CMMC 컴플라이언스란 무엇인가? 정의, 레벨 및 요구사항

CMMC란 무엇인가?

Cybersecurity Maturity Model Certification(CMMC)는 민감한 정보를 실제로 보호하는지 확인하기 위한 미국 국방부의 프레임워크입니다. 프로그램 차원에서 CMMC 프로그램 최종 규칙은 CMMC의 목적을 명확히 합니다: DoD 계약 수행 중 처리, 저장 또는 전송하는 Controlled Unclassified Information(CUI) 및 Federal Contract Information(FCI)을 보호하는 것입니다. DFARS 204.7500에 따르면, CMMC는 "계약자의 정보 보안 보호 조치를 평가하기 위한 프레임워크"로, DoD 계약에 인증 수준 요구사항을 포함하는 정책과 절차를 규정합니다. CMMC 2.0은 기존의 5단계 모델을 3단계로 간소화했으며, 최종 규칙은 이 업데이트된 구조를 문서화합니다.

CMMC 도입 전에는 계약자가 제한된 외부 검증만으로 NIST SP 800-171 준수를 자체적으로 선언했습니다. 만약 과장된 Supplier Performance Risk System(SPRS) 점수를 제출하고, 감사에서 실제 점수가 크게 낮게 나올 경우, 단순한 준수 실패를 넘어 False Claims Act 문제가 발생할 수 있습니다. 이것이 CMMC가 존재하는 운영상의 이유입니다: DoD는 더 이상 CUI가 관련된 경우 자체 선언에 의존하지 않습니다.

공급망 사고는 그 중요성을 더욱 명확히 했습니다. 2022년, 공격자는 Viasat의 KA-SAT 위성 네트워크를 대상으로 파괴적인 와이퍼 공격을 감행하여 유럽과 우크라이나 전역의 수만 명 고객의 통신을 방해했습니다( SentinelLabs 보고서 참조). 2020년에는 SolarWinds 공급망 침해로 최대 18,000명의 고객이 영향을 받았습니다( CISA 경고 참조). 귀하의 환경이 DoD 프로그램과 연관된다면, CMMC는 단순히 보호한다고 주장하는 것이 아니라 실제로 CUI를 보호할 수 있음을 입증하도록 요구합니다.

FCI vs. CUI: 인증 수준이 보호하는 정보

CMMC 준수는 통제 문서화와 해당 통제가 실제 환경에서 작동함을 입증할 수 있는 증거를 연결합니다. CMMC는 합격/불합격 인증 모델을 강제합니다. 검증 가능한 증거로 운영 통제를 입증하거나, 그렇지 않으면 인증을 받을 수 없습니다. 두 가지 정보 범주가 요구사항을 결정합니다:

• Federal Contract Information(FCI): 정부가 귀하의 계약 업무를 위해 제공하거나 생성한 정보로, 공개를 목적으로 하지 않습니다. FAR 52.204-21에 따라 기본 보호 조치를 적용해야 합니다.
• Controlled Unclassified Information(CUI): 법률 또는 정부 전체 정책에 따라 보호가 요구되는 정보입니다. NIST SP 800-171에 맞춰 보호해야 합니다.

이 구분은 시스템 범위 설정, 목표 수준 선택, 증거 계획 수립 방식에 영향을 미칩니다. National Archives의 ISOO는 ISOO 가이드에서 계층 구조를 명확히 합니다: "정부 계약자가 보유한 모든 CUI는 FCI이지만, 모든 FCI가 CUI는 아닙니다." 데이터를 올바르게 분류하면 범위도 올바르게 설정할 수 있으며, 범위 설정이 대부분의 CMMC 결과의 출발점입니다.

다음으로, CMMC가 귀하의 계약 및 공급망 역할에 적용되는지 확인하십시오.

CMMC 준수 적용 대상

귀하가 Defense Industrial Base의 계약자 또는 하청업체이고, DoD 계약 수행 중 FCI 또는 CUI를 처리한다면 CMMC가 적용됩니다. 요구되는 수준은 귀하가 다루는 정보의 민감도와 정보 흐름 위치에 따라 달라집니다.

• Level 1(기초): FCI만 처리하며, CUI는 포함되지 않습니다. 이는 CUI가 시스템에 들어오지 않는 기본 지원 기능에 주로 해당합니다.
• Level 2(고급): 기술 데이터, 엔지니어링 명세서, 획득 민감 정보, 설계 문서 등 CUI를 처리합니다. 공급망을 통해 CUI가 하위로 전달되거나, CUI가 표시된 산출물이 있는 R&D 프로그램을 운영하거나, CUI가 포함된 시스템을 유지하는 IT 서비스를 제공할 때 이 수준이 적용됩니다.
• Level 3(전문가): DoD의 최우선 프로그램 내에서 CUI를 관리하며, 침해 시 실질적인 적대적 이점이 발생하거나 임무 영향 및 집적이 위험 프로필을 높이는 경우에 해당합니다.

CMMC 수준은 누적적입니다: 더 높은 수준을 목표로 하면 하위 수준의 요구사항도 충족해야 하며, CMMC 프로그램 최종 규칙이 이 구조를 정의합니다.

자신의 수준을 알게 되면, 이를 조항, 평가, 자격에 영향을 미치는 결과와 연계할 수 있습니다.

CMMC 준수 작동 방식: 규정 및 결과

CMMC는 자발적 채택이 아닌 계약 언어를 통해 구속력을 가집니다. 두 가지 연방 규정이 법적 강제력을 부여하며, 이를 충족하지 못하면 단순한 감사 실패를 넘어서는 결과가 발생할 수 있습니다. 규제 구조, 평가 경로, 비준수 시 실제 비용을 이해하는 것이 준비 작업의 범위를 올바르게 설정하는 기반입니다.

규제 프레임워크

두 가지 DFARS 조항이 CMMC를 귀하의 계약에 포함시킵니다.

•  DFARS 252.204-7021 조항은 "계약 기간 동안 다음 CMMC 수준 이상의 현재 CMMC 상태를 보유 및 유지"할 것을 요구합니다.
•  DFARS 252.204-7025 조항은 수주 전 SPRS에 평가 결과를 게시하고, FCI 또는 CUI를 처리할 시스템을 식별할 것을 요구합니다.

이 조항들이 CMMC를 지침에서 계약 필수 조건으로 전환시킵니다.

평가 경로

평가 경로는 수준과 입찰에 따라 다릅니다. 또한 연간 지속 준수 확인서를 제출해야 하며, DoD 프로그램 사무국이 Level 2 계약에 자체 평가 또는 C3PAO 인증이 필요한지 결정합니다.

실무에서 자주 영향을 미치는 두 가지 운영 세부사항:

• Level 2는  NIST SP 800-171에 정의된 110개 요구사항을 필요로 합니다.
• 조건부 경로에서는, Level 2가 프로그램의 최소 구현 기준을 충족할 경우 제한적으로 POA&M(이행 계획 및 마일스톤)을 허용하며, DFARS 204.7501 정의가 CMMC 상태 용어를 문서화합니다.

POA&M이 허용되는 경우에도 엄격한 기한이 있습니다. 조건부 상태는 동일한 DFARS 204.7501 정의에 따라 시간 제한이 있습니다.

비준수 시 결과

필요한 CMMC 상태를 유지하지 못하면 계약 자격, 법적 노출, 성과 지속성 등 세 가지 측면에서 결과가 발생합니다.

• 계약 자격 상실은 구조적이며 재량이 아닙니다. 필요한 CMMC 상태를 보유하지 않으면, 해당 상태가 요구되는 계약에서 수주하거나 성과를 계속할 수 없습니다.
• False Claims Act 노출은 자격, 수주, 지급을 위해 준수를 주장하지만 이를 증거로 뒷받침하지 못할 때 가장 심각한 법적 위험이 됩니다.
• 계약 해지 및 기타 구제책은 조건부 상태가 만료되고 필요한 상태를 유지하지 못할 경우 뒤따를 수 있습니다.

규제 결과는 의도적으로 엄격합니다. DoD는 부정확한 자체 선언의 비용을 높여, 계약자가 증거 수집을 사전 평가가 아닌 지속적인 운영 요구사항으로 인식하도록 CMMC를 설계했습니다.

이제 메커니즘을 이해했으므로, 요구 수준을 평가자가 검증할 성숙도 기대치로 전환할 수 있습니다.

CMMC 2.0 성숙도 수준 이해

요구되는 수준은 귀하가 다루는 정보 유형과 지원하는 프로그램에 따라 결정됩니다. 각 수준은 하위 수준을 기반으로 하므로, 더 높은 인증은 하위 수준의 모든 요구사항도 충족했음을 의미합니다. 각 수준이 실제로 요구하는 바는 다음과 같습니다.

Level 1: 기초

FCI만 처리하는 경우, Level 1은 FAR 52.204-21의 기본 보호 조치에 맞춰집니다. 이 수준의 17개 실천 항목은 기본 보안 위생을 다룹니다: 시스템 접근을 허가된 사용자로 제한, 접근 전 개인 신원 확인, CUI 관련 공간의 물리적 보안 유지, 시스템의 감사 및 복구 가능성 보장 등입니다. 연간 자체 평가를 완료해야 하며, 이 수준에서는 POA&M을 사용할 수 없습니다. 자체 평가는 회사의 고위 임원이 서명하여, 진술에 대한 직접적인 책임을 부여합니다.

Level 2: 고급

CUI를 처리하는 경우, Level 2는 NIST SP 800-171 Rev. 2에 직접 매핑되며, 14개 실천 영역 전반에 걸쳐 110개 통제가 모두 구현 및 운영되고 있음을 입증해야 합니다. 입찰에 따라 자체 평가 또는 C3PAO 제3자 평가로 충족할 수 있으며, DoD 프로그램 사무국이 적용 경로를 결정합니다. Level 2는 또한 각 통제가 환경에서 어떻게 구현되는지 문서화한 System Security Plan(SSP) 유지가 필요합니다.

Level 3: 전문가

최우선 프로그램을 지원하는 경우, Level 3는 고도 지속 위협에 대한 방어를 목표로 하며, NIST SP 800-172의 일부에서 강화된 요구사항을 Level 2에 추가합니다. Defense Contract Management Agency의 정부 평가자가 Level 3 평가를 직접 수행합니다. 이 수준은 적이 접근할 경우 국가 안보에 중대한 위험이 발생하는 프로그램에서 CUI를 다루는 계약자에게만 적용됩니다.

자신의 수준을 알게 되면, 해당 수준이 언제 계약에 적용되는지 알아야 합니다.

CMMC 이행 일정

 CMMC 프로그램 최종 규칙은 2024년 12월 16일에 발효되었으며, 3년에 걸쳐 4단계 도입을 통해 DoD 계약에 요구사항을 적용합니다. 모든 계약에 한 번에 적용되는 것이 아니라, DoD는 입찰 유형과 수준별로 CMMC 언어를 단계적으로 도입합니다.

• 1단계(2024년 12월 16일 발효): DoD는 입찰에 Level 1 또는 Level 2 자체 평가 요구사항을 포함할 수 있습니다. 이미 CMMC 언어가 포함된 계약의 경우, 수주 전 또는 계약 조건으로 자체 평가를 완료하고, 결과를 SPRS에 게시하며, 연간 확인서를 제출해야 합니다. 이 단계는 현재 진행 중입니다.
• 2단계(2025년 12월경 시작): DoD는 입찰에 Level 2 C3PAO 제3자 평가를 요구할 수 있습니다. 기존에 자체 평가가 허용된 계약도 독립 인증으로 전환될 수 있습니다. 2단계 입찰이 시장에 진입하면 계약의 평가 경로를 반드시 확인해야 하며, C3PAO 일정 조정 기간이 짧아질 수 있습니다.
• 3단계(2026년 12월경 시작): DoD는 Level 3 요구사항을 포함할 수 있습니다. 최우선 프로그램을 지원한다면 지금부터 Level 3 준비를 시작해야 합니다. DCMA를 통한 정부 평가자 일정은 장기 조정이 필요합니다.
• 4단계(2027년 12월경 시작): 전체 이행. DoD는 모든 해당 계약에 CMMC 요구사항을 적용할 수 있습니다. CUI가 포함된 입찰은 예외가 없습니다.

실질적 의미: 계약에 CMMC 언어가 포함되어 있다면 이미 일정이 시작된 것입니다. 포함되어 있지 않다면, 다음 옵션 연도나 입찰 전 계약 담당자 및 원청과 확인하십시오. 단계별 도입은 신규 수주뿐 아니라 진행 중인 계약에도 영향을 줄 수 있습니다.

일정이 명확해졌으므로, 요구 수준을 평가자가 검증할 구체적 통제에 매핑할 수 있습니다.

CMMC 준수 요구사항: 14개 실천 영역

Level 2의 경우,  NIST SP 800-171의 110개 요구사항이 14개 실천 영역에 걸쳐 매핑됩니다. 평가자는 각 영역의 통제를 조사, 인터뷰, 테스트합니다. 각 영역의 요구사항을 이해하면 준비 작업 전 증거 범위를 올바르게 설정할 수 있습니다.

신원, 접근, 인사

• Access Control: 시스템 접근을 허가된 사용자 및 프로세스로 제한합니다. 요구 증적에는 사용자 계정 문서, 역할 할당, 세션 통제, 원격 접근에 대한 접근 통제 실천이 포함됩니다.
• Identification and Authentication: 접근 전 신원을 확인합니다. 다중 인증, 비밀번호 정책, 특권 계정 통제가 일반적인 평가 항목입니다.
• Personnel Security: CUI 시스템 접근 전 개인을 심사하고, 재직 중 및 퇴직 후 보안 위험을 관리합니다. 퇴직 체크리스트와 배경 조사 프로세스가 여기에 해당합니다.

로깅, 모니터링, 무결성

• Audit and Accountability: 사용자 활동 및 시스템 이벤트를 기록하고, 로그를 보호하며, 검토를 위해 보관합니다.  SIEM 로그 보관 구성 및 보관 정책이 핵심 증적입니다.
• System and Information Integrity: 시스템 결함을 해결하고, 악성 코드로부터 보호하며, 보안 경고를 모니터링합니다. 엔드포인트 보호 구성 및 패치 관리 기록이 일반적인 증거 요청 항목입니다.

구성 및 유지관리

• Configuration Management: CUI를 처리하는 시스템에 대한 안전한 구성을 수립 및 강제합니다. 기준선, 변경 관리 기록, 소프트웨어 자산 목록이 이 영역을 충족합니다.
• Maintenance: CUI를 처리하는 시스템의 유지관리 활동을 통제하며, 특히 원격 세션을 관리합니다. 모든 유지관리 활동을 기록하고, 수행 권한을 제한해야 합니다.

데이터 및 물리적 보호

• Media Protection: CUI가 물리적 및 디지털 매체에 저장, 전송, 폐기되는 방식을 통제합니다. 소거, 폐기, 이동식 매체 사용 정책이 요구됩니다.
• Physical Protection: CUI가 처리되는 시스템 및 환경에 대한 물리적 접근을 제한합니다. 방문자 기록, 출입증 접근 기록, 물리적 보안 정책이 이 영역을 충족합니다.

위험, 평가, 교육

• Risk Assessment: CUI 시스템 사용에 따른 운영 위험을 주기적으로 평가합니다. 결과 및 시정 조치 추적이 포함된 위험 평가 프로세스 문서가 요구됩니다.
• Security Assessment: 통제를 주기적으로 평가하고, 이행 계획을 유지하며, 보안을 지속적으로 모니터링합니다. SSP 및 POA&M 프로세스가 이 영역을 직접 지원합니다.
• Awareness and Training: 보안 책임 및 역할별 위험에 대해 직원을 교육합니다. 평가자는 교육 기록, 이수 추적, 역할 기반 콘텐츠 증거를 기대합니다.

통신 및 사고 대응

• System and Communications Protection: 시스템 간 전송되는 데이터를 모니터링, 통제, 보호합니다. 네트워크 분리, 전송 중 암호화, 경계 보호 통제가 주요 증적입니다.
• Incident Response: 사고를 탐지, 차단, 복구할 수 있는 역량을 구축, 테스트, 문서화합니다. 평가자는 문서화된 계획, 테스트 증거, 사후 조치 기록을 요구합니다.  사고 대응 계획 문서 및 테스트 증적이 이 영역의 주요 평가 대상입니다.

영역별 요구사항을 매핑했다면, 준비를 가장 자주 방해하는 마찰 지점을 계획할 수 있습니다.

CMMC 준수를 어렵게 만드는 요인

CMMC의 증거 기반 모델은 원칙상 명확하지만, 실제로는 까다롭습니다. 준비에 어려움을 겪는 대부분의 팀은 특이한 기술적 결함 때문이 아니라, 극복에 지속적 투자와 조정이 필요한 구조적 장벽 때문입니다. 가장 일관되게 나타나는 네 가지 마찰 지점은 다음과 같습니다.

• 비용 부담(특히 중소기업의 경우). 보안 성숙도가 낮은 경우, 도구 변경, 문서화, 지속적 증거 워크플로우 등 상당한 투자가 필요할 수 있습니다.
• 증거 운영화. 로그, 티켓, 구성, 일관된 통제 증거를 지속적으로 생산하지 못하면 통과가 어렵습니다.
• 클라우드 공급자 의존성. 클라우드 공급자가 CUI를 처리하는 경우, 그들의 인증 상태와 공동 책임 경계가 인증을 막을 수 있습니다.
• 범위 설정 복잡성. 범위를 과도하게 설정하면 불필요한 시스템이 평가에 포함되고, 과소 설정하면 실제 CUI 흐름을 놓칠 수 있습니다.

이 장벽들은 극복 불가능하지 않지만, 모두 늦게 시작하면 만회할 수 없는 준비 시간이 필요합니다. 갭 평가와 SSP를 조기에 시작하는 것이 구조적 문제를 자격 위험으로 전환하지 않는 가장 확실한 방법입니다.

일반적인 CMMC 준수 이행 실수

대부분의 실패는 통제 결함이 아니라, 약한 조정이나 오래된 문서에서 비롯됩니다. 평가를 가장 자주 방해하는 실수는 다음과 같습니다:

• "정책만" 함정. 통제가 실제로 운영됨을 입증하는 증거 없이 정책만 제시하면, 증거 기반 평가를 통과할 수 없습니다.
• 막판 증거 수집. 평가 직전에 스크린샷을 급히 모으면, 미성숙함을 드러내고 SSP 신뢰도를 약화시킵니다.
• POA&M을 계획으로 간주. POA&M을 전략으로 삼으면, 실제 통제 결함을 해소하지 못하고 조건부 상태에서 시간 초과 위험이 있습니다.
• 동일 C3PAO로 준비와 인증 수행. 준비 지원을 위해 C3PAO를 활용한 경우, 동일 기관을 인증 평가에 사용할 수 없습니다.

이 모든 항목의 공통점은 타이밍입니다. CMMC 준비를 사전 평가가 아닌 상시 운영 프로그램으로 인식하는 팀은 이 목록의 모든 항목을 피할 수 있습니다. 아래 모범 사례는 단계별로 프로그램을 구조화하는 방법을 제시합니다.

CMMC 준수 모범 사례

CMMC 준비는 끝이 있는 프로젝트가 아니라, 지속적으로 운영되는 프로그램입니다. 아래 다섯 단계는 초기 갭 평가부터 평가 인터뷰 통과를 좌우하는 인력 교육까지 프로그램을 체계적으로 구축하는 방법을 제시합니다.

• 1단계: 현재 상태 평가. NIST SP 800-171에 따라 갭 평가를 실시하고, 각 계약 및 입찰을 검토하여 필요한 CMMC 수준을 확인합니다. 클라우드 서비스를 사용하는 경우, 인증 상태와 공동 책임을 조기에 검증하십시오. SSP는 시작 단계에서 작성해야 하며, 사후 평가 산출물이 아닙니다.
• 2단계: 교차 기능 준비팀 구성. 확인 및 자원 배분을 위한 리더십, 기술 구현을 위한 IT, 문서화 및 증거 워크플로우를 위한 준수 책임자가 필요합니다. 각 통제 영역에 명확한 책임자를 지정하고, 책임을 일회성이 아닌 반복적으로 부여하십시오.
• 3단계: 지속적 증거 수집 구현. SSP를 사전 감사 산출물이 아닌 살아있는 문서로 취급하십시오. 평가자가 기대하는 증거의 보관 워크플로우를 구축하고,  SIEM 로그 보관 구성이 증거 스토리에 어떻게 기여하는지 확인하십시오.
• 4단계: 정확한 범위 설정. CUI 흐름과 경계를 정확히 문서화하십시오. 정확한 범위 설정은 비용을 줄이고, 통제를 가장 중요한 곳에 집중시킵니다.
• 5단계: 문서화된 통제에 대한 인력 교육. 평가자는 조사, 인터뷰, 테스트를 실시합니다. 직원은 통제가 실제로 어떻게 운영되는지 설명할 수 있어야 하며, 특히  최소 권한 접근 및 사고 처리와 관련된 부분에서 문서만으로는 인터뷰를 통과할 수 없습니다.

프로세스 규율이 갖춰지면, 도구를 증거 기대치에 맞게 매핑할 수 있으며, 결함을 문서로 덮으려 할 필요가 없습니다.

핵심 요약

DoD FCI 또는 CUI를 처리한다면, CMMC는 자체 선언이 아닌 증거 기반 인증을 통해 사이버 보안 태세를 검증하는 구속력 있는 프레임워크입니다. 

지속적 증거 수집을 구축하고, 정확하게 범위를 설정하며, 준비를 교차 기능 프로그램으로 운영하고, CMMC 평가가 요구하는 운영 증적을 생성하는 도구를 사용할 때 성공할 수 있습니다.