삼정KPMG, CMMC 서비스팀 출범…美 방산 공급망 대응 본격화

[사진=삼정KPMG]

삼정KPMG가 미국 방산·연방 공급망 진출을 추진하는 국내 기업을 겨냥해 사이버 보안 인증 대응 체계를 강화한다.

삼정KPMG는 미국 국방부(DoD)를 중심으로 한 글로벌 방산·연방 공급망 진출을 준비하는 국내 기업을 지원하기 위해 CMMC(Cybersecurity Maturity Model Certification) 전담 서비스팀을 공식 출범했다고 9일 밝혔다.

최근 미국 국방부 관련 사업 참여 요건이 구체화되면서 방산 및 연방 공급망과 연계된 사업을 추진하는 기업들이 사전에 충족해야 할 보안·운영 요건도 빠르게 확대되고 있다. 특히 CMMC는 단순한 보안 인증을 넘어 미 국방부 계약 및 공급망 참여를 위한 사실상 필수 요건으로 자리 잡고 있다는 평가다.

미국 방산 기업을 비롯해 캐나다·호주 등 우방국 기업들은 물론 아랍에미리트(UAE)·대만·말레이시아 등 주요 글로벌 방산 기업들 역시 이미 CMMC 인증을 취득해 계약 요건을 충족하고 있다.

CMMC는 기업이 미 국방부 계약 과정에서 취급하는 정보의 유형에 따라 요구되는 준비 수준이 달라진다. 단순 납품·운영 중심 계약과 기술·설계에 직접 관여하는 계약 간 요구 범위가 상이해 기업별 사업 구조와 계약 형태를 고려한 맞춤형 대응 전략 수립이 필요하다.

이에 삼정KPMG는 CMMC 전담 서비스팀을 중심으로 국내 기업 대상 컨설팅 체계를 구축했다. 

컨설팅 초기 단계부터 기업의 미국 사업 구조와 글로벌 공급망 내 참여 방식, 내부 프로세스를 종합적으로 점검해 과도한 투자나 불필요한 부담을 최소화하면서도 미국 시장에서 요구하는 기준을 합리적으로 충족할 수 있도록 지원한다는 방침이다.

특히 2026년 11월부터 CMMC 단계적 적용에 따라 레벨 2 요건이 적용되는 계약을 중심으로 승인된 제3자 심사기관(C3PAO)의 평가 결과 제출이 요구되는 범위가 확대될 예정이다. 

이어 2027년 11월부터는 레벨 2에 대한 제3자 심사가 대부분의 해당 계약에서 기본 요건으로 정착될 것으로 전망된다. 이에 따라 CMMC 대응 시점과 준비 수준이 향후 미 국방부 계약 참여 가능성에 직접적인 영향을 미칠 것으로 예상된다.

삼정KPMG는 특정 보안 솔루션이나 기술 도입을 전제로 하기보다 기업의 기존 사업 구조와 운영 프로세스를 기반으로 대응 범위를 설정하는 전략적 접근을 강조하고 있다. 이를 통해 기업이 현재의 운영 환경을 유지하면서도 미국 방산·연방 시장에서 요구하는 기준을 충족할 수 있도록 지원한다는 설명이다.

아울러 글로벌 지식 커뮤니티를 활용해 제도 해석과 적용의 일관성을 높이고, 비즈니스 프로세스 분석을 기반으로 인증 요구사항에 체계적으로 접근하는 컨설팅을 제공하고 있다.

고영대 삼정KPMG 컨설팅부문 상무는 "CMMC 대응은 단순한 인증 준비가 아니라 기업의 중장기 해외 사업 전략과 글로벌 공급망 참여 구조를 함께 점검하는 과정"이라며 "비즈니스 프로세스 분석을 기반으로 제도 요구사항을 해석하고 적용하는 실질적인 컨설팅을 제공하고 있다"고 말했다.