[ 조철오/이해성 기자 ] “당장 올해 11월 10일부터 미국 정부의 보안 인
증 제도가 의무화되는데 제대로 준비하는 곳이 없습니다.”


한화오션 공급망에 속한 중소 협력사 대표 A씨는 17일 미국 전쟁부(국방부)의
CMMC(사이버보안 성숙도 인증)에 관해 이렇게 말했다. 그는 “협력사들은
CMMC 개념조차 생소한 데다 원청 조선사도 어디까지 대응해야 하는지 난감해하
는 분위기”라며 “미 해군의 유지·보수·정비(MRO)가
확대되면 중소 협력사까지 줄줄이 영향을 받을 수 있다”고 했다. HD현대
중공업의 한 협력사 대표는 “CMMC 제도에 대한 얘기를 처음 들었다&rdqu
o;고 말했다.


◇CMMC 없으면 ‘계약 취소’
미국 방위산업시장 진출을 노리는 국내 조선·방산업계에 사이버 보안 인
증 공백이 뇌관으로 떠올랐다. ‘마스가(MASGA·미국 조선업을 다시
위대하게)’ 프로젝트 등 미국 시장 진출에 따른 기대는 커지고 있는데
정작 계약의 기본 조건인 CMMC 대응이 제대로 이뤄지지 않고 있다. CMMC는 원청
대기업은 물론 하청, 재하청 협력사까지 모두 따야 한다. 이 중 한 곳이라도
빈틈이 생기면 미 전쟁부가 재량(discretion)으로 계약을 수시로 취소할 수 있
는 것으로 확인됐다.


CMMC에는 등급(레벨)이 있다. 레벨 1은 연방계약정보(FCI)를 취급하는 기업이
기본 보안 요건을 갖췄는지를 따진다. 군수지원함 수리 등이 해당한다. 레벨 2
는 통제가 필요한 비기밀정보(CUI)를 취급하는 기업에 적용한다. 미국 국립표준
기술연구소(NIST)의 110개 보안 요구사항을 충족해야 한다. 함정·유도무
기·전투기 등 무기 체계 도면과 작전성능요구사항(ROC) 등이 대부분 CU
I다. 레벨 3는 고도의 지속적인 위협(APT)에 노출될 수 있는 핵심 군사정보를
다루는 기업에 적용한다. 미 전쟁부가 직접 평가한다.


CMMC는 여러 옵션에 걸쳐 네 단계로 적용된다. 오는 11월부터 레벨 2 110개 항
목에 대한 제3자인증기관(C3PAO) 인증이 의무화된다. 내년 11월엔 24개 항목이
추가된 134개 항목 레벨 3에 대해 C3PAO 인증을 받아야 하고, 그다음엔 전쟁부
의 평가를 따로 받아야 한