지난해 10월 미국 국방부가 공포한 사이버보안 성숙도 모델 인증(CMMC·Cybersecurity Maturity Model Certification) 최종규칙이 2025년 11월 10일부터 시행에 들어갔다. 이제 미 국방부에 직접 납품하는 주계약자는 물론 부품·원료를 공급하는 하청업체까지 CMMC 인증을 보유하지 못하면 미국 방산시장 진입 자체가 봉쇄된다. K-방산이 방산 4대 강국을 목표로 대미 수출 확대에 사활을 거는 지금 CMMC는 단순한 보안 규제가 아니라 우리 방산업계의 생존을 가르는 관문으로 떠올랐다.
CMMC는 미 연방계약정보(FCI)와 통제필요비분류정보(CUI)의 민감도에 따라 레벨 1부터 3까지 세 단계로 나뉜다. 대다수 방산업체가 실질적으로 준비해야 할 레벨 2는 NIST SP 800-171에 규정된 110개 보안 요구사항을 모두 충족해야 하며, 중요 CUI를 다루는 경우 3년 주기로 제3자 인증기관(C3PAO)의 심사를 받아야 한다. 준비 기간은 통상 12~18개월, 인프라 구축과 컨설팅·인증 비용을 합치면 업체당 2억6000만원에서 4억원 수준의 재정 부담이 발생한다.
문제는 이 부담을 고스란히 떠안아야 하는 주체가 대부분 중소 협력업체라는 점이다. 최근 한국방위산업진흥회가 실시한 설문조사에서 응답 업체 29곳 중 중견·중소기업 비중이 90%에 육박했고, 이 중 상당수는 자체 보안 전담 인력조차 확보하지 못한 것으로 나타났다. 인증 준비 애로사항으로는 비용 부담과 정보·교육 부족이 52%로 가장 많이 꼽혔다. 'CMMC 인증을 위해 투자할 의향이 없다'고 답한 비율이 31%에 달한 것은 미국 시장 진출 의지는 있으나 홀로 서기가 불가능하다는 현장의 절규로 읽힌다.
기술적 장벽도 만만치 않다. 레벨 2는 FIPS 140-2/140-3 검증을 받은 암호 모듈을 요구하는데, 국내에서 운용 중인 K-CMVP 검증 제품은 미국 CMVP와 상호인정 협정이 체결돼 있지 않아 그대로는 인정받지 못한다. 다중인증(MFA), 제로 트러스트 기반 네트워크 분리, CUI 데이터 흐름도(DFD) 작성 등도 기존의 경계 기반 보안 체계에 익숙한 국내 업체들에게는 아키텍처 전면 재설계를 의미한다. 게다가 110개 항목 중 61개는 개선 계획서(POA&M) 작성조차 허용되지 않아 계약 체결 전까지 완벽히 구현해 두어야 한다. 여기에 국내에는 아직 공인된 C3PAO 인증기관이 없어 해외 심사원을 초청해야 하는 탓에 비용과 기술유출 우려, 언어 문제까지 겹친다.
이런 상황에서 정부의 역할은 선택이 아닌 필수다. 첫째, 지원의 법적 근거를 명확히 해야 한다. 방위산업기술 보호법 제14조에 기반한 시스템 구축·컨설팅 비용 지원에 더해, 방위산업발전법 제13조와 시행령에 ‘방산물자 등의 수출에 필요한 인증·자격 취득’을 보조금 교부 사유로 명시하는 개정이 시급하다. 둘째, 기존 통합실태조사 항목을 CMMC 요구사항과 매핑해 개편함으로써 방산업체들이 이중 부담 없이 두 제도에 동시 대응할 수 있는 길을 터줘야 한다. 나아가 CMMC 자체평가·인증을 이수한 업체에 대해서는 대응 항목의 통합실태조사를 면제해 주는 방식도 전향적으로 검토할 필요가 있다.
셋째, 국내 CMMC 생태계 조성이 관건이다. 현재 국방기술품질원 방위산업기술보호센터가 추진 중인 C3PAO 인가를 정부 차원에서 강력히 뒷받침하고, 걸림돌로 지적되는 FOCI(외국인 소유·통제·영향) 요건과 Tier 3 신원조사 문제에 대해서는 방위사업청이 미 국방부 및 Cyber AB와 직접 협의에 나서야 한다. 한·미 신원보증 상호인정 협정 추진도 미룰 수 없는 과제다. 넷째, 예산 확충이 뒷받침돼야 한다. 현재 방위산업기술 보호체계 구축 지원사업(8억원), 방산 중소기업 컨설팅 지원사업(7억5000만원) 규모는 실질적 수요에 턱없이 부족하다. 개별 사업의 증액과 더불어 가칭 'CMMC 지원기금'을 신설해 재원을 일관성 있게 운용하는 방안을 적극 검토해야 한다. 최근 국회를 통과한 방위산업기술 보호법 개정안이 중소·중견기업 보안 전문 인력 채용 지원의 법적 근거를 마련한 만큼 이에 호응하는 예산 확보가 뒤따라야 한다.
다섯째, 보안 투자 비용이 방산원가에 안정적으로 반영될 수 있도록 제도를 손질해야 한다. 현재 보안 투자는 간접비로 분류돼 건건이 필요성을 소명해야 원가로 인정받는데, 이래서는 업체들이 적극적 보안 투자에 나서기 어렵다. 방위사업청 훈령의 비목별 배부기준에 보안·기술보호 관련 비용을 명시하는 것만으로도 상당한 예측 가능성을 담보할 수 있다. 지방자치단체 차원에서도 개별 지원은 비효율적이므로 방위산업진흥회와 양해각서(MOU)를 체결해 교육·컨설팅은 중앙에서 표준화해 제공하고 지자체는 예산과 공간 등 행정 지원에 집중하는 분업 구조가 바람직하다.
CMMC는 단기간에 도입할 수 있는 규제가 아니다. 그러나 미국 시장을 포기하지 않는 한 피해 갈 수도 없다. 우리와 경쟁하는 방산 수출국들은 이미 자국 업체의 CMMC 대응을 국가 과제로 삼아 체계적으로 지원하고 있다. 중소 방산업체의 개별 분투에 맡겨 둔 사이 미국 방산 공급망 내 자리는 경쟁국에 선점당할 것이다. 정부와 방진회, 지자체, 업계가 한 테이블에 앉아 통합 거버넌스를 구축하고, 방위사업청을 중심으로 한 범부처 협의체를 조속히 가동해야 할 때다. K-방산의 다음 10년은 바로 이 관문을 어떻게 넘느냐에 달려 있다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
