영 프로세스와 증적의 문제다. "툴은 구매했는데 운영 기록이 없다"는 형태로 탈락하는 사례가 압도적으로 많다.[14]
가장 현실적인 대응 전략의 출발점은 '범위의 최소화'다.
CUI가 실제로 닿는 시스템을 정밀하게 파악하고, 그 범위를 논리적·물리적으로 격리하는 CUI 엔클레이브 설계가 핵심이다. 즉, 범위 설정이 핵심이다. CUI와 연관된 시스템, 사람, 프로세스를 정확히 식별하지 못하면 준비 단계에서부터 실패 위험이 생긴다.[15]
그런데 이 범위 설정 작업이 점점 복잡해지고 있다. "우리가 다루는 정보가 CUI인가?"라는 질문에 대해, 미 국방부가 제공하는 정보뿐만 아니라 기업이 계약 이행 과정에서 자체적으로 생성한 결과물, 예를 들어 설계 분석 보고서나 시험 데이터가 CUI로 사후 지정되는 사례가 늘고 있어 범위 설정이 더욱 어려워지고 있다. 32 CFR Part 170은 CUI와 물리적·논리적으로 분리되지 않은 시스템까지 평가 범위로 포함할 수 있다고 명시한다.[10]
반대로 말하면, 분리를 잘 설계할수록 평가 범위와 비용이 줄어든다.
프라임이 이 엔클레이브를 구축해 협력사에 제공하는 구조, 즉 협력사는 보호된 구역 안에서만 방산 관련 업무를 수행하는 '공급망 통합 보안 플랫폼' 모델이 세 가지 제약을 동시에 완화하는 현실적 해법이다. 인프라 투자는 프라임이 부담하고, 인력 부재는 통합 관제로 해결하며, 협력사의 인증 범위는 최소화된다.
국내 대응 생태계의 윤곽은 잡혔지만 결정적인 공백이 있다. 정부는 2024년부터 Level 1 컨설팅 지원 사업을 시작했고, 2025년에는 Level 2 지원 사업 확대를 예고했다. 그러나 업계에서는 "실무진 중심의 접근으로는 한계가 있다"며 보안 가이드라인 정립과 산업 생태계 조성을 포함한 전략적 접근이 필요하다는 목소리가 높다.[16]
한 방산업계 관계자는 "지금의 성장세를 유지하려면 기술력뿐 아니라 보안 수준도 세계 기준에 부합해야 한다"며 "CMMC 인증 문제 해결을 위한 정부의 조속한 협의와 지원이 시급하다"고 강조한다.[16]
삼정KPMG는 특정 보안 솔루션이나 기술 도입을 앞세우기보다, 기업의 기존 사업 구조와 운영 프로세스를 기반으로 대응 범위를 설정하는 접근 방식을 강조한다. 컨설팅 초기 단계부터 기업의 미국 사업 구조와 글로벌 공급망 내 참여 방식, 내부 프로세스를 종합적으로 점검해, 과도한 투자나 불필요한 부담을 줄이면서도 미국 방산·연방 시장이 요구하는 기준을 충족할 수 있도록 지원한다는 방침이다.[9]
대형 컨설팅사들이 움직이기 시작했지만, 결정적으로 빠진 것이 있다.
이 글을 작성하는 시점을 기준으로, CMMC 공식 인증기관 디렉터리(Cyber AB Marketplace)에서 국내 소재 C3PAO는 확인되지 않는다. 미국·캐나다·호주·UAE·대만 등 주요 방산국의 기업들은 이미 CMMC를 취득해 계약 필수 요건을 충족한 상태다.[9]
한국 기업이 심사를 받으러 해외 심사기관의 스케줄에 맞춰야 하는 상황이 지속된다면, 입찰 일정 충돌은 구조적으로 반복된다. CMMC 생태계는 비미국 기업도 C3PAO 자격 취득이 가능하다는 것을 공식 FAQ에서 명시하고 있다.[17] 이것은 기회이기도 하다.
여기서 이야기의 스케일이 달라진다. CMMC를 방산 기업만의 문제로 보는 시각은 지금 벌어지고 있는 일의 절반밖에 보지 못한다.
2025년 1월 15일, FAR(연방조달규정) 위원회는 행정부 전체 조달 계약에 CUI 보호 요건을 적용하는 'FAR CUI 규칙안'을 공개했다(90 Fed. Reg. 4,278). 이 규칙이 최종 확정되면, 기존에 중요한 사이버보안 의무가 없던 기업들도 방산 계약업체들이 해왔던 것과 동일한 수준의 투자를 요구받게 된다.[18] 민간 기관 계약업체들도 주목해야 한다. CMMC가 추진력을 얻으면서 민간 기관 규칙 제정도 속도를 낼 가능성이 높다.[19]
이것이 현실 가능성이 있는 시나리오라는 증거가 이미 축적되고 있다.
2025년 4월, GSA(조달청) 감사관실은 CUI로 표시된 민감 정보와 개인식별 정보가 직원들의 Google Drive와 Google Groups 환경에서 업무 필요성이 없는 직원들에게도 접근 가능한 상태로 노출된 사실을 지적했다. 이 노출은 접근 통제(3.1), 미디어 보호(3.8), 시스템 무결성(3.13) 등 여러 NIST 800-171 통제 항목을 위반한 것이었다.[20]
같은 해 6월, GAO(회계감사원)는 NASA가 사이버보안 리스크 관리 프레임워크를 부분적으로만 구현했다고 지적했다.[20]
민간 연방 기관들이 CMMC가 만들어온 동일한 압박을 받기 시작하는 것이다. 법률 전문가들은 이 흐름을 명확히 읽고 있다. "사이버보안이 DoD를 넘어 조달 전반에 걸쳐 '표준화'되고 있으며, 이는 리스크 모델을 근본적으로 바꿀 수 있다."[21]
파급의 깊이를 단계별로 따라가 보자.
1단계 — 방산에서 첨단 산업 전체로
NASA 계약업체가 연구개발 데이터, 설계 사양, 임무 원격측정 데이터 같은 CUI를 대량으로 취급하지만, 현재 이들은 DFARS 252.204-7012나 CMMC 검증 대상이 아니다.[20]
FAR CUI 규칙이 확정되면 이것이 바뀐다. 상무부가 관장하는 반도체 연구 프로젝트, 수출통제 관련 기술 협력 계약, 에너지부의 원자력 및 에너지 인프라 관련 사업이 모두 사정권 안으로 들어온다.
한국 반도체·ICT 기업이 미국 연방 프로젝트에 참여할 때, CUI를 다루는 순간 방산 기업과 동일한 보안 요건이 적용될 수 있다.
2단계 — 조달에서 무역 장벽으로
미국이 "보안 인증 미보유 기업과는 계약 불가"라는 원칙을 연방 전체에 적용하는 것은 사실상 디지털 무역장벽이다. WTO 규범상 기술규정으로 분류되어 내국민대우 원칙(GATT 제3조)과 충돌할 소지가 있지만, 미국은 안보 예외 조항(GATT 제21조)을 방패로 삼을 수 있다. 국제 통상 체계에서 안보를 이유로 한 규제는 WTO 분쟁 해결 절차로 다루기 가장 어려운 영역이다. 관세가 아닌 인증 요건이기 때문에 협상 테이블에 올리기도 쉽지 않다.
3단계 — 동맹 간 보안 표준의 분기
미국 CMMC, EU의 NIS2 지침, 한국 K-ISMS가 각자 진화하면, 글로벌 공급망에 참여하는 기업들은 복수의 보안 인증을 동시에 유지해야 하는 '보안 인증 스택' 부담을 안게 된다. 한국 기업이 미국 방산과 EU 방산에 동시에 참여하려면, CMMC와 NIS2를 모두 충족해야 하는 상황이 올 수 있다.
이 도미노의 최종 도달점은 어디인가. 방산에서 시작한 디지털 관세가 첨단 제조업 전체의 시장 진입 조건이 되는 세계다. 기술력, 가격, 품질만으로 경쟁하던 시대에서, 사이버보안 인증이 그 모든 것의 전제 조건이 되는 시대로의 전환이다.
이 흐름에 대응하기 위해 한국이 해야 할 일은 세 가지 차원에서 동시에 이루어져야 한다.
기업 차원 — 인식의 전환
CMMC를 방산 한정 문제로 보는 시각을 깨야 한다. 반도체, 조선, 자동차, ICT 기업 중 미국 연방과 접점이 있는 기업이라면 모두 잠재적 적용 대상이다. FAR CUI 규칙이 확정되기 전에 준비를 완료한 기업이 확정 이후 가장 빠르게 대응하는 기업이 된다. 선행 투자가 시장 우위다.
삼정KPMG는 특정 보안 솔루션이나 기술 도입을 앞세우기보다, 기업의 기존 사업 구조와 운영 환경을 유지하면서도 미국 방산·연방 시장이 요구하는 기준을 충족할 수 있도록 지원하는 것이 핵심이라고 강조한다.[12]
정부 차원 — 기술 외교로 승부
가장 시급한 과제는 한국의 K-ISMS·CSAP 체계와 미국 NIST 800-171 간의 상호 인정(Mutual Recognition) 협상이다. 한국이 이 협상을 늦추면, 한국 기업들은 국내 보안 인증과 미국 CMMC를 이중으로 취득해야 하는 비용 이중 부담 구조에 영구적으로 갇히게 된다. 보안 인증 상호 인정은 한국의 통상 협상 의제에 올라가야 할 기술 외교의 과제다.
산업 생태계 차원 — C3PAO 역량 내재화
국내에 C3PAO 자격을 갖춘 심사기관을 구축하는 것은 선택이 아니라 필수다. 현재 국내 법인 중 공식 심사기관 자격을 보유한 곳이 없다는 사실은 단기적 불편이 아니라 구조적 종속이다. CMMC 생태계는 비미국 기업도 C3PAO 자격 취득이 가능하다는 것을 공식 FAQ에서 명시하고 있다.[17]
정부와 민간이 협력하여 C3PAO 자격 취득과 국내 심사 인프라 구축에 투자하지 않으면, 한국은 심사 일정과 비용과 기준 해석에서 모두 타국에 종속된다. 이는 산업 경쟁력의 문제이기 이전에 디지털 주권의 문제다.
리스크의 반대편에는 기회가 있다.
CMMC 관련 컴플라이언스 시장은 수년 내 수십억 달러 규모로 성장할 것으로 전망되며, 2028년까지 CMMC 영향권에 들어오는 기업은 약 34만 개이며 이 중 68%가 중소기업이다.[22] FAR CUI 규칙이 확산될 경우 이 시장은 수배로 커진다.
한국 기업이 이 시장에서 포지셔닝할 수 있는 지점이 세 곳 있다.
첫 번째는 엔클레이브 SECaaS 플랫폼이다.
한국의 제조업 저변과 IT 역량을 결합해 OT까지 포함한 CUI 처리 구역 서비스를 제공하는 모델이다. 단순한 IT 보안이 아니라 공장형 엔클레이브를 운영할 수 있는 기업은 글로벌에서도 희소하다.
두 번째는 AI 기반 증적 자동화 서비스다.
NIST 800-171 110개 항목의 증적을 자동 수집하고 심사관 관점에서 사전 진단하는 플랫폼은 수동 작업에 의존하는 미국 컨설팅 시장에서 충분한 경쟁력을 가진다. 2026년 중반이면 AI 기반 통제 검증과 증적 생성이 CMMC 플랫폼의 기본 기능이 될 것이라는 전망도 나온다.[11]
세 번째는 K-방산 패키지 수출이다.
폴란드, UAE 등 K-방산을 대규모로 도입하는 국가들은 무기 체계와 함께 이를 운영하기 위한 보안 체계에도 관심이 높다. "무기 + 보안 클라우드 + CMMC 컨설팅"을 묶은 패키지형 수출 모델은 방산 수출이 보안 서비스 수출로 확장되는 구조를 만든다.
역사는 새로운 표준이 등장할 때마다 그것을 먼저 체화한 국가와 기업이 다음 시대를 설계했다는 사실을 반복해서 증명한다. CMMC는 미국이 디지털 안보 동맹의 입장권을 재설계하고 있다는 선언이다. 방산에서 시작해 연방 전체로, 연방에서 동맹국 공급망 전체로 확산되는 이 흐름은 막을 수 없다. 막아야 할 것도 아니다.
한국이 선택해야 할 것은 방어가 아니라 선제적 참여다. CMMC의 요건을 충족하는 것을 넘어, 그 생태계를 구축하고 운영하는 역량을 갖추는 것이 목표여야 한다. K-방산이 쌓아온 기술력이 이 디지털 입장권 없이 문 앞에서 멈추는 상황을 방지하는 것, 그리고 그 입장권을 발급하는 역할까지 맡을 수 있는 위치로 나아가는 것이 지금 한국이 풀어야 할 전략 방정식이다.
보안이 무기가 된 시대에, 무기를 잘 만드는 것만으로는 부족하다. 그 무기를 둘러싼 디지털 신뢰 체계까지 함께 수출할 수 있을 때, K-방산은 진정한 글로벌 플레이어가 될 수 있다.
이 글에는 영문 약어가 다수 등장합니다. 아래에 본문 출현 순서대로 정리했습니다.
CMMC — Cybersecurity Maturity Model Certification. 사이버보안 성숙도 모델 인증. 미 국방부가 방산 공급망 전체에 사이버보안 기준을 강제하기 위해 만든 조달 자격 요건.
CMMI — Capability Maturity Model Integration. 소프트웨어·시스템 개발 프로세스의 성숙도를 측정·개선하기 위한 국제 품질 모델. CMMC와 이름이 유사하지만 목적과 구조가 전혀 다름.
ISO 27001 — International Organization for Standardization 27001. 정보보안 관리 체계에 대한 국제 표준 인증.
ISMS — Information Security Management System. 정보보호 관리체계. 국내에서 KISA(한국인터넷진흥원)가 운영하는 정보보호 인증 제도.
CSAP — Cloud Security Assurance Program. 클라우드 보안 인증 제도. 국내 공공 분야 클라우드 서비스 보안 적합성 검증 제도.
DoD — Department of Defense. 미국 국방부.
DFARS — Defense Federal Acquisition Regulation Supplement. 미국 국방 연방조달보충규정. DoD 계약에 적용되는 조달 규정.
FAR — Federal Acquisition Regulation. 미국 연방조달규정. 미국 연방 정부 전체의 조달에 적용되는 기본 규정.
CFR — Code of Federal Regulations. 미국 연방 행정 규정집. CMMC 프로그램은 32 CFR Part 170에 규정됨.
FCI — Federal Contract Information. 연방 계약 정보. 정부 조달 계약 이행 과정에서 생성·제공된 비공개 정보. CMMC Level 1의 보호 대상.
CUI — Controlled Unclassified Information. 통제 비밀 정보. 비밀(Classified)로 분류되지는 않지만 유출 시 국가 안보에 영향을 미칠 수 있는 민감 정보. CMMC Level 2·3의 보호 대상.
NIST — National Institute of Standards and Technology. 미국 국립표준기술연구소. 사이버보안 표준을 개발하는 연방 기관.
NIST SP 800-171 — NIST Special Publication 800-171. 비연방 시스템에서 CUI를 보호하기 위한 110개 보안 통제 항목을 정의한 NIST 표준 문서. CMMC Level 2의 기준.
NIST SP 800-172 — NIST Special Publication 800-172. NIST SP 800-171의 강화 요건을 담은 문서. CMMC Level 3에 24개 항목이 추가로 적용됨.
C3PAO — CMMC Third-Party Assessment Organization. CMMC 제3자 심사기관. Cyber AB로부터 공인받아 Level 2 인증 심사를 수행할 수 있는 기관.
SPRS — Supplier Performance Risk System. 공급자 성과 리스크 시스템. DoD가 운영하는 계약업체 보안 평가 결과 등록·관리 시스템.
DIBCAC — Defense Industrial Base Cybersecurity Assessment Center. 방위산업기반 사이버보안 평가센터. CMMC Level 3 심사를 직접 수행하는 국방부 산하 기관.
POA&M — Plan of Action and Milestones. 미이행 항목 조치 계획. 심사 시 일부 항목이 미달되었을 때 허용되는 180일 이내 시정 계획서.
DIB — Defense Industrial Base. 방위산업기지. DoD 계약 및 공급망에 참여하는 기업 전체를 지칭.
RPO — Registered Provider Organization. 등록 제공자 기관. CMMC 준비를 지원하는 컨설팅 기관으로 Cyber AB에 등록된 조직.
RP — Registered Practitioner. 등록 전문가. CMMC 컨설팅을 수행할 수 있는 개인 자격.
FIPS — Federal Information Processing Standard. 미국 연방 정보처리 표준. CMMC에서는 FIPS 140-2/3 검증 암호화 모듈 사용을 요구함.
KCMVP — Korea Cryptographic Module Validation Program. 국내 암호 모듈 검증 프로그램. 국산 암호 모듈의 안전성을 검증하는 국내 제도로, FIPS 검증과는 별개.
MFA — Multi-Factor Authentication. 다요소 인증. 비밀번호 외에 추가 인증 수단을 사용하는 보안 방식.
SIEM — Security Information and Event Management. 보안 정보 및 이벤트 관리 시스템. 보안 로그 수집·분석·경보를 통합 처리하는 보안 관제 솔루션.
OT — Operational Technology. 운영 기술. 공장 설비·제조 장비 등 산업 현장의 물리적 시스템을 제어하는 기술. IT(정보기술)와 구별됨.
GSA — General Services Administration. 미국 조달청. 연방 정부의 조달·부동산·IT 서비스를 관장하는 기관.
OIG — Office of Inspector General. 감사관실. 연방 기관 내 독립 감찰 기구.
GAO — Government Accountability Office. 회계감사원. 미국 의회 산하 독립 감사 기관.
GATT — General Agreement on Tariffs and Trade. 관세 및 무역에 관한 일반 협정. WTO의 기반이 되는 국제 무역 협정.
WTO — World Trade Organization. 세계무역기구. 국제 무역 규범을 관장하는 국제기구.
GDPR — General Data Protection Regulation. 유럽연합 일반 데이터 보호 규정.
NIS2 — Network and Information Systems Directive 2. EU의 네트워크 및 정보 시스템 보안 지침 2.0. 유럽의 사이버보안 규제 체계.
K-ISMS — Korea Information Security Management System. 한국형 정보보호 관리체계 인증 제도.
[1] Holland & Knight, "CMMC Goes Live: New Cybersecurity Requirements for Defense Contractors," Holland & Knight Insights, 2025년 9월 10일. https://www.hklaw.com/en/insights/publications/2025/09/cmmc-goes-live-new-cybersecurity-requirements
[2] U.S. General Services Administration, "FAR 52.204-21 Basic Safeguarding of Covered Contractor Information Systems," Federal Acquisition Regulation, 2016년 (현행 유지). https://www.acquisition.gov/far/52.204-21
[3] CyberSheath, "Why Small Defense Contractors Can't Afford to Ignore CMMC," CyberSheath Resources, 2025년 11월 4일. https://cybersheath.com/resources/blog/why-small-defense-contractors-cant-afford-to-ignore-cmmc/
[4] CyberSheath, "CMMC 2.0 Guide for DOD Compliance," CyberSheath Guides, 2025년. https://cybersheath.com/resources/guides/cmmc-2-0-guide/
[5] Alston & Bird, "CMMC: New Era of Cybersecurity Compliance for Defense Contractors," Alston & Bird Insights, 2025년 11월 11일. https://www.alston.com/en/insights/publications/2025/11/cmmc-cybersecurity-compliance-defense
[6] Strike Graph, "CMMC vs NIST 800-171: Key Differences for DoD Contractors," Strike Graph Blog, 2025년 10월 24일. https://www.strikegraph.com/blog/cmmc-nist-800-171
[7] Goodwin Law, "DOD Final Rule Incorporates CMMC 2.0 Into DFARS," Goodwin Insights, 2025년 9월 23일. https://www.goodwinlaw.com/en/insights/publications/2025/09/alerts-otherindustries-dod-final-rule-incorporates-cmmc-20-into-dfars
[8] 인베스트조선, "韓 방산업계 새 과제된 美CMMC 인증…자문사들도 '물밑 준비'," 인베스트조선, 2025년 9월 22일. https://www.investchosun.com/site/data/html_dir/2025/09/22/2025092280090.html
[9] 이투데이, "삼정KPMG, CMMC 서비스팀 출범…美 방산·연방 공급망 진출 기업 지원 '본격화'," 이투데이, 2026년 2월 8일. https://www.etoday.co.kr/news/view/2554384
[10] U.S. Federal Register, "Cybersecurity Maturity Model Certification (CMMC) Program — Final Rule (32 CFR Part 170)," Federal Register, 2024년 10월 15일. https://www.federalregister.gov/documents/2024/10/15/2024-22905/cybersecurity-maturity-model-certification-cmmc-program
[11] Kiteworks, "2026 CMMC Compliance: Choose the Right Software," Kiteworks Blog, 2026년 1월 27일. https://www.kiteworks.com/cmmc-compliance/cmmc-2026-compliance-software-selection/
[12] 헤럴드경제, "삼정KPMG, 국내 기업 美 진출 돕는다…CMMC 서비스팀 출범," 헤럴드경제, 2026년 2월 9일. https://biz.heraldcorp.com/article/10672375
[13] CMMC.com, "CMMC Phase 1 Begins Today, but Recent Data Shows 99% of the DIB Is Not Fully Ready: Why Automation Is Only Path Forward," CMMC.com Newsroom, 2025년 11월 10일. (CyberSheath·Merrill Research의 '2025 State of the DIB' 보고서 데이터 인용 포함 — 자가점수(평균 60점)와 완전 준비 기업 비율(1%) 등 DIB 전반의 자가평가·실제 준비 격차 데이터) https://www.cmmc.com/newsroom/cmmc-enforcement-day-one-few-companies-ready
[14] 112Cyber, "How to Pass the 10 Most Failed NIST 800-171 Requirements," 112Cyber Blog, 2024년. (2023년 DIBCAC가 공개한 NIST 800-171 최다 탈락 요건 TOP 10 분석 — FIPS 검증 암호화(3.13.11) 1위, MFA(3.5.3) 2위 확인) https://112cyber.com/blog/how-to-pass-the-10-most-failed-nist-800-171-requirements/
[15] Continuum GRC, "DIBCAC and CMMC Assessments: A Strategic Guide," Continuum GRC Blog, 2025년 10월 22일. (CUI 경계 정의 및 자산 범주화가 CMMC 평가의 출발점이며, 잘못된 스코핑이 평가 실패의 주요 원인임을 설명) https://continuumgrc.com/dibcac-and-cmmc-assessments-a-strategic-guide/
[16] CNBTV, "'CMMC 없인 美 진출도 없다'… 방산업계, 공급망 보안 강화 '비상'," CNBTV, 2025년 5월 19일. http://www.cnbtv.co.kr/news/articleView.html?idxno=23528
[17] U.S. DoD, "Cybersecurity Maturity Model Certification Program — Frequently Asked Questions (FAQ) v4," DoD CIO, 2025년. https://dowcio.war.gov/Portals/0/Documents/CMMC/CMMC-FAQsv4.pdf
[18] Inside Government Contracts, "FAR Council Proposes New FAR CUI Rule," Inside Government Contracts Blog, 2025년 2월 12일. https://www.insidegovernmentcontracts.com/2025/02/far-council-proposes-new-far-cui-rule/
[19] Dickinson Wright, "Preparing for CMMC: Navigating DoD's New Cybersecurity Rules," Dickinson Wright Client Alert, 2025년. https://www.dickinson-wright.com/news-alerts/client-alert-dorn-preparing-for-cmmc
[20] Cape Endeavors, "CMMC's Expansion Across the Federal Enterprise: What the FAR CUI Rule Means for GSA, NASA, and Beyond," Cape Endeavors Blog, 2025년 10월 27일. (GSA OIG Alert Memorandum A250043-2, 2025년 4월 18일 및 GAO Report GAO-25-108138, 2025년 6월 인용 포함) https://www.capeendeavors.com/post/cmmc-s-expansion-across-the-federal-enterprise-what-the-far-cui-rule-means-for-gsa-nasa-and-beyon
[21] White & Case, "From 2025 Upheaval to 2026 Strategy: Key Regulatory Risks and Opportunities for Government Contractors," White & Case Insight Alert, 2025년. https://www.whitecase.com/insight-alert/2025-upheaval-2026-strategy-key-regulatory-risks-and-opportunities-government
[22] Triton Computer Corp, "Why CMMC Compliance Is Forcing Managed IT Providers to Rethink Physical Security," Triton Computer Corp Blog, 2026년 1월 20일. https://tritoncomputercorp.com/blog/2026/01/20/why-cmmc-compliance-is-forcing-managed-it-providers-to-rethink-physical-security/