美 2026년 CMMC 적용 확대 제도 해석부터 사업 구조 점검까지…원스톱 컨설팅 제공

[헤럴드경제=박지영 기자] 삼정KPMG이 미국 국방부(DoD) 관련 사업에 진출하려는 국내 기업을 돕기 위해 CMMC 전담 서비스팀을 공식 출범시켰다.

삼정KPMG는 미국 국방부를 중심으로 한 글로벌 방산·연방 공급망 진출을 준비하는 국내 기업을 지원하기 위해 CMMC(Cybersecurity Maturity Model Certification·사이버보안 성숙도 모델 인증) 전담 서비스팀을 공식 출범했다고 9일 밝혔다.

CMMC란 미국 국방부 협력 업체가 갖춰야 할 사이버보안 수준을 평가·인증하는 제도다. 기업이 미국 국방부와 계약 과정에서 취급하는 정보의 유형에 따라 레벨1, 레벨2, 레벨3으로 나뉜다. 미국이 2027년까지 단계적으로 CMMC를 의무화할 방침을 밝히면서 CMMC는 미국 국방부 계약 및 공급망 참여를 위한 필수조건이 됐다.

오는 11월 레벨2 요건이 적용되는 계약을 중심으로 승인된 제3자 심사기관(C3PAO)의 평가 결과 제출 요구 범위가 확대될 전망이다. 2027년 11월부터는 레벨2에 대한 제3자 심사가 대부분 계약에서 기본 요건으로 정착할 것으로 예상된다. 미국 방산 기업은 물론 캐나다, 호주 등 우방국과 UAE·대만·말레이시아 등 주요 글로벌 방산 기업들 역시 이미 CMMC를 취득한 상태다.

삼정KPMG는 이에 대응해 국내 기업을 대상으로 한 CMMC 대응 컨설팅 체계를 구축했다. 기업별 사업 구조와 계약 형태를 고려한 맞춤형 대응 전략 수립을 제공한다. CMMC는 기업이 미국 국방부와 계약 과정에서 어떤 유형의 정보를 취급하는지에 따라 준비 수준이 달라진다. 컨설팅 초기 단계부터 기업의 미국 사업 구조와 글로벌 공급망 내 참여 방식, 내부 프로세스를 종합적으로 점검한다.

특정 보안 설루션이나 기술 도입 대신 기존 사업 구조와 운영 환경을 유지하면서도 미국 방산·연방 시장이 요구하는 기준을 충족할 수 있도록 지원하는 것이 특징이다. 비즈니스 프로세스 분석을 기반으로 인증 요구사항에 체계적으로 접근한다. 글로벌 지식 커뮤니티를 활용해 제도 해석과 적용의 일관성을 높이는 컨설팅을 제공하고 있다.

삼정KPMG는 최근 CMMC 컨설팅을 위한 RP(Registered Practitioner)를 취득했다. RPA(Registered Practitioner Advanced) 추진과 RPO(Registered Provider Organization) 등록도 병행 중이다. 기업이 CMMC를 구조적 경쟁력 강화를 위한 계기로 활용할 수 있도록 지원 체계를 마련할 계획이다.

고영대 삼정KPMG 컨설팅 부문 상무는 “CMMC 대응은 단순한 인증 준비가 아니라 기업의 중장기 해외 사업 전략과 글로벌 공급망 참여 구조를 함께 점검하는 과정”이라며 “삼정KPMG는 비즈니스 프로세스 분석을 기반으로 인증 요구사항에 접근하고, 글로벌 지식 커뮤니티를 활용해 제도 해석과 적용의 일관성을 높이는 컨설팅을 제공하고 있다”고 말했다.