지난주는 미국 국방부(DoD)의 계약업체 정보 시스템 내 민감한 국방부 정보 보안을 보장하기 위한 프로그램인 사이버 보안 성숙도 모델 인증 2.0(CMMC) 프로그램의 중요한 이정표가 되었습니다. 국방부가 CMMC 준수를 계약 수주의 필수 조건으로 규정하는 계약 조항을 발표했으며, 이는 빠르면 2개월 이내에 시행될 예정입니다. 지난해 국방부는 CMMC 프로그램의 기술적 요건을 확정하고 이를 32 C.F.R. Part 170에 규정화했습니다. 해당 규정은 CMMC 프로그램과 CMMC 평가 및 인증 생태계를 공식적으로 수립했으나, 국방부 계약 담당관이 국방부 계약에서 CMMC 프로그램 준수를 강제할 수 있는 메커니즘은 제공하지 않았습니다. 2025년 9월 10일 최종 규정 (이하 "CMMC 계약 규정")은 이 공백을 메웠으며, 국방부가 2025년 11월 10일부터 계약 수주 자격 요건으로 CMMC 준수를 적용할 수 있도록 허용합니다.
본 문서는 먼저 CMMC 프로그램에 대한 복습을 제공한 후, CMMC 계약 규정에서 방위산업체 및 하도급업체가 주목해야 할 핵심 사항을 제시합니다. 마지막으로 향후 수개월 및 수년에 걸쳐 방위 계약에 CMMC가 적용되기 시작함에 따라 조직의 CMMC 준비 태세를 강화하기 위한 실행 항목을 제안합니다.
CMMC가 무엇인지 다시 한번 설명해 주시겠습니까?
CMMC는 국방부가 방산업체들이 기존의 사이버보안 요건을 준수하는지 검증하기 위한 제도입니다. CMMC는 2019년 처음 발표된 이후 여러 차례 지연과 개편을 거쳤지만, 사이버공격의 빈도와 복잡성이 증가하는 시점에서 방산업체 기반(DIB) 전반의 보안을 강화하고 계약업체들이 국방부 데이터를 보호하도록 보장하는 핵심 수단으로 간주됩니다.
CMMC 프로그램은 고위 수준에서 방위 계약업체들이 취급하는 정보의 민감도에 기반한 사이버 보안 기준을 충족하고 매년 준수 여부를 증명하도록 요구합니다. 이 모델은 연방 계약 정보(FCI)에 대한 기본 보호부터 통제된 비기밀 정보(CUI)에 대한 더 엄격한 요구사항에 이르기까지 다음과 같은 세 가지 인증 수준을 포함합니다:
- 레벨 1은 FCI와의 계약만을 포함하며 , 현재 연방 조달 규정(FAR) 조항 52.204-21 '대상 계약업체 정보 시스템의 기본 보호'에 열거된 15개 보안 통제 사항을 준수해야 합니다. 레벨 1 준수를 위해서는 매년 실시해야 하는 자체 평가와 연간 준수 확인이 필요합니다.
- 레벨 2는 CUI가 포함된 계약을 포함하며 , 미국 국립표준기술연구소(NIST) 특별 간행물(SP) 800-171, 개정판 2에 명시된 110개 보안 통제 항목을 준수해야 합니다. 계약업체가 자체 정보 시스템에서 처리·저장·전송하는 CUI 유형에 따라, CMMC 레벨 2 요건이 적용되는 일부 계약업체는 연간 자체 평가를 수행할 수 있는 반면, 다른 업체들은 공인 제3자 평가기관(C3PAO)의 검증 점검을 받아야 합니다. 자체 평가 또는 C3PAO 인증을 통한 레벨 2 준수 증명서는 3년마다 갱신해야 합니다.
- 레벨 3은 국방부가 특히 민감하다고 판단하는 CUI(비밀 분류되지 않은 정보)가 포함된 계약에 요구되는 보다 엄격한 보안 수준입니다 . CMMC 레벨 3 계약을 획득하려는 계약업체는 NIST SP 800-171, Rev. 2의 110개 보안 통제 사항과 NIST SP 800-172의 추가 24개 통제 사항을 준수해야 합니다. 레벨 2 C3PAO 인증을 획득한 후, CMMC 레벨 3 인증을 획득하려는 계약업체는 국방계약관리청(DCMA) 산하 DIB 사이버보안 평가 센터(DIBCAC)로부터 인증을 추가로 받아야 합니다. 이 레벨 3 DIBCAC 평가는 CMMC 레벨 3(DIBCAC) 상태를 유지하기 위해 3년마다 실시되어야 합니다.
CMMC 계약 규정에서 계약업체가 알아야 할 핵심 사항
1) CMMC 요건이 국방부 입찰 공고 및 계약서에 2개월 이내에 등장할 수 있음
CMMC 계약 규정은 국방부가 2025년 11월 10일부터 즉시 입찰 공고에 CMMC 계약 조항을 포함시키기 시작할 수 있는 재량권을 부여하며, 이를 통해 CMMC 준수를 계약 수주의 조건으로 할 수 있게 합니다.
2) 국방부의 CMMC 단계적 도입 과정에서 예상되는 사항
CMMC 계약 규칙은 32 C.F.R. § 170.3에 명시된 CMMC 요건의 단계적 시행을 참조합니다. 해당 규정은 국방부가 향후 3년에 걸쳐 CMMC를 4단계로 시행할 의도를 발표했습니다.
- 1단계: 2025년 11월 10일부터 적용되는 입찰 공고 및 계약은 계약 체결 조건으로 CMMC 레벨 1(자체) 또는 레벨 2(자체)를 요구합니다. 국방부는 또한 2025년 11월 10일 이전에 체결된 계약에 대해 2025년 11월 10일 이후 행사되는 옵션에 대해 CMMC 레벨 1(자체) 또는 레벨 2(자체)를 요구할 수 있는 재량권을 가지며, 일부 조달의 경우 레벨 2(자체) 대신 CMMC 레벨 2(C3PAO)를 포함시킬 수 있습니다.
- 2단계: 2026년 11월 10일부터 적용 대상 입찰 공고 및 계약은 계약 체결 조건으로 CMMC 레벨 2 C3PAO 평가를 요구합니다. 국방부는 CMMC 레벨 2(C3PAO) 요건을 계약 수여 조건이 아닌 옵션 기간으로 포함하는 것을 연기할 수 있는 재량권을 가집니다. 또한 국방부는 일부 조달에 대해 CMMC 레벨 3(DIBCAC) 요건을 포함할 수 있는 재량권을 가집니다.
- 3단계: 2027년 11월 10일부터 적용 대상 입찰 공고 및 계약은 계약 수주의 조건으로, 그리고 2025년 11월 10일 이후 수주된 계약에 대해 국방부가 옵션 기간을 행사하는 조건으로 CMMC 레벨 2(C3PAO) 평가를 요구할 것입니다. 국방부는 또한 해당 입찰 공고 및 계약에 대해 CMMC 레벨 3(C3PAO) 요구사항을 계약 수주의 조건으로 포함할 것입니다. 국방부는 CMMC 레벨 3(C3PAO) 요구사항을 계약 수주의 조건이 아닌 옵션 기간으로 연기할 수 있는 재량권을 가집니다.
- 4단계: 2028년 11월 10일부터 CMMC 요구사항은 모든 해당 국방부 입찰 공고 및 계약과 2028년 11월 10일 이전에 체결된 계약의 옵션 기간에 포함됩니다.
3) 어떤 국방부 계약이 영향을 받습니까?
2025년 11월 10일 CMMC 계약 규칙이 발효되면, 프로그램 사무소 또는 요구 기관이 계약업체에게 특정 CMMC 수준이 필요하다고 판단할 경우, 계약 담당관은 입찰 공고 및 계약서에 DFARS 조항 252.204-7021을 삽입하기 시작하고 DFARS 조항 252.204-7025에 해당 조달에 필요한 CMMC 수준을 명시할 수 있습니다. 이는 상업용 제품 및 상업용 서비스에 대한 입찰 공고 및 계약과 모든 금액의 계약을 포함합니다.
최종 규칙에서 규정된 유일한 예외는 DFARS 조항 252.204-7021이 상용화 제품(COTS)의 구매만을 목적으로 하는 입찰 및 계약에는 적용되지 않는다는 점이다. COTS 품목은 다음과 같은 공급품입니다: (i) 상업 시장에서 상당한 수량으로 판매되는 품목이며; (ii) 계약 또는 하도급 계약의 어느 단계에서든 수정 없이 상업 시장에서 판매되는 형태 그대로 정부에 제공되는 품목입니다. 따라서 상업 시장에서 표준적인 유형의 수정이라 할지라도 제품에 어떠한 유형의 수정이라도 가해지면 해당 제품은 비-COTS 품목이 되며, 계약이 CMMC 준수 요건의 적용을 받을 가능성이 있습니다.
또한 계약 담당관은 2025년 11월 10일 이전에 체결된 기존 계약을 "국방부의 필요에 따라" DFARS 252.204-7021 조항을 포함하도록 양측 합의로 수정할 재량권을 가집니다. 계약업체는 계약서에 해당 DFARS 조항을 수락하기 전에 이러한 수정 사항을 신중히 검토하고 준수 여부를 확인해야 합니다.
2028년 11월 10일 이후, 국방부(DoD)는 "프로그램 사무소 또는 요구 기관이 계약업체가 계약, 작업 주문 또는 납품 주문 수행 과정에서 FCI(기밀 정보) 또는 CUI(통제 대상 정보)를 처리, 저장 또는 전송하기 위해 계약업체 정보 시스템을 사용해야 한다고 판단하는 경우" COTS(상용 제품) 전용 계약을 제외한 모든 입찰 및 계약에 DFARS(국방부 조달 규정) 조항 252.204-7021을 포함해야 합니다. 따라서 2028년 11월 10일 이후에는 COTS 품목 전용 계약을 제외한 사실상 모든 국방부 입찰 및 계약에 일정 수준의 CMMC(사이버 보안 성숙도 모델) 준수가 요구될 것입니다.
4) CMMC 없으면 계약도 없다
국방부는 낙찰자에게 계약을 수여하기 전에, 해당 낙찰자가 SPRS에서 요구되는 CMMC 등급 상태를 보유하고 있는지 반드시 확인해야 합니다. 즉, 최종 규칙은 계약 담당관이 계약 자격 조건으로 인증(또는 등급에 따라 자체 확인)을 요구할 수 있도록 하는 집행 관문을 제공합니다. 이는 CMMC를 정책에서 조달로 전환하는 중대한 운영적 전환점입니다. 국방부 입찰 및 계약에서 CMMC DFARS 조항 사용을 허용하고 계약 체결 조건으로 CMMC 준수를 요구함으로써 이루어집니다.
5) "조건부" CMMC 상태는 일부 사이버 보안 작업을 아직 수행해야 하는 계약업체에게 일시적(다시 말해, 일시적) 유예 기간을 제공할 수 있습니다.
중요한 점은, CMMC 계약 규칙이 조건부 CMMC 레벨 2 및 레벨 3 상태를 보유한 계약자에게도 수주를 허용함으로써 어느 정도의 유연성을 제공한다는 것입니다. 단, 조건부 상태 기간이 180일 미만인 경우에 한합니다. 조건부 레벨 2 또는 레벨 3 상태를 최종 CMMC 상태로 전환하려면, 계약자는 아직 충족하지 못한 요구사항에 대한 실행 계획 및 이정표(POA&M)를 성공적으로 완료해야 합니다. "조건부" 상태는 180일 동안만 허용되므로, 계약업체는 조건부 승인 후 180일 이내에 충족되지 않은 모든 요구사항을 반드시 시정해야 합니다. CMMC 규정은 조건부 승인을 위해 반드시 충족해야 하는 특정 물리적 보안 요구사항을 명시하고 있으며, 이러한 요구사항은 POA&M의 일부가 될 수 없습니다.
계약업체가 180일 이내에 요구된 시정 조치를 이행하지 않을 경우, 조건부 CMMC 상태는 만료되며 국방부는 계약 해지를 포함한 표준 계약상 구제 조치를 행사할 수 있습니다. 또한 해당 계약업체는 필수 CMMC 등급 상태를 달성할 때까지 CMMC 요구사항이 포함된 추가 계약을 체결할 자격이 없습니다.
6) 하도급업체 CMMC 상태 확인을 위한 프로세스 구현 및 하위 적용 고려사항
CMMC 계약 조항인 DFARS 252.204-7021은 FCI 또는 CUI를 처리, 저장 또는 전송해야 하는 요구사항이 포함된 하도급 계약에 주계약자 및 상위 하도급업체가 반드시 포함해야 합니다. 이는 상위 계약자에게 하도급업체가 처리, 저장, 전송해야 할 정보 유형을 평가하고, CMMC 요구사항을 하위 계약으로 전가해야 하는지 여부를 결정하며, 하도급업체에 적용될 CMMC 준수 수준을 판단할 책임을 부여합니다. CMMC 요구사항이 적용되는 하도급 계약(순수 COTS 품목 하도급 제외)을 수주하기 전에, 주계약자 또는 상위 하도급업체는 하도급업체가 요구되는 CMMC 수준에 대한 최신 CMMC 자체 평가서 또는 인증서를 보유하고 있는지 확인해야 할 책임이 있습니다. 안타깝게도 현재 국방부만이 SPRS(기업이 CMMC 상태를 보고하는 시스템)에 접근할 수 있으므로, 상위 계약업체는 하도급업체의 준수를 검증하기 위해 하도급업체로부터 어떤 문서(예: 인증서 또는 SPRS 스크린샷)를 요구할지 결정해야 합니다.
7) 제안 규칙에서 최종 규칙으로의 주요 변경 사항
제안된 규칙에는 계약업체가 "계약 이행 중 정보 보안에 결함이 발생하거나 CMMC 인증서 상태 또는 CMMC 자체 평가 수준에 변경이 있을 경우" 72시간 이내에 계약 담당 부서에 통보해야 한다는 요건이 포함되어 있었다. 제안된 규칙은 국방부가 "정보 보안 결함"이라는 용어를 정확히 어떻게 정의하는지 명시하지 않았다. 이 요건 준수의 어려움을 인지하고, DFARS 조항이 이미 "현재" CMMC 상태 정의, 연간 확인 요건, 72시간 내 사이버 사고 보고에 충분한 안전장치를 포함하고 있다고 판단하여, 국방부는 최종 CMMC 계약 조항에서 계약업체가 "정보 보안 결함" 또는 32 CFR Part 170 준수 상태 변경을 보고해야 하는 요건을 삭제했습니다. CMMC 상태가 "현재" 상태로 인정되려면 CMMC 상태 지정일 이후 32 CFR Part 170 요구사항 준수 상태에 변경이 없어야 합니다.
계약업체가 계약상 CMMC 요구사항을 준비하기 위한 권장 조치 항목
CMMC 준수를 준비하려면 전략적 계획 수립과 확고한 의지가 필요합니다. 국방부 계약 자격을 지속적으로 유지하기 위해 방위산업체가 취해야 할 주요 실행 가능한 조치는 다음과 같습니다:
- 국방부 계약 및 하도급 계약 수행 과정에서 FCI(기밀 정보) 또는 CUI(비기밀 정보)를 저장, 처리 또는 전송하는 데 사용할 모든 정보 시스템을 식별하고, 각 시스템을 통해 저장, 처리 또는 전송되는 정보의 유형을 명시하십시오. 이후 식별된 계약자 정보 시스템 각각에 적용될 CMMC(사이버 보안 성숙도 모델) 수준 요구사항을 평가하고, 해당 정보 시스템이 해당 수준의 보안 요구사항을 충족하는지 여부를 평가할 수 있습니다.
- IT 인프라 및 보안 통제 변경 사항은 사전에 충분히 계획하고 검토하여, 해당 인프라 또는 보안 통제 변경으로 인해 계약업체가 적용 가능한 CMMC 요건을 준수하지 못한다는 주장이 제기되지 않도록 해야 합니다. 회사 고위 임원은 CMMC 요건에 대한 "지속적 준수" 확인서를 최소한 매년 제출할 책임이 있습니다. 계약업체가 "현재" CMMC 인증서 또는 평가를 보유하지 않은 정보 시스템에서 특정 보안 통제를 중단하거나 FCI(기밀 정보) 또는 CUI(통제 정보) 공유를 시작하는 등의 변경 사항은 계약업체의 지속적 준수 확인이 더 이상 정확하지 않다는 주장을 초래할 수 있습니다.
- 시스템 보안 계획(SSP)을 지속적으로 최신 상태로 유지하고 POA&M의 미이행 요구사항을 완료하십시오. 조건부 CMMC 상태 달성을 위해 충족해야 하는 NIST 요구사항이 충족되었는지 확인하십시오.
- 자사 하도급업체 및 공급업체의 CMMC 준수 모니터링 및 시행 계획을 수립하십시오. 각 하도급업체가 수행하는 업무에 대해 달성해야 할 CMMC 준수 수준을 분류하기 시작하십시오. 현재 사용 중이거나 향후 국방부 계약 수행을 위해 사용될 가능성이 있는 하도급업체 및 공급업체와 소통하여, CMMC가 본격 시행될 때 요구될 것으로 예상되는 보안 통제 사항을 해당 업체들이 어느 정도 이행하고 있는지 평가하십시오. 하도급업체나 공급업체가 현재 요구되는 CMMC 레벨 인증 또는 평가를 보유하고 있음을 증명하거나 문서화하도록 요구하는 방법과, 이러한 요구사항을 하도급 계약 조건에 반영하는 방법을 고려하십시오.
- 제3자 평가가 필요한 경우, 충분한 여유를 두고 일정을 예약하십시오. 승인된 C3PAO 기관의 수가 제한되어 있으므로, 평가 및 인증을 요구하는 입찰 공고 발행 전에 적시에 평가를 받기 위해서는 가능한 한 빨리 해당 기관의 일정에 예약하는 것이 중요합니다.
- 사이버 사고 발생 시 72시간 이내에 계속해서 적시에 보고하십시오.
결론
2025년 11월 10일 CMMC 1단계 시행일을 앞두고 방위산업체들은 사이버 보안 규정 준수에 있어 변혁의 순간을 맞이하고 있습니다. 폴리는 CMMC 준수를 위해 다학제적 접근법을 취하며, 고객사가 계약 자격을 확보하고 안전한 방위 생태계를 유지할 수 있도록 포괄적인 자문을 제공합니다. 여기에는 준수 위한 최적의 사전적 전략적 단계 권고, 방위 계약 요건 검토, 준수 프로젝트 관리 및 조정, IT 업체 선정 및 감독, SSP(보안 지원 계획) 및 POA&M(보안 조치 계획 및 이행 계획) 검토, 사이버 보안 사고 대응 등이 포함됩니다.
최종 규정 또는 CMMC 요건에 관한 문의 사항이 있으시면 Jen Urban, Erin Toomey, Frank Murray 또는 Samuel Goldstick에게 연락해 주시기 바랍니다.
