방산기술 유출 방지를 위한 CMMC 동향 및 이슈

*   본 내용은 국경완 실장(☎ 070-4872-6200, kugstone@naver.com)에게 문의하시기 바랍니다.

**   본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.

 2023년은 한국이 1973년에 국산 소총을 처음 생산하여 무기를 만들기 시작한 지 50주년이 되는 해이다. 최근 K-방산에 호기로 작용한 러시아-우크라이나 전쟁이 최근 2년 동안 전에 없던 빠른 속도로 무기 수출을 늘려가면서 우리나라 방위산업이 세계 9위권 내 강국으로 도약하는 등 위상이 날로 높아가고 있으며, 전 세계가 K-방산에 주목하고 있다. 그러나 한편으로는 국내 방산기술을 노린 내부자 정보 유출 및 사이버 해킹 공격이 지속 증가하고 있어 방산기술 보호의 필요성이 증대하고 있다.

<자료> 유호승, “‘수주잔고 100兆’ 방위산업, 기술 유출ㆍ해킹 복병···민관 협업으로 강경 대응”, 시사저널, 2023. 4.

[그림 1] 방사청, 국방과학연구소(ADD) 해킹 시도 현황

<자료> 김동규, “반도체 등 국가핵심기술 해외유출 심각, 기술자 처우개선이 먼저”, 파이낸셜뉴스, 2022. 10.

[그림 2] 국내 산업기술 해외 유출 추이

 국회 국방위원회에 따르면 국방과학연구소(ADD)와 방사청이 보유하고 있는 서버에 대한 해킹 시도는 매년 증가하고 있는 추세이다. [그림 1]과 같이 2018년 1,970건 이었던 이들 기관에 대한 해킹 시도가 2021년 들어 5,250건으로 3,280건(166.5%)으로 증가하였다. 해킹 공격을 가장 많이 시도한 국가의 IP(Internet Protocol, 인터넷 프로토콜)를 추적한 결과 중국이 가장 높은 것으로 나타났다. 특히, 2018년에 비해 2021년에는 약 6배가 증가하였다. 이와 같이 방산기술 국가 경제뿐만 아니라 국가 경쟁력 및 국방력 저하로 직결되기 때문에 매우 중요하다.
 한편, 최근 5년(2018~2022년 7월) 간 발생한 핵심 국내 산업기술 해외 유출 건수는 [그림 2]와 같이 총 83건으로 나타났다. 위에서 말한 국가핵심기술이란 해외로 유출될 경우 국가의 안전보장과 국민경제의 발전에 중대한 악영향을 줄 우려가 있는 산업기술을 의미한다. 연도별로 살펴보면 2018년 20건, 2019년 14건, 2020년 17건, 2021년 22건, 2022년 7월까지 10건으로 매년 20건 내외로 꾸준히 발생하고 있다는 것을 알 수 있다[1].
 앞에서 설명한 바와 같이 최근 급속도로 성장하는 K-방산에 힘입어 우리나라 방위산업이 세계 9위권 강국으로 도약하는 등 위상이 날로 높아 가고 있는 반면에, 방위산업 핵심기술을 노리는 내부자, 해킹, 정보 유출 등은 매년 지속적으로 증가하고 있어 여기에 대한 대비가 절실한 시점이다. 이에 정부에서는 방위산업 기술 보호법을 제정하는 한편 방산업체를 대상으로 매년 통합실태 조사를 시행하며 사이버보안 체계를 점검하고 있다. 한편, 방산시장의 주도권을 쥐고 있는 미국 정부에서는 CMMC 제도를 시행하고 다른 국가 방산기업에도 CMMC 인증을 요구할 예정으로 국내 방위산업 성장에 큰 위협으로 다가오고 있다[2]. 이러한 CMMC는 미 국방사업에 참여하는 모든 방산업체의 사이버보안 능력을 평가하여 3단계 인증 등급을 부여하는 체계로 2026년에 도입될 것으로 전망된다. 따라서 본 고에서는 먼저 II장에서 사이버 성숙도 모델 인증에 대해 살펴보고, III장에서는 사이버보안 성숙도 모델 동향 및 이슈를 중심으로 설명한다. 끝으로, IV장에서 본 고의 결론을 제시한다.

1. CMMC 개요

 CMMC는 국방 계약자가 민감한 국방 정보를 보호하기 위한 현재 보안 요구사항을 준수하는지 확인하기 위해 고안된 평가 표준으로, 미국 국방 계약자를 위한 사이버보안 프레임워크이다. 이는 다양한 표준과 요구사항을 결합하여 국방 공급망의 사이버보안 성숙도를 측정할 수 있도록 되어 있다. 핵심적으로 CMMC 규정 준수는 사이버 공격 및 국가 행위자로부터 민감한 국방 정보 보호, 국방 계약자를 위한 통합 사이버보안 표준 생성, 정부 데이터 보호를 담당하는 방산업체에 대한 책임을 확인하는 3가지 주요 목표로 정의된다[3].

[그림 3] CMMC 홈페이지

 국방부의 계약 네트워크인 DIB(Defense Industrial Base, 방위산업 기반)는 네트워크에서 처리하는 민감한 정부 정보를 보호하기 위해 오랫동안 적절한 조치를 구현해야 했다. 이러한 요구사항은 변화하는 보안 위협을 방어하기 위해 진화하고 있으며, 지난 10년 동안 일반 요구사항에서 NIST(National Institute of Standards and Technology, 미국표준기술연구소) 800-171 사양과 같은 전체 프레임워크에 대한 의무 준수로 확대되었다.
 2020년 1월 미국 국방부(Department of Defense: DoD)는 CMMC 프레임워크의 첫번째 버전을 출시했으며, 2021년 11월 요구사항을 간소화하도록 설계된 CMMC 2.0을 발표하였다. 수정된 프로그램의 특징으로 첫째, 중소기업(Small & Medium Business: SMB)의 비용 절감, 둘째, 사이버보안 요구사항을 명확히 하고 다른 연방 요구사항과 일치시킬 수 있도록 하였다. 여기에는 향후 5년 동안 CUI(Controlled Unclassified Information, 통제된 미분류 정보) 또는 FCI(Federal Contracting Information, 연방 계약 정보)를 처리하는 DoD 공급망의 방위 계약자는 해당 DoD 계약에 대한 사이버보안 성숙도 수준을 입증하기 위해 CMMC 인증을 획득해야 한다고 명시하였다. FCI는 공개용이 아닌 정보이며, 제품 또는 서비스를 개발하거나 정부에 제공하기 위한 계약에 따라 정부에 의해 제공되거나 정부를 위해 생성된다. CUI는 연방법, 규정 및 정부 차원의 정책에 따라 보호 또는 전파 통제가 필요한 정보를 말한다.
 성숙도 모델은 특정 영역에서 발전하고 개선할 수 있는 조직의 능력을 측정하는 방법으로, 조직이 진행 상황을 측정하는 벤치마크 역할을 한다. CMMC는 성숙도 모델로서 다양한 프레임워크 및 표준의 모범 사례 사이버보안 프로세스를 포함하고 있다. 또한, 다양한 성숙도 수준의 조직이 보유하고 있는 사이버보안 기능을 간략하게 설명한다. 이는 국방 계약자가 사이버보안 기능을 벤치마킹하는 것에 도움이 된다. 성숙도 모델은 CMMC가 다양한 조직 및 각 계약의 사이버보안 요구사항과 함께 확장되도록 하며, 필요한 CMMC 인증 수준은 처리되는 정보의 유형과 공급망에서 조직의 위치에 따라 다르게 나타난다[4],[5].
 최근 몇 년 동안 공격자가 입증한 정교함과 운영 보안 기능이 급격히 증가하고 있음을 실감하고 있으며, 국방 계약자는 네트워크와 시스템에 대한 심각하고 지속적인 공격을 경험하고 있다. CMMC는 이와 같이 전체 DIB의 사이버보안 기능을 개선하기 위해 출범했으며, 이를 통해 계약업체는 정부를 대신하여 민감한 정보를 보호하기 위한 모범 사례 프로세스를 마련할 수 있다.

2. CMMC 프레임워크

 최근 업데이트된 CMMC 2.0은 인증 프로세스를 단순화하고 평가 비용을 줄이며 공급업체가 인증을 획득할 수 있는 보다 유연한 경로를 제공하도록 설계되었다. CMMC 2.0은 CMMC 레벨의 수를 5개에서 3개로 줄였다. 원래 전환 레벨로 개발된 이전 레벨 2와 4를 생략하였다. 새 CMMC 2.0 수준은 DIB(Defense Innovation Board, 미국 국방 혁신 위원회)에서 처리하는 정보 유형을 기반으로 한다.
 레벨 1(기본, foundational)은 연방 계약 정보(FCI) 보호에 중점을 둔 회사에만 적용된다. 레벨 1은 원래 CMMC 요구사항에서 변경되지 않았으며 여전히 17가지 기본 사이버보안 관행을 포함한다. 이러한 통제는 적용되는 계약자 정보 시스템을 보호하고 승인된 사용자에 대한 액세스를 제한한다.
 레벨 2(고급, advanced)는 CUI와 협력하는 회사에 관련된 사항을 정의한 것으로, 이전 CMMC 레벨 3과 비슷하다. CMMC 레벨 2는 CUI와 협력하는 회사를 위한 것으로 NIST SP 800-171을 반영한다. CMMC 1.0에서 CMMC 고유의 모든 관행 및 성숙 프로세스가 제거되는 대신 레벨 2는 CUI를 보호하기 위해 NIST에서 개발한 14개의 제어 제품군 및 110개의 보안 제어와 동일하게 포함된다.

<자료> Courtney Casey, “CMMC 2.0: What’s Different About the New Cybersecurity Maturity Model Certification”, accentonit.com, 2021. 11.

[그림 4] CMMC 2.0 프레임워크

 레벨 3(전문가, expert)은 APT(Advanced Persistent Threats, 지능형 지속 공격)의 위험을 줄이는 데 중점을 두었으며, DoD의 최우선 순위 프로그램에서 CUI와 협력하는 회사를 위해 설계되었다. DoD는 여전히 레벨 3(전문가)에 대한 특정 보안 요구사항을 결정하고 있지만 해당 요구사항은 NIST SP 800-171의 110개 컨트롤과 NIST SP 800-172 컨트롤의 하위 집합을 기반으로 하여 총 130개의 통제 수단을 만들 예정이다[6].

3. ISO/IEC 27001와 NIST 표준의 차이점

 ISO/IEC 27001 표준은 국제적으로 공인된 높은 신뢰도의 보안 프레임워크로, 정보보안 관리시스템(Information Security Management System: ISMS)의 효과적인 구현을 위한 요구사항 및 제어를 포함하고 있다. 이 표준은 비즈니스에서 수집, 저장, 처리 및 전송하는 이해 관계자 또는 고객 데이터의 무결성 및 개인정보보호를 강화하는 데 중점을 두며, 주로 내부 감사에 사용되며 데이터 매핑 및 무단 액세스로부터의 보호와 관련이 깊다. CMMC 인증 프로세스는 CUI 정보 및 데이터를 보호하는 회사의 능력을 증명하는 것에 사용되는 프로세스이며, ISO 27001 범위(CUI 등)에 모든 데이터 유형을 포함할 수 있지만 CMMC는 CUI에만 중점을 둔다. 또한, CMMC는 프로세스 성숙도 수준을 결정하고 모델의 각 수준에 대해 규정된 관행을 구현하는 것을 수반한다.
 대부분의 CMMC 요구사항, 지침 및 컨트롤은 NIST 표준에서 가져왔다. 마찬가지로 ISO 표준은 NIST에서 개발한 보편적으로 인정되는 보안 원칙에 따라 설계되었다. CMMC 표준은 미국 정부와 협력하고 제어 데이터를 자주 처리하는 회사 및 조직을 위해 특별히 설계된 반면에, NIST 및 ISO/IEC 27001은 데이터의 민감도 수준에 관계없이 모든 조직을 위해 만든 것으로 차이가 있다.

CMMC Coverage

<자료> complianceforge, “NIST 800-171 vs CMMC", 2020. 1.

[그림 5] CMMC 2.0 영역

 NIST 프레임워크는 원래 미국 기관 및 회사의 위험 관리를 강화하기 위해 개발되었다. CMMC 및 ISO 표준과 비교할 때 NIST 프레임워크는 쉽게 이해하고 구현할 수 있는 고도로 세분화된 구조 덕분에 더 유연한 경향이 있으며, 공식적인 규정 준수 인증 없이 자발적 규정 준수 및 자체 인증에 의존한다. CMMC는 ISO/IEC 27001 및 NIST 표준보다 더 안전하고 엄격하며, 위험 기반 통제가 필요한 두 대응 산출물과 달리 계약자가 처리하는 데이터의 민감도에 따라 여러 보안 수준이 필요하다[7].

1. CMMC 주요국 동향  2026년까지 상업용 완성품(Commercial Off The Shelf: COTS)을 관리하는 업체를 제외하고 DoD를 위해 작업을 수행하는 대부분의 국방 계약자는 CMMC 인증을 획득해야 한다. 단, 필요한 인증 수준은 계약서에 명시된 요구사항에 따라 다를 수 있다. CMMC는 FCI 또는 CUI를 처리하는 DoD 공급망의 약 30만 계약자에게 적용되며, 주계약자부터 중소기업 계약자 및 외국 공급업체에 이르기까지 DIB의 모든 계층에 있는 공급업체에 영향을 미칠 것으로 예상하고 있다.
 앞으로 몇 년 동안 CMMC 요구사항은 새로운 DoD RFP(제안요청) 및 RFI(정보요청)에 나타나기 시작할 것이며, 계약자는 계약 체결 시점까지 필수 CMMC 수준에서 필요한 인증을 받아야 한다. 예를 들어, 가장 민감한 정보를 처리하는 회사는 CMMC 레벨 3(전문가) 준수를 달성해야 한다. 레벨 3을 달성하려면 NIST SP 800-171에 지정된 보안 요구사항과 NIST SP 800-172에 지정된 요구사항의 하위 집합을 충족해야 하며, 규정 준수를 추구하는 조직을 평가하기 위해 DIBCAC(Defense Industrial Base Cybersecurity Assessment Center) 감사도 받아야 한다.
 이러한 CMMC 인증은 미국 내 방산업체에만 해당되는 것이 아니라, 다른 나라 방산업체에도 요구된다. 미국 CMMC 인증을 취득하지 못하면 미국에 방산물자 수출, 공동연구협력 등이 불가능해진다. 이와 같은 이유로 그동안 유명무실했던 사이버보안 준수 요건들에 안일하게 대처해오던 많은 방산기업들과 국가들은 이에 대비하기 위해 현재 분주하게 움직이고 있다.
 일본의 경우, 한국의 방위사업청과 유사한 기능을 하는 방위장비청은 2019년에 NIST SP 800-171을 채택하고 방위산업체에 대한 사이버보안 표준을 수립하였다. 미 국방부와 사이버보안에 관한 협력을 지속하는 가운데 일본은 최근에 방위산업 사이버보안 강화 방안을 발표했는데, 발표된 사이버보안 지침의 내용에 미국 CMMC 내용을 반영하고 있는 것을 알수 있다[8].
 이스라엘은 NIST SP 800-171을 전면 채택하고 이스라엘 자체적으로 평가사를 육성하기 위한 계획을 추진하고 있다. 영국은 미국과 사이버보안 준수에 관한 접근 방식을 통일하기로 하고 서로의 평가방식을 참관하며 협력하고 있다[9].
 우리나라는 방위사업청이 방산업체의 자율적 기술 보호 역량 강화를 위해 미국의 CMMC를 벤치마킹한 한국형 사이버보안 인증제도(가칭 K-CMMC) 도입 방안을 검토하기 위한 정책연구용역(명지대, 2021.10.∼2022.6.)을 완료했다. 그리고 앞으로 미국의 CMMC 추진 동향, 국내 방산업체의 수용 여건 등을 종합적으로 고려하고 추진방안 등을 보다 구체화하기 위한 추가 연구를 통해 한국형 방산기술보호 성숙도 인증제도(K-CMMC) 도입을 검토할 예정이다.

2. CMMC 도입 이슈  새로운 프레임워크를 준수하는 것은 결코 쉬운 절차가 아니다. 지금까지 확립된 가장 엄격한 사이버보안 표준 중 하나인 CMMC의 경우 훨씬 더 번거로울 것으로 예상된다. 프레임워크가 완전히 배포되기 전에 CMMC 준수를 달성하려는 DoD 계약자에게는 길고 힘든 길이 될 수 있다. CMMC 요구사항에 대한 온라인 정보는 많이 있지만 준수하려고 할 때 발생할 수 있는 몇 가지 문제는 다음과 같다.
 첫째는 CMMC 규정 준수 요구사항을 너무 과소 평가할 수 있다는 것이다. CMMC에서 요구하는 사항을 우리 기업은 보호 장치를 이미 갖추고 있으며, 이러한 보호 장치는 매우 강력하고 효과적이라고 생각할 수 있다. 또한, 몇 가지 작업을 시행하면 CMMC에서 요구하는 사항을 만족할 수 있다고 생각할 수 있다. 문제는 CMMC 준수를 달성하는 데 몇 달이 걸릴 수 있다는 것이다. 다양한 기술에 대한 신중한 계획과 연구, 새로운 프로세스 및 절차의 도입이 필요하며 물론 직원도 그에 따른 교육을 받아야 하기 때문이다[10].
 둘째는 불완전한 시스템 보안 계획을 보유하고 있다는 것이다. 시스템 보안 계획(System Security Plan: SSP)은 인프라, 관련 위험 및 이러한 위험을 완화하기 위한 보안 제어를 설명하는 공식적인 서면 계획을 말한다. 여기에는 시스템의 경계뿐 아니라 다른 시스템과의 관계도 포함되며, 이를 위해서는 사용자, 데이터 흐름, 서비스, 기술, 프로세스, 절차 등을 포함하여 네트워크의 토폴로지를 명확하게 보여주는 다이어그램 등으로 구성된다. 문제는 기업이 CMMC 규정 준수 전략에 공급망 파트너 및 기타 비즈니스 동료를 포함하지 않는 경우가 많다는 것이다.
 셋째는 제공해야 할 상세한 문서의 부족을 들 수 있다. 포괄적인 SSP가 부족할 뿐만 아니라 많은 회사에서 시스템에 대한 자세한 문서를 만드는 데 충분한 시간을 할애해 주지 않는다. 예를 들어, 회사는 이벤트 로그를 수집, 저장 및 분석하는 방법에 대한 명확한 문서를 제공해야 하는데, 그들은 그들이 가지고 있는 액세스 제어, 이러한 제어가 어떻게 검토, 부여 및 취소되는지 그리고 중요한 구성 변경이 처리되는 방법에 대한 자세한 문서를 보유하고 있지 않다는 사실이다. 또한, 성숙도가 높아짐에 따라 보안 절차의 수도 많아지므로 더 넓은 범위의 통제에서 효율성을 입증해야 하는 어려움에 당면할 수 있다.
 CMMC 규정에 자체적으로 대응할 수 있는 조직은 거의 없다고 볼 수 있다. 컨설턴트와 계약자를 고용하여 내부 전문가를 보완하거나, 업계 그룹 및 포럼과 협력하여 표준 및 규정을 이해하고 해석할 수도 있으며, 규정 준수 솔루션을 구축하기 위해 파트너와 협력할 수도 있다. CMMC 프로세스는 까다로울 수 있지만 예상되는 사항을 알면 우려와 혼란을 완화하는 것에 도움이 될 수 있다. 기업은 초기 심사 후 인증의 혜택을 받기 위해 정면으로 문제를 해결해야 할 필요가 있다[10],[11].

 CMMC는 미국 국방 산업 기반의 사이버보안 능력을 향상시키기 위해 개발된 프레임워크로 국방 납품사들이 정보보호 및 사이버보안 요구사항을 충족하는지 확인하기 위한 인증 절차를 제공한다. 이러한 CMMC가 출현하게 된 배경에는 사이버 위협이 증가하고 국방 시스템 및 기밀 정보에 대한 해킹 시도가 증가함에 따라 이러한 위협으로 인해 국방 계약자는 사이버 공격에 노출될 수 있는 중요한 정보 및 기술을 보호해야 하는 필요성이 증가하였기 때문이다.
 이를 위해서는 보안 수준을 향상시키고 사이버 위협으로부터 국방 시스템을 방어하기 위한 적절한 조치가 필요하다. 이러한 도전에 대응하기 위해 국방 계약자들에게 일련의 보안 수준을 적용하고 인증을 통해 이를 검증하는 CMMC는 3개의 보안 수준을 정의하고, 납품사들은 해당 수준에 맞는 사이버보안 조치를 구현하고 인증을 받아야 한다. 이를 통해 국방 계약자들은 보안 요구사항을 준수하고 기밀 정보를 안전하게 보호할 수 있게 된다.
 본 고에서는 최근 방산기술 유출 현황과 CMMC 개요, 프레임워크, 그리고 ISO/IEC 27001와 NIST의 차이점에 대해 알아보았다. 또한, 미 국방성이 요구하는 조건을 충족하기 위해 각 국가들이 준비하고 있는 CMMC 주요국 동향과 도입 시 주요 이슈에 대해 알아보았다.
 CMMC 인증 요구사항을 준수하기 위해 지금 행동하는 회사는 그렇지 않은 회사에 비해 많은 이점을 누릴 수 있다. 모든 DoD 계약은 일정 수준에서 CMMC를 준수하는 회사로 이동하므로 새로운 프레임워크의 얼리 어답터는 이러한 변화에 더 느리게 반응하는 다른 업체보다 DoD 계약 수주에서 경쟁 우위를 갖게 된다. 이미 사이버보안 프레임워크를 갖춘 조직은 CMMC가 NIST SP 800-171, NIST SP 800-53 및 AIA(Aerospace Industries Association) NAS9933(National Aerospace Standard)과 같은 기존 표준 및 요구사항을 활용하기 때문에 규정 준수 부담이 만만치 않다는 것을 알게 될 것이다[12].
 새로운 프레임워크를 준수하는 것은 결코 간단한 프로세스가 아니다. 지금까지 개발된 가장 엄격한 사이버보안 프레임워크 중 하나인 CMMC 경우 프로세스가 훨씬 더 복잡할 수 있다. 그러나 CMMC 도입을 위해 사전에 CMMC 프레임워크에 익숙해지고, 조직에 적용되는 특정 CMMC 수준을 결정, 조직의 현재 사이버보안 관행에 대한 철저한 평가를 수행하고 CMMC 요구사항과 비교하여 모든 차이 또는 결함을 식별, 직원 교육, 제3자 평가자와 협력, 지속적인 규정 준수 유지 등을 고려하여 준비한다면 그리 어렵지 않게 CMMC가 요구하는 조건을 충족시키기가 더 쉬울 수도 있을 것이다.
 CMMC는 국방 공급망 내에서 사이버보안을 평가하고 인증하는 방식의 중대한 변화를 예고하고 있다. CMMC는 국방 산업체가 사이버보안에 대한 적절한 대비 조치를 적용하여 국방시스템 및 기밀 정보를 안전하게 보호할 수 있도록 돕는 중요한 프레임워크인 것은 누구도 부인할 수 없을 것이다. CMMC의 추진은 국방 산업체와 국가의 사이버보안 능력을 강화하며, 국방 시스템을 안전하게 유지하기 위한 반드시 필요한 조치임에는 분명하다. 본 고에서 설명한 CMMC 모델을 활용하여 우리나라 방산기업들이 DoD 계약을 수주할 수 있는 특정 CMMC 수준을 달성하도록 요구함으로써 사이버보안 관행의 기준을 설정하고 일관성을 촉진시킬 수 있을 것이다. 이를 통해 방위산업 기반의 전반적인 보안 태세가 개선되어 안전하고 굳건한 한국형 CMMC(K-CMMC)로 발전하여 방산 수출이 활성화되길 기대해 본다.