CMMC 체크리스트: DoD 계약업체를 위한 감사 준비 가이드

CMMC(사이버 보안 성숙도 모델 인증)이란 무엇입니까?

한 국방부 계약업체가 NIST SP 800-171에 대한 자체 인증만으로 충분하다고 가정했다가 주요 방위 계약을 잃게 됩니다. 2025년 11월 10일부터는 더 이상 그렇지 않습니다. 사이버 보안 성숙도 모델 인증(CMMC) 2.0은 국방부(DoD) 사이버 보안 인증 프레임워크로, 독립적인 평가를 통해 방위 계약업체가 기존 연방 보안 요구사항을 이행했는지 검증합니다. 새로운 보안 요구사항을 만들지 않으며, 2017년부터 DFARS 7012에 따라 이미 요구된 통제에 독립적인 검증을 추가합니다.

이 프로그램은 32 CFR 170(CMMC 프로그램 규칙)에 명시되어 있으며, 48 CFR 204(DFARS 획득 규칙)를 통해 집행됩니다. Cyber AB는 CMMC 생태계의 인증 기관 역할을 합니다. 국방부를 위해 연방 계약 정보(FCI) 또는 통제 미분류 정보(CUI)를 처리하는 경우, CMMC가 적용됩니다.

48 CFR 204.7502에 따라, 계약 담당자는 요구 수준의 현재 CMMC 상태가 없는 제안자에게 계약을 체결할 수 없습니다. CMMC 체크리스트 준비는 입찰 요청이 도착할 때가 아니라 지금 시작해야 합니다.

CMMC 이전에는 계약업체가 NIST SP 800-171 이행을 자체 평가하고 결과를 공급업체 성과 위험 시스템(SPRS)에 제출했습니다. 자체 인증은 방위 산업 기반(DIB) 전반에 신뢰의 격차를 만들었으며, 계약업체가 독립적인 검증 없이 준수를 주장할 수 있게 했습니다.

CMMC는 처리하는 데이터의 민감도에 따라 제3자 또는 정부 평가를 요구함으로써 이 격차를 해소합니다. 시스템 보안 계획(SSP)에 명시한 모든 통제는 훈련된 평가자의 문서 검토, 인터뷰, 실무 기술 테스트를 통과해야 합니다. 보안 운영 도구, 감사 로그, 접근 통제,  사고 대응 절차 모두 CMMC 평가 범위에 포함됩니다. 프레임워크는 이러한 요구사항을 세 가지 인증 수준으로 조직하며, 각 수준마다 고유한 평가 프로세스가 있습니다.

누가 CMMC 체크리스트가 필요한가?

국방부와 상호작용하는 모든 조직이 동일한 CMMC 요구사항을 적용받는 것은 아니지만, 범위는 많은 계약업체가 예상하는 것보다 넓습니다. 국방부 계약의 일환으로 FCI 또는 CUI를 저장, 처리 또는 전송하는 모든 회사는 계약 체결 전에 적절한 CMMC 인증 수준을 달성해야 합니다.

DFARS 252.204-7021 조항이 포함된 국방부 계약을 보유한 원청 계약업체는 입찰 요청서에 명시된 수준의 현재 CMMC 상태를 입증해야 합니다. 이 요구사항은 공급망 전체에 적용됩니다. 계약 이행을 지원하기 위해 CUI를 처리하는 하청업체는 원청업체의 인증에 단순히 의존하지 않고, 독립적으로 요구되는 CMMC 수준을 충족해야 합니다.  NDIA 공급망 분석에 따르면, DFARS 하위 전파 요구사항은 공급망 계층 위치와 관계없이 적용됩니다.

CMMC 체크리스트를 유지해야 하는 조직에는 CUI를 처리하는 방위 제조업체 및 공급업체, CUI 환경에 접근하는 IT 서비스 제공업체 및 관리 서비스 제공업체, 국방부 자금 지원 계약을 맺은 연구 기관, 그리고 직원이 CUI 시스템에 접근하는 인력 또는 전문 서비스 회사가 포함됩니다. 중소기업도 예외가 아닙니다. 계약에 CUI가 포함된 경우, 회사 규모나 매출에 관계없이 CMMC 2단계 요구사항이 적용됩니다.

기준은 명확합니다. 현재 또는 향후 계약에 DFARS 252.204-7021이 포함되어 있다면, 구조화된 준수 프로세스가 필요합니다. CMMC 체크리스트를 통해 통제 이행, 증거 수집 문서화, 그리고 C3PAO 또는 DIBCAC 평가자가 발견하기 전에 격차를 식별할 수 있습니다.

필요한 CMMC 수준 결정 방법

필요한 CMMC 수준은 국방부 계약에서 처리하는 정보 유형에 따라 달라집니다. 결정은 한 가지 질문에서 시작합니다. 계약에 CUI가 포함되어 있습니까?

데이터 유형과 인증 수준 매칭

• FCI만 해당(1단계): 계약에 기본 연방 계약 정보만 포함되어 있고 CUI 표시는 없습니다. FAR 52.204-21의 17개 실무를 이행하고 매년 자체 평가를 실시합니다.
• CUI(2단계): 계약에  CUI 레지스트리에 따라 통제 미분류 정보로 표시된 데이터가 포함되어 있습니다. NIST SP 800-171의 110개 실무를 모두 이행하고, 계약에 따라 C3PAO 평가 또는 자체 평가를 받습니다.
• 고가치 CUI(3단계): 계약에 국방부가 지정한 중요 프로그램의 CUI가 포함되어 있습니다. 110개 NIST SP 800-171 실무와 24개 NIST SP 800-172 실무를 합쳐 총 134개 실무를 이행하고, 정부 주도의 DIBCAC 평가를 받습니다. 3단계는 현재 2단계 상태가 전제 조건입니다.

계약서에 CMMC 수준이 명시되어 있지 않다면, 입찰 요청서의 DFARS 조항을 검토하십시오.  32 CFR 170에 따라, 계약 담당자가 관련 정보의 민감도에 따라 요구 수준을 결정합니다. 확실하지 않은 경우, 계약 담당자에게 직접 문의하십시오. 수준을 잘못 판단하면 잘못된 평가를 준비하게 되어 시간과 예산이 낭비됩니다. 수준을 알게 되면, 아래 표에서 해당 수준의 요구사항을 정확히 확인할 수 있습니다.

체크리스트 사용 전 CMMC 수준 이해하기

어떤 CMMC 체크리스트를 진행하기 전에 각 인증 수준이 요구하는 사항을 명확히 파악해야 합니다. 세 가지 수준은 실무 개수, 평가 유형, 보호하는 정보 범주에서 크게 다릅니다.

1단계 이행은 2025년 11월 10일부터 시작되었으며, 주로 1단계와 2단계 요구사항에 중점을 둡니다. 2단계는 2026년 11월 10일부터 시작되어 CMMC 제3자 평가기관(C3PAO) 2단계 평가가 확대됩니다. 모든 적용 계약에 대한 전체 이행은 2028년 11월 9일 이후 시작됩니다.

모든 2단계 C3PAO 평가는  CMMC 프로세스에 따라 필수 4단계 구조를 따릅니다:

1. 사전 평가 계획 및 준비: 범위 정의, SSP 및 네트워크 다이어그램 제공, 평가 일정 합의
2. 보안 요구사항 적합성 평가: 평가자가 문서 검토, 직원 인터뷰, 통제 직접 테스트 수행
3. 평가 결과 완료 및 보고: C3PAO가 결과를 필수 보고 시스템에 업로드
4. 인증서 발급 및 POA&M 마감: 허용 기간 내 미해결 항목 시정 또는 조건부 CMMC 상태 상실

평가자는  NIST 171A에서 도출된 세 가지 필수 방법(문서 검토, 인터뷰, 테스트)을 사용합니다: 문서(구성, 로그) 검토, 직원과의 구조화된 인터뷰, 실무 기술 검증. 문서상으로만 통과할 수 없습니다.

CMMC는 현재 NIST SP 800-171 Revision 2를 사용합니다. 국방부 CIO FAQ에 따르면, 국방부는 DFARS 조항 252.204-7012에 대한 클래스 편차를 발행하여 Rev 3가 향후 규정 개정을 통해 도입될 때까지 Rev 2를 평가 기준으로 유지합니다. 이와 같은 맥락에서, 다음 체크리스트는 준비 과정을 구조화된 경로로 안내합니다.

사전 평가 준비 체크리스트

사전 평가 준비는 범위 산정, 문서화, C3PAO 참여 전 반드시 완료해야 하는 기초 작업을 포함합니다. 여기서 식별된 격차는 CMMC 체크리스트의 모든 항목에 영향을 미칩니다.

자산 범위 산정:

• 모든 5개 CMMC 자산 범주(CUI 자산, 보안 보호 자산, CRMA, 특수 자산, 범위 외)별 하드웨어 및 소프트웨어 자산 인벤토리 완료
• CUI가 환경에 유입, 이동, 유출되는 모든 데이터 흐름 매핑
• 모든 클라우드 서비스 제공업체 연결 및 CUI 또는 FCI 처리 여부 문서화
• 모든 외부 연결, 원격 근무자, 공급업체 접근 지점 식별
• 범위 외 자산에 대한 기술적·물리적 분리 검증
• 각 CRMA 지정에 대한 SSP 내 위험 관리 근거 문서화
• 모든 보안 보호 자산 및 해당 보안 기능 식별

평가 준비:

•  국방부 평가 가이드를 사용하여 모든 2단계 실무에 대한 격차 분석 완료
• 내부 모의 평가 또는 등록 실무기관(RPO) 준비 검토 실시
• 평가자 인터뷰 준비(보안 책임 설명 가능)
• 자체 평가 점수 SPRS 제출
• Cyber AB 마켓플레이스에서 C3PAO 선정 및 계약 체결

C3PAO 참여 전 자산 범위 산정은 선택 사항이 아닙니다. 평가 중 미공개 CUI 자산이 발견되면 평가 범위가 확대되고 일정이 연장되며, 통과한 통제가 미비점으로 전환될 수 있습니다. 이 단계를 조기에 정확히 수행하는 것이 CMMC 준비 과정에서 평가 결과에 가장 큰 영향을 미칩니다.

CMMC 1단계 체크리스트(기초 통제)

1단계는  FAR 52.204-21에서 도출된 17개 실무로, 6개 보안 도메인에 걸쳐 구성됩니다. 이는 FCI를 처리하는 시스템에 대한 기본 보호 요구사항입니다. 1단계에서는 POA&M이 허용되지 않으며, 17개 실무 모두 자체 평가 전 완전히 이행되어야 합니다.

접근 통제:

• 시스템 접근을 인가된 사용자, 프로세스, 장치로 제한
• 인가된 사용자가 실행할 수 있는 거래 및 기능 유형 제한
• 외부 정보 시스템과의 연결 검증 및 통제
• 공개 시스템에 게시 또는 처리되는 정보 통제

식별 및 인증:

• 모든 사용자, 사용자를 대신하는 프로세스, 장치 식별
• 시스템 접근 전 사용자, 프로세스, 장치의 신원 인증

매체 보호:

• 정보 시스템 매체를 폐기 또는 재사용 전 소거 또는 파기

물리적 보호:

• 시스템에 대한 물리적 접근을 인가된 개인으로 제한
• 방문객 동행, 방문객 활동 모니터링, 물리적 접근 로그 유지
• 물리적 시설 및 지원 인프라 보호 및 모니터링

시스템 및 통신 보호:

• 외부 및 주요 내부 경계에서 통신 모니터링, 통제, 보호
• 내부 네트워크와 분리된 공개 접근 구성요소용 서브네트워크 구현

시스템 및 정보 무결성:

• 정보 시스템 결함을 신속히 식별 및 수정
• 적절한 시스템 위치에서 악성 코드로부터 보호 제공
• 새 릴리스가 있을 때 악성 코드 보호 메커니즘 업데이트
• 외부 소스 파일에 대한 주기적 시스템 스캔 및 실시간 스캔 수행

1단계 준수는 기본 IT 위생이 갖춰진 대부분의 소규모 계약업체가 달성할 수 있습니다. 17개 실무가 모두 이행되었다면, 이 수준의 CMMC 체크리스트는 문서화 및 자체 인증이 간단합니다. 더 큰 준비 부담은 2단계에서 시작되며, 110개 실무를 문서화된 운영 증거로 평가해야 합니다.

CMMC 2단계 체크리스트(고급 통제)

2단계는 14개 보안 도메인에 걸쳐 NIST SP 800-171 Revision 2의 110개 실무와 매핑됩니다. 이 CMMC 체크리스트는 도메인 패밀리별로 구성되어 있습니다. 110개 개별 실무 항목 전체는 여기에 나열되어 있지 않으므로,  국방부 평가 가이드에서 전체 실무 목록과 평가 목표를 확인하십시오.

• 접근 통제(AC): 최소 권한 접근 구현, 특권 계정 관리, 비활성 시 세션 잠금 강제, 원격 접근 및 외부 시스템 사용 통제, 식별 가능한 소유자 없는 휴대용 저장장치 사용 금지
• 감사 및 책임(AU): 시스템 감사 로그 생성 및 보호, 무단 활동에 대한 로그 검토 및 분석, 사후 조사를 지원하기 위한 감사 기록 보존, SSP에 정의된 이벤트 감사 기능 제공
• 구성 관리(CM): 기준 구성 설정 및 유지, 보안 구성 설정 강제, 시스템 변경 추적 및 통제, 변경 전 보안 영향 분석
• 식별 및 인증(IA): 모든 네트워크 접근 및 특권 계정에  다중 인증 강제, 인증자 강도 및 수명주기 관리, 재생 저항 인증 사용
• 사고 대응(IR): 준비, 탐지, 격리, 복구, 사용자 보고를 포함한 운영 사고 처리 역량 구축. 사고 대응 역량 테스트 및 사고 추적
• 유지보수(MA): 시스템 유지보수 수행, 유지보수 도구 통제, 외부 반출 장비 소거, 원격 유지보수 세션에 MFA 요구
• 매체 보호(MP): CUI가 포함된 시스템 매체 보호, 매체 내 CUI 접근을 인가된 사용자로 제한, 폐기 또는 재사용 전 매체 소거, 운송 중 CUI 매체 접근 통제
• 인사 보안(PS): CUI 시스템 접근 인가 전 개인 신원 확인, 퇴사·이동 등 인사 조치 중·후 CUI 보호
• 위험 평가(RA): 운영 및 자산에 대한 위험 주기적 평가, 시스템 및 애플리케이션  취약점 스캔, 위험 평가에 따라 취약점 시정
• 보안 평가(SA): 보안 통제 주기적 평가, 시정 조치 계획 수립 및 이행, 시스템 보안 통제 지속적 모니터링, 운영 환경을 반영한 최신 SSP 작성
• 시스템 및 통신 보호(SC): 경계에서 통신 모니터링, 통제, 보호, 보안을 촉진하는 아키텍처 설계 및 소프트웨어 개발 기법 구현, CUI 전송 및 저장 시  암호화
• 시스템 및 정보 무결성(SI): 결함 식별 및 조치, 악성 코드 보호 제공, 보안 경보 모니터링, 새 릴리스 시 악성 코드 보호 업데이트

CMMC 2단계 체크리스트를 완수하려면 몇 주가 아닌 수개월에 걸친 지속적인 노력이 필요합니다. NIST SP 800-171을 이전에 이행하지 않은 조직은 C3PAO 참여 전 격차 시정을 조기에 시작해야 합니다.

CMMC 3단계 체크리스트(전문가 수준 통제)

3단계는 2단계 전체 실무에 NIST SP 800-172의 24개 실무가 추가되어 총 134개 실무가 됩니다. 이 강화된 요구사항은 중요 국방부 프로그램의 고가치 CUI를 보호하는 조직을 대상으로 합니다. 평가는 C3PAO가 아닌 방위 산업 기반 사이버 보안 평가 센터(DIBCAC)가 수행하며, 현재 2단계 상태가 전제 조건입니다.

24개 추가 실무는 다섯 가지 강화 통제 영역에 중점을 둡니다:

• 강화된 접근 통제: 조직의 위험 전략과 연계되고 실시간 접근 결정을 지원하는 동적 접근 통제 방식 적용
• 고급 구성 관리: 무결성 검증이 가능한 변경 추적 기능을 갖춘 구성 관리 시스템 구축 및 유지
• 강화된 사고 대응: 보안 운영 센터(SOC) 역량 구축 및 사고 처리를 지원하는 자동화 메커니즘 적용
• 공급망 위험 관리: 공급업체, 개발자, 외부 제공업체와 관련된 위험 평가 및 계약 요구사항을 통한 위험 대응
• 고급 시스템 및 통신 보호: 관리 인터페이스와 경계 보호 장치·메커니즘을 활용하는 아키텍처 역량 및 시스템 구성 적용

3단계 조직은 지속적 모니터링, 위협 헌팅 역량, 연방 사이버 보안 기관과의 협력도 입증해야 합니다. DIBCAC가 정부 주도 평가를 수행하므로, 일정 조율에 상당한 시간이 소요되며, 3단계 CMMC 체크리스트 준비 전 국방부 프로그램 사무소와 조기 협력이 필수적입니다.

문서화 및 증거 체크리스트

문서화 및 증거 격차는 CMMC 평가가 지연되거나 실패하는 가장 흔한 원인입니다. SSP는 모든 CMMC 체크리스트의 핵심 산출물이지만, 평가자는 범위 내 모든 도메인에 걸친 완전한 증거 패키지를 요구합니다.

SSP 및 문서화:

• 모든 5개 범주별 범위 내 자산의 완전한 설명
• CUI 데이터 흐름 및 시스템 경계를 보여주는 최신 네트워크 다이어그램
• 모든 보안 통제 및 이행 상태 문서화
• 보안 통제 이행에 대한 역할 및 책임
• 사고 대응 절차 및 연락처
• 모든 비-POA&M 실무(AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4, PE.L2-3.10.5) 완전 이행

증거 수집:

• 지속적 모니터링을 입증하는 시스템 로그(AU 도메인)
• 접근 통제 구성 및 최신 인가 사용자 목록
• 범위 내 모든 시스템의 다중 인증 기록
• 보안 인식 교육 이수 기록(날짜 및 내용 포함)
• 사고 대응 계획 및 연습 기록 문서화
• 구성 기준 및 변경 관리 기록
• 취약점 평가 결과 및 시정 추적
• 암호화 문서 및 인증서
• CUI 구역의 물리적 접근 로그
• 매체 소거 기록
• 제3자 및 클라우드 서비스 제공업체의 CUI 처리 문서

인증 후 유지 관리:

• 경영진 인증이 포함된 연간 자체 평가
• 연간 SPRS 확인 제출
• 지속적 모니터링 및 감사 로그 유지
• 환경 변경 시 SSP 업데이트
• 만료 전 재인증 계획 수립

 Cyber AB CAP에 따르면, 적절히 문서화된 SSP가 없으면 평가는 진행될 수 없으며 기본적으로 평가 실패로 간주됩니다. CMMC 체크리스트 증거 저장소는 평가 직전이 아니라 준비 과정 전반에 걸쳐 지속적으로 구축해야 합니다.

CMMC 체크리스트 이행 시 흔한 실수

많은 계약업체가 기존 보안 프로그램에 자신감을 갖고 CMMC에 접근하지만, 평가 준비 단계에서 지연되는 경우가 많습니다. 다음은 가장 빈번한 실패 지점과 이를 피하는 방법입니다.

평가를 좌초시키는 범위 산정 오류

CUI 환경의 과도한 범위 산정은 보안을 개선하지 않으면서 비용과 복잡성만 증가시킵니다. 시스템이 CUI를 처리, 저장, 전송하지 않는다면, 적절한 계약자 위험 관리 자산(CRMA) 지정과 기술적 분리를 통해 평가 범위를 합법적으로 줄일 수 있습니다. 그러나  CMMC 프로세스에 따르면, CRMA 지정은 "평가자의 재량에 따릅니다." 모든 CRMA는 SSP 내 문서화된 근거가 뒷받침되어야 합니다.

동일하게 위험한 것은 범위 축소로, CUI가 포함된 백업 시스템, CUI를 처리하는 클라우드 서비스, 원격 근무자 엔드포인트를 제외하는 것입니다. CUI가 시스템을 통과할 수 있다면, 비공식 선언과 관계없이 해당 시스템은 범위 내에 포함됩니다.

의도를 설명하는 문서화, 현실을 반영하지 않는 문서화

Cyber AB CAP에 따르면, 적절히 문서화된 시스템 보안 계획이 없으면 평가는 진행될 수 없으며 기본적으로 평가 실패로 간주됩니다. SSP는 CMMC에서 가장 중요한 단일 문서이며, 실제 운영 상태를 반영해야 하며, 이상적인 상태를 나타내서는 안 됩니다.

흔한 증거 격차로는 최근 추가된 인원이 누락된 접근 통제 목록, 경영진 승인이 없는 정책, 적절한 소유자·운영자·감독자가 아닌 직원이 서명한 인증서 등이 있습니다.

POA&M 오관리

일부 실무는 시정 조치 계획(POA&M)에 포함될 수 없습니다. 여기에는 CA.L2-3.12.4(시스템 보안 계획), 일부 물리적 보호 실무, 특정 접근 통제 실무가 포함됩니다. 이러한 통제에 격차가 있는 상태로 C3PAO 평가에 임하면, 완전히 새로운 평가를 받을 수 있습니다.

조건부 CMMC 상태에서 미해결 POA&M 항목이 있는 경우, 마감 기한은 절대적입니다.  국방부 CMMC 가이드에 따르면, 문서화된 기간 내 POA&M을 마감하지 못하면 상태가 만료되며 연장 옵션이 없습니다.

이 모든 실패 지점의 공통점은 타이밍입니다. 격차 해소에서 CMMC 인증까지의 일정은 상당할 수 있으며, 마감일 미준수나 반복 평가로 인한 비용도 큽니다. 현실적인 예산과 일정 파악이 다음 단계입니다.

CMMC 평가 비용 및 일정 기대치

예산과 일정은 CMMC 준비를 시작하는 계약업체의 가장 흔한 우려 사항입니다. 두 요소 모두 조직 규모, 기존 보안 성숙도, 필요한 인증 수준에 따라 크게 달라집니다.

일정 범위 예시

 국방부 CIO 가이드에 따르면, 고정된 준비 기간은 없지만 업계 경험상 유용한 기준이 있습니다:

• 1단계 자체 평가: 기본 통제가 이미 갖춰진 조직은 1~3개월
• NIST SP 800-171 프로그램이 있는 2단계: 격차 시정, 증거 수집, C3PAO 일정 포함 6~12개월
• 2단계 처음부터 시작: 통제 이행, 문서화, 증거 성숙, 평가자 가용성 포함 12~18개월 이상
• 3단계 정부 평가: DIBCAC 일정에 따라 다르며, 먼저 2단계 상태 필요

C3PAO 가용성도 일정에 영향을 줍니다.  GAO-26-107955에 따르면, 평가자 수용 능력이 제한적이므로 조기 참여가 중요합니다.

비용 고려사항

평가 비용은 환경 규모와 범위 복잡성에 따라 달라집니다. 주요 비용 항목에는 격차 분석 및 시정 지원을 위한 컨설턴트 및 RPO 비용, 조직 규모 및 범위에 따라 달라지는 C3PAO 평가 비용, 아직 이행하지 않은 통제에 대한 기술 투자, 문서화 및 증거 준비를 위한 내부 인력 시간이 포함됩니다. 

좁은 CUI 범위를 가진 소규모 하청업체는 복잡한 다중 사이트 환경을 관리하는 대형 원청업체보다 비용이 적게 듭니다. 이러한 비용을 프로그램 계획 초기에 반영하여 입찰 대응 시 예기치 않은 상황을 방지하십시오. 예산과 일정이 확보되면, 다음 운영 관행이 두 요소 모두를 최대한 활용하는 데 도움이 됩니다.

CMMC 체크리스트 활용을 위한 모범 사례

CMMC 평가를 통과하려면 CMMC 체크리스트의 항목을 단순히 확인하는 것 이상이 필요합니다. 다음 관행은 계약업체가 평가자가 기대하는 지속적인 CMMC 준수 태세를 구축하는 데 도움이 됩니다.

통제 이행이 아닌 CUI 발견부터 시작

보안 통제를 배포하기 전에 CUI가 존재하는 모든 위치를 식별하십시오. 일반적인 위치는 다음과 같습니다:

• 이메일 아카이브 및 협업 플랫폼
• 인사 파일 및 프로젝트 문서
• 공급업체 문서 및 회의록
• 공유 드라이브 및 클라우드 저장소

CUI가 환경에 유입되는 경로, 이동 경로, 저장 위치, 유출 위치를 정확히 매핑하십시오. 이 CUI 맵이 SSP를 주도하며, 평가 범위를 직접 결정합니다. 외부 클라우드 서비스 제공업체가 CUI를 처리하는 경우, DFARS 252.204-7012(b)(2)(ii)(D) 요구사항을 충족해야 합니다.

평가 전 네트워크 분할

적절한 분할은 평가 범위를 줄이는 주요 메커니즘입니다. 내부 네트워크와 인터넷 사이에 방화벽을 배포하십시오. 라우팅 스위치를 사용해 CUI 환경과 일반 업무 네트워크를 분리하는 존을 만들고, 인터넷을 통해 흐르는 모든 CUI를  암호화하십시오. Singularity Platform의 정책 집행 및 장치 제어 기능은 CUI 처리 시스템에 대한 주변 장치 접근을 통제함으로써 이 분할을 지원할 수 있습니다.

며칠이 아닌 수개월에 걸쳐 증거 구축

CMMC 통제 패밀리에 맞춘 구조화된 증거 저장소를 구축하십시오. 반응적으로가 아니라 지속적으로 채워야 합니다.  2단계 평가 가이드는 통제가 일정 기간 일관되게 운영됨을 입증하는 증거를 요구하므로, 교육 기록, 감사 로그 샘플, 취약점 스캔 결과, 사고 대응 연습 문서가 지속적 운영을 보여야 합니다. 평가자는 기술적 존재뿐 아니라 운영 성숙도를 평가합니다.

직원 인터뷰 준비

평가자에게 자신의 보안 책임을 설명하지 못하는 직원은 자주 과소평가되는 실패 요인입니다. 내부 인터뷰 리허설을 실시하십시오. 범위 내 모든 인원이 자신이 무엇을, 왜, 어디에 문서화되어 있는지 설명할 수 있도록 하십시오.

평가자는 다음 주요 역할의 직원을 인터뷰합니다:

• 보안 인식 교육 이수자
• 정보 보안 교육 관리자
• 사고 대응팀 구성원
• 감사 모니터링 및 로그 검토 담당자

이 그룹 전반의 준비는 자신감을 높이고 평가 중 예기치 않은 상황을 줄입니다.

하청업체 하위 전파 요구사항 준수

 NDIA 공급망 분석에 따르면, DFARS 252.204-7012 하위 전파 요구사항은 계약 이행의 일환으로 CUI를 저장, 처리, 생성하는 모든 하청업체에 대해 "공급망 계층 위치와 관계없이" 적용됩니다. CUI를 처리할 모든 하청업체를 식별하고, 하청 계약에 CMMC 조항 하위 전파를 포함하십시오. 각 하청업체가 요구 수준의 적절한 CMMC 상태를 보유하고 있는지 확인하십시오. CUI를 처리하지 않는 하청업체에는 CMMC 요구사항을 하위 전파하지 마십시오.

이러한 관행을 일관되게 적용하면 평가자가 찾는 운영 성숙도를 구축할 수 있습니다. 적절한 보안 도구는 이러한 태세를 유지하는 데 필요한 수작업을 더욱 줄일 수 있습니다.

핵심 요약

CMMC 2.0은 현재 시행 중이며, 2025년 11월 10일부터 1단계가 활성화되었습니다. CMMC 체크리스트는 자산 범위 산정, SSP 문서화, 증거 수집, 2단계 실무 전반에 걸친 지속적 유지 관리를 포함해야 합니다. 가장 흔한 실패 원인은 운영 현실이 아닌 의도를 설명하는 문서화, 불완전한 CUI 발견, 반응적인 증거 수집입니다. 

CMMC 인증이 필요해지기 훨씬 전에 준비를 시작하고, 제한된 C3PAO 수용 능력을 고려하며, 설계 단계에서부터 CMMC 인증 증거를 생성하는 모니터링 인프라를 구축하십시오.