TQMS | Services, Solutions and Systems Provider for Total Quality Management

미국방부, CMMC 프로그램 최종 규칙 연방 관보에 발표

작성자
tqms
작성일
2024-10-19 08:46
조회
113

미국방부는 사이버보안 성숙도 모델 인증제도인 CMMC(Cybersecurity Maturity Model Certification)의 시행을 위한 ‘CMMC 프로그램(32 연방규정조항 파트 170)’ 최종 규칙을 지난 10월 15일 연방 관보(Federal Register)에 발표하고, 올해 12월 16일 최종 규칙이 발효된다고 고지했습니다.

CMMC 프로그램 최종 규칙은 CMMC 개발 배경과 과정 및 CMMC 2.0 모델에 관한 소개와 CMMC 레벨별 심사 요구사항과 심사 방법을 소개하고 있습니다. 또한 CMMC 인증기관과 심사기관 및 CMMC와 관련한 각종 자격제도를 소개하고, CMMC 인증심사에 드는 개략적인 기간과 비용 등도 다루고 있습니다.

미국방부는 CMMC 프로그램을 미국방부가 발주하는 사업의 계약 체결 조건으로 요구하는 ‘CMMC 획득 규칙(48 연방규정조항 파트 204)’의 최종 규칙 또한 제정 중으로 2025년 1월 발표가 예상됩니다.

CMMC 획득 규칙의 최종 규칙까지 발효(2025년 3월 예상)되면 미국방부 계약업체는 계약 체결 조건으로 요구되는 CMMC 레벨을 달성해야 합니다. 기성품(COTS) 획득 외에 상업용 제품과 서비스 획득을 위한 모든 계약에 적용되며, 수출과 수입 모두 해당합니다.

다만 CMMC 레벨이 요구되는 업체가 CMMC 요구사항을 이해하고 이행하는 데 필요한 시간과 인증이 필요한 업체 대상으로 심사를 수행하는 데 필요한 시간을 확보하기 위해 CMMC 최종 규칙 적용은 ‘4단계 이행 계획’을 통해 시행할 예정입니다. 매년 미국방부 요청에 응하고 수주하는 계약업체의 수를 고려할 때, 모든 방산 계약업체가 CMMC를 완전히 이행하는 데는 7년이 걸릴 것으로 미국방부는 예상합니다.

이행 계획 1단계는 CMMC 획득 규칙의 최종 규칙 발효일로부터 1년입니다. 1단계에서는 미국방부 계약업체가 CMMC 레벨 1과 레벨 2에 대해 자체적으로 심사를 수행하고 그 결과를 미국방부의 “공급자 성과위험시스템(Supplier Performance Risk System, SPRS)”에 등록하면 됩니다.

2단계는 1단계 종료 시점부터 1년이며, CMMC 레벨 2 인증 요건을 시행합니다. 즉, 미국방부 계약업체는 사업유형에 따라 CMMC 심사기관으로부터 인증심사를 받고 인증을 취득해야 합니다.

3단계는 2단계 종료 시점부터 1년간이며, CMMC 레벨 3 인증 요건을 시행합니다. 레벨 3에 대한 인증심사는 미국방부 산하기관에서 직접 수행합니다. 미국방부는 사업유형에 따라 CMMC 레벨 1, 2, 3 요건을 요구할 수 있지만, 레벨 3 요건은 계약 체결 시점이 아닌 사업 기간 중 달성하는 옵션 요건으로 이행될 수 있습니다.

완전 이행 단계인 4단계는 3단계 종료 시점부터 시작하며, 미국방부는 모든 해당 국방부 계약에 CMMC 요구사항을 포함합니다. 미국방부는 신규 계약만이 아니라 필요에 따라 CMMC 최종 규칙 시행 이전에 체결된 계약에 대해서도 CMMC 인증을 요구하는 수정 계약을 채택할 수 있습니다.

결론적으로 미국방부는 4단계 이행 계획을 통해 CMMC 심사 요건을 매년 강화하여 CMMC 획득 규칙의 최종 규칙 발효 4년 차부터 CMMC 생태계에 전면 시행할 수 있도록 할 예정입니다.

CMMC 요구사항은 협력업체에도 적용이 됩니다. 미국방부 주 계약업체는 CMMC 요구사항을 협력업체에 전달하고, 협력업체가 CMMC 자체 또는 인증심사 결과를 미국방부의 ‘공급자 성과위험시스템’에 등록했는지 확인해야 합니다.

미국방부 주 계약업체가 계약 이행을 위해 협력업체를 고용하는 경우, 해당 협력업체도 상단 표에 표시된 최소 CMMC 상태를 보유해야 합니다.

CMMC 프로그램이 적용되고 1년간은 업체 스스로 수행하는 자체심사를 허용하지만, 미국 정부를 속이거나 심사 결과를 허위로 등록한 계약자에게는 『허위청구법(False Claims Act)』에 따라 페널티가 부과될 수 있습니다. 허위청구법에 따르면 연방 기금이나 정부 프로그램에 대해 허위청구서를 제출한 개인이나 기업은 물가 상승률에 따른 벌금과 함께 계약금액 3배의 손해배상 책임이 부과되기에 주의해야 합니다.

CMMC 프로그램 최종 규칙 상세 내용은 아래 싸이트를 참고하시기 바랍니다.

https://www.federalregister.gov/documents/2024/10/15/2024-22905/cybersecurity-maturity-model-certification-cmmc-program