최근 미국 조 바이든 행정부는 국가사이버보안전략을 공개했다. 국내외 적대세력의 사이버공격으로부터 정부와 기업 등 자국 사이버생태계를 보호하기 위한 전략지침이다. 특히 그간 기업 자율에 맡겼던 사이버보안 준수 영역에 대해 정부 지원과 개입을 강화하는 패러다임 전환이 주목된다.

이러한 변화가 산업에 어떤 영향을 미칠지 이해하려면 2020년 미 연방기관 최초로 국방부가 방산생태계 사이버보안을 평가하기 위해 수립한 ‘사이버보안 성숙도 모델 인증’(CMMC)을 살펴봐야 한다. CMMC는 국방 조달에 참여하는 모든 기업에 적용되기에 미 국방 조달 참여를 목표로 하는 한국 정부와 방산기업의 이해와 맞닿아 있다. CMMC는 미 국방부가 방산기업을 대상으로 연방정부의 민감한 정보에 대한 사이버보안을 얼마나 잘 준수하는지 평가하는 프로그램이다. 2020년 처음 공개된 이래 2021년 11월에는 CMMC 2.0이 발표됐다. 늦어도 2025년 중 입법이 완료돼 계약서상에 CMMC 요건이 등장할 것으로 예상된다. CMMC는 미 연방정부의 ‘대외비’를 보호하기 위한 제도다. 지식재산과 민감한 정보가 적대세력에 유출돼 국가안보를 위협하고 막대한 경제적 피해를 일으킴에 따라 정보보호를 강화하기 위해 마련한 사이버보안요건이다. 방산기업들이 주로 접하는 미 연방정부의 대외비는 연구개발자료, 도면, 시방서, 사용설명서 등이다.

CMMC인증을 위한 평가는 ‘NIST SP 800-171’ 사이버보안 표준에 의해 수행된다. 많은 이가 아직 CMMC가 시행되지 않고 있으니 시간적 여유가 있다고 믿는 듯하다. 그러나 NIST 요건은 이미 2017년 시행됐다. CMMC는 기업들이 NIST 요건을 준수하지 않으니 규정 준수를 강화하기 위한 조치라고 볼 수 있다. 따라서 국방 계약업체는 NIST 요건을 출발점으로 보고 사이버보안을 실천해야 한다.

일본도 이미 2019년 NIST를 채택하고 이달부터 NIST를 포함한 산업보안계획을 방산업체에 시행할 예정이라고 한다. 이스라엘과 영국 역시 NIST 표준을 채택하거나 자국 사이버보안 표준에 통합하고 있다.

한국도 뒤처지지 않으려면 즉각 나서야 한다. 미국과 방산수출과 협력을 전략적으로 추진하려면 NIST 요건에 기반해 사이버보안 표준을 수립하고 CMMC 생태계를 구축해 방산기업들을 지원해야 한다. 한국이 미국과 상호 인정할 수 있는 체계를 구축하면 신뢰성이 커져 상호협력 기회가 증대될 것이다. 특히 미국이 관심을 두는 첨단 반도체, 인공지능, 로봇, 우주 등 분야에서 협력을 촉진하는 기반을 다질 수 있다. 경영진은 CMMC가 단순히 IT담당자 책임영역이 아니라 회사의 사활이 걸린 어젠다임을 깨닫고 능동적으로 역량 강화에 투자해야 한다. 가장 중요한 것은 사람이므로 교육을 통해 전 직원이 사이버위생을 생활화하는 조치부터 실행해야 한다. 사이버공격은 ‘언제(when)’의 문제이지, ‘만일(if)’의 문제가 아니다.

정부와 방산기업이 협력해 철저한 CMMC 대비책을 마련하면 사이버공격 위협으로부터 방위산업과 방산기술을 보호하고 공동 협력을 강화하며, 대미 방산수출을 활성화할 기회가 마련될 것이다.

류화 델타원LLC 대표