美 국방부 '사이버 인증(CMMC)' 전면 시행… 미흡 땐 대미 수출·MRO 참여 원천 차단
무기 파괴력만큼 중요해진 방산 안보… 국가 차원의 표준 규격 대응 체계 시급
무기 파괴력만큼 중요해진 방산 안보… 국가 차원의 표준 규격 대응 체계 시급
전 세계 무기 시장에서 연일 승전고를 울리며 '글로벌 4대 방산 강국'을 향해 질주하던 K-방산이 거대한 미국발(發) '사이버 보안 장벽'을 마주했다.
미 국방부(DoD)가 자국 방산 공급망에 참여하는 전 세계 모든 기업을 대상으로 '사이버보안 성숙도 모델 인증(CMMC·Cybersecurity Maturity Model Certification)' 최종 규칙을 전면 시행하면서, 대미(對美) 수출을 노리는 우리 방산업계에 비상이 걸렸다.
방위사업청이 현장 설명회와 컨설팅 지원 등 총력 대응에 나섰지만, 인력과 재정이 절대적으로 부족한 국내 하청 중소·중견기업들은 당장 인증 비용과 절차를 감당하기 어려워 발만 동동 구르고 있는 실정이다.
◇ 미국 시장 진입의 '절대 조건'… CMMC 레벨 2가 승패 가른다
미 국방부가 추진하는 CMMC는 미국 군사 관련 사업에 참여하는 주계약자뿐만 아니라 부품을 납품하는 하위 하청업체까지 모두 일정한 수준의 사이버 보안 체계를 갖추도록 의무화한 제도다.
기술력이나 가격 경쟁력이 아무리 뛰어나도, 미 국방부의 CMMC 인증 등급을 획득하지 못하면 입찰 참여 자체가 원천 차단된다.
특히 우리 방산업계가 차세대 먹거리로 사활을 걸고 있는 미 해군 함정의 유지·보수·정비(MRO) 사업이나 한·미 무기체계 공동 개발에 참여하기 위해서는 실질적인 기술 정보(CUI·통제가 필요한 비기밀 정보)를 다룰 수 있는 '레벨 2' 인증이 필수적이다.
방산 전문가들은 "미국 시장을 잃는다는 것은 글로벌 공급망에서 도태된다는 의미"라며 "CMMC는 단순한 보안 규격을 넘어 서방국가 방산 시장의 새로운 '무역 장벽'으로 작용하고 있다"고 분석했다.
◇ 방사청·유관기관 '총력 지원'… 그러나 현장은 '비용·인력 가뭄'
상황이 급박해지자 방위사업청도 발 빠르게 움직이고 있다.
방사청은 경남 등 주요 방산 혁신클러스터 및 한국방위산업진흥회(방진회), 국방기술품질원 등과 연계하여 권역별 대규모 설명회를 개최하고, 현장 수요 맞춤형 보안 컨설팅 지원 사업을 확대하고 있다. 미 국방부 보안 기준에 맞춘 시설 구축과 연계 솔루션 도입을 돕겠다는 취지다.
그러나 방산 현장의 목소리는 여전히 무겁다.
CMMC 레벨 2를 획득하기 위해서는 보안 인프라 구축과 전문 컨설팅, 최종 심사 비용 등에 업체당 최소 수억 원에서 수십억 원의 비용이 소요되는 것으로 추산된다.
게다가 준비 기간만 최소 1년 이상 걸린다. 대기업 계열 방산업체들은 전담 TF를 구성해 선제 대응에 나서고 있지만, 이들에게 부품을 납품하는 2·3차 중소 협력업체들은 예산과 전문 인력이 전무해 손을 놓고 있는 경우가 허다하다.
공급망 전체가 인증을 받아야 하는 CMMC 특성상, 하청업체 한 곳이라도 뚫리거나 인증에 실패하면 대기업의 대미 수출 길까지 동반 차단될 수 있다는 점에서 위험의 폭발력이 크다.
◇ 한국형 암호(K-CMVP) 상호인정 등 제도적 영토 넓혀야
제도적인 걸림돌도 산적해 있다.
CMMC 레벨 2 인증의 핵심 요건 중 하나는 미국 국립표준기술연구소(NIST)의 암호모듈(FIPS) 인증을 받은 제품을 사용하는 것이다.
하지만 국내 방산업체들은 우리 국정원과 국방부가 검증한 한국형 암호모듈(K-CMVP) 체계를 기반으로 장비를 운용하고 있어, 기술적 충돌과 이중 부담이 발생하고 있다.
국내 방산 안보 전문가들은 정부 차원의 'G2G(정부 간) 협상'이 시급하다고 입을 모은다.
한·미 상호방위조달협정(RDP-A) 체결 협상 등과 연계해 한국형 암호체계와 미국 암호체계 간의 상호 인정, 혹은 국산 보안 솔루션을 사용하더라도 CMMC 요건을 충족한 것으로 간주해 주는 동등성 인정을 받아내야 한다는 지적이다.
또한 국내에 공인된 제3자 인증기관(C3PAO)이 없어 미 현지 심사원을 초청해야 하는 불편과 국방 기술 유출 우려를 해소하기 위해, 국내 시험인증 기관의 CMMC 인증 역량 확보를 조속히 지원해야 한다는 목소리도 커지고 있다.
K-방산이 진정한 글로벌 초일류로 도약하기 위해서는 무기의 파괴력뿐만 아니라, 이를 둘러싼 사이버 영토를 지키는 '보안 방패'의 규격화가 시급한 시점이다.
미 국방부(DoD)가 자국 방산 공급망에 참여하는 전 세계 모든 기업을 대상으로 '사이버보안 성숙도 모델 인증(CMMC·Cybersecurity Maturity Model Certification)' 최종 규칙을 전면 시행하면서, 대미(對美) 수출을 노리는 우리 방산업계에 비상이 걸렸다.
방위사업청이 현장 설명회와 컨설팅 지원 등 총력 대응에 나섰지만, 인력과 재정이 절대적으로 부족한 국내 하청 중소·중견기업들은 당장 인증 비용과 절차를 감당하기 어려워 발만 동동 구르고 있는 실정이다.
◇ 미국 시장 진입의 '절대 조건'… CMMC 레벨 2가 승패 가른다
미 국방부가 추진하는 CMMC는 미국 군사 관련 사업에 참여하는 주계약자뿐만 아니라 부품을 납품하는 하위 하청업체까지 모두 일정한 수준의 사이버 보안 체계를 갖추도록 의무화한 제도다.
기술력이나 가격 경쟁력이 아무리 뛰어나도, 미 국방부의 CMMC 인증 등급을 획득하지 못하면 입찰 참여 자체가 원천 차단된다.
특히 우리 방산업계가 차세대 먹거리로 사활을 걸고 있는 미 해군 함정의 유지·보수·정비(MRO) 사업이나 한·미 무기체계 공동 개발에 참여하기 위해서는 실질적인 기술 정보(CUI·통제가 필요한 비기밀 정보)를 다룰 수 있는 '레벨 2' 인증이 필수적이다.
방산 전문가들은 "미국 시장을 잃는다는 것은 글로벌 공급망에서 도태된다는 의미"라며 "CMMC는 단순한 보안 규격을 넘어 서방국가 방산 시장의 새로운 '무역 장벽'으로 작용하고 있다"고 분석했다.
◇ 방사청·유관기관 '총력 지원'… 그러나 현장은 '비용·인력 가뭄'
상황이 급박해지자 방위사업청도 발 빠르게 움직이고 있다.
방사청은 경남 등 주요 방산 혁신클러스터 및 한국방위산업진흥회(방진회), 국방기술품질원 등과 연계하여 권역별 대규모 설명회를 개최하고, 현장 수요 맞춤형 보안 컨설팅 지원 사업을 확대하고 있다. 미 국방부 보안 기준에 맞춘 시설 구축과 연계 솔루션 도입을 돕겠다는 취지다.
그러나 방산 현장의 목소리는 여전히 무겁다.
CMMC 레벨 2를 획득하기 위해서는 보안 인프라 구축과 전문 컨설팅, 최종 심사 비용 등에 업체당 최소 수억 원에서 수십억 원의 비용이 소요되는 것으로 추산된다.
게다가 준비 기간만 최소 1년 이상 걸린다. 대기업 계열 방산업체들은 전담 TF를 구성해 선제 대응에 나서고 있지만, 이들에게 부품을 납품하는 2·3차 중소 협력업체들은 예산과 전문 인력이 전무해 손을 놓고 있는 경우가 허다하다.
공급망 전체가 인증을 받아야 하는 CMMC 특성상, 하청업체 한 곳이라도 뚫리거나 인증에 실패하면 대기업의 대미 수출 길까지 동반 차단될 수 있다는 점에서 위험의 폭발력이 크다.
◇ 한국형 암호(K-CMVP) 상호인정 등 제도적 영토 넓혀야
제도적인 걸림돌도 산적해 있다.
CMMC 레벨 2 인증의 핵심 요건 중 하나는 미국 국립표준기술연구소(NIST)의 암호모듈(FIPS) 인증을 받은 제품을 사용하는 것이다.
하지만 국내 방산업체들은 우리 국정원과 국방부가 검증한 한국형 암호모듈(K-CMVP) 체계를 기반으로 장비를 운용하고 있어, 기술적 충돌과 이중 부담이 발생하고 있다.
국내 방산 안보 전문가들은 정부 차원의 'G2G(정부 간) 협상'이 시급하다고 입을 모은다.
한·미 상호방위조달협정(RDP-A) 체결 협상 등과 연계해 한국형 암호체계와 미국 암호체계 간의 상호 인정, 혹은 국산 보안 솔루션을 사용하더라도 CMMC 요건을 충족한 것으로 간주해 주는 동등성 인정을 받아내야 한다는 지적이다.
또한 국내에 공인된 제3자 인증기관(C3PAO)이 없어 미 현지 심사원을 초청해야 하는 불편과 국방 기술 유출 우려를 해소하기 위해, 국내 시험인증 기관의 CMMC 인증 역량 확보를 조속히 지원해야 한다는 목소리도 커지고 있다.
K-방산이 진정한 글로벌 초일류로 도약하기 위해서는 무기의 파괴력뿐만 아니라, 이를 둘러싼 사이버 영토를 지키는 '보안 방패'의 규격화가 시급한 시점이다.
