2020.04.10

방위사업체가 알아야 할 '사이버보안 성숙도 모델 인증'이란?

Abigail Stokes, Marcus Childress | CSO
사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다. 
 
ⓒGetty Images Bank

미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다. 

과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.  

국방성 방위사업체는 어떤 조처를 해야 하나? 
국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다. 

국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고 있어 방위사업체는 인증 프로세스의 최신 정보를 알아 볼 수 있다. 

프레임워크 
CMMC는 5가지 인증 레벨로 나누어진다. 인증 레벨은 계약 업체 정보시스템상의 정부 기밀 정보를 보호하는 사이버보안 인프라의 성숙도와 안정성을 반영한다. 5가지 레벨은 기술적 요건에 따라 계층적으로 분류되고 구축된다. 각 레벨은 하위 레벨의 요건을 충족해야 하고, 나아가 특정한 사이버보안 기반 사례를 구현하기 위한 추가적 프로세스의 제도화를 요구한다. 

아래에서는 각 수준에 연관된 프로세스와 사례를 간략히 설명한다. 

레벨 1: 회사는 ‘기본적 사이버 위생’ 관행을 이행해야 한다. 예를 들어, 안티바이러스 소프트웨어를 이용한다거나 직원이 비밀번호를 정기적으로 변경해 FCI를 보호하는 것 등이다. FCI란 ‘공개돼서는 안 될 정보(information, not intended for public release)’를 말한다. 이는 미국 정부를 위해 제품 또는 서비스를 개발하거나 제공하는 계약 하에서 미국 정부가 제공하거나 미국 정부에 관해 생성된 정보로서, 공적 정보나 특정 거래 정보를 포함하지 않는다. 

레벨 2: 회사는 CUI를 보호하는 ‘중간 정도의 사이버 위생’ 관행을 문서화해야 한다. 이는 미국 상무부 국가표준기술연구소(NIST) 특별 간행물 800-171 개정판 2(NIST 800-171 r2)의 일부 보안 요건의 구현을 통해 이루어진다. CUI란 ‘법률, 규정, 국가 정책에서 보호 또는 유포를 제어할 수단을 요구하는 모든 정보’를 말하지만, 특정한 기밀 정보는 제외된다. 

레벨 3: 회사는 ‘우수한 사이버 위생’ 관행을 이행할 수 있는 관리 계획을 제도화해 CUI를 보호해야 한다. 여기에는 전체 NIST 800-171 r2 보안 규정 및 추가적 표준들이 포함된다. 

레벨 4: 회사는 관행의 효과를 검토하고 측정하는 프로세스를 구현해야 하고, APT의 변화하는 전술, 기법, 절차를 감지하고 대응하는 추가적 강화 관행을 확립해야 한다. APT란 여러 공격 매체를 통해 목표를 달성할 기회를 생성할 정도로 고도화된 전문성과 리소스를 가진 적을 말한다.

레벨 5: 회사는 전사적으로 배치된 프로세스는 물론이고, APT를 감지하고 대응할 수 있는 추가적 강화 대책을 표준화하고 최적화해야 한다. 

CMMC를 준수해야 하는 대상 
모든 국방성 계약 업체는 궁극적으로 CMMC 인증을 획득하도록 의무화될 것이다. 이는 공급망 내 모든 수준의 모든 공급 업체, 소기업, 상용 물품 공급 업체, 외국 공급 업체를 망라한다. CMMC 인증 기구(CMMC Accreditation Body, CMMC-AB)는 국방성과 직접 공조하며 독립적인 외부 평가 기구(CP3AOs)와 평가인을 선발하는 절차를 개발할 것이고, 이들이 방위사업체의 CMMC 레벨을 평가할 것이다. 

CMMC 컴플라이언스의 도입 시기 
미 국방성은 이르면 2020년 6월 RFI에, 그리고 2020년 9월 선별적 RFP에 최소 인증 요건을 포함할 것으로 예상한다. 또한 국방성은 일정 계약에 대해 공급망 전체에 요구되는 인증 레벨이 반드시 동일하지는 않을 것임을 시사했다. 한 계약상에서 인증 레벨이 상이할 수 있다는 것이다. 이렇게 되면 상위 계약과 하위 계약 업체의 이행 요건이 복잡해질 가능성이 있다. 

CMMC의 법적 함의와 핵심 사항 
인증 준비는 지금부터 시작한다. 인증 절차와 평가인은 아직 정해지지 않았지만, 조만간 세부적인 정보가 예상된다. 국방성은 국방성 계약 수주 경쟁을 위해 인증을 필요로 하는 계약 업체가 30만 곳이 넘을 것으로 추산한다. 준비를 일찍 시작한다면 보다 효율적 평가와 긍정적 최종 결과로 이어질 것이다. 계약 업체라면 아래와 같은 조치를 즉시 시작해야 한다. 

• CMMC 관행이나 프로세스에 이미 부합하는 관행과 절차를 요건들과 함께 명확히 문서화한다. 

• 최고 인증 레벨을 획득하기 위한 추가적 절차 및 관행을 계획하고 이행한다.

또한 1차 계약 업체는 공급망 내의 하위 계약 업체가 컴플라이언스 프로그램을 개발하거나 이미 배치된 프로그램을 점검하는 데 도움을 주어야 한다. 

정부기관과 함께 참여한다. 입찰 업체는 최소 인증 요건이 포함된 RFI와 RFP를 세심하게 검토하여 평가 레벨이 불필요하게 과중하지 않고, 공급망에 걸쳐 요구되는 인증 레벨이 충분히 명확함을 확인해야 한다. 입찰 업체는 시장 조사 단계와 RFP 질문/답변 프로세스 중에 국방성에 피드백을 제공하는 것을 고려해야 한다. 

입찰 업체가 만족할 정도로 문제가 해소되지 않았다면 입찰 업체는 수주가 타결되기 전에 이의를 제기할 수 있다. 그러나 미국회계감사원(US Government Accountability Office)과 연방청구법원(Court of Federal Claims)은 국가 안보 및 기술 요건과 관련된 쟁점에 있어서 국방성의 입장을 존중할 가능성이 높다. 

평가 문제의 전개를 추적한다. 규모를 막론하고 모든 계약 업체가 가장 우려하는 것 가운데 하나는 인증 레벨이나 감사 결과가 오류일 때 어떤 법적 절차를 이용할 수 있느냐다. CMMC 평가는 최소 계약 요건과 관련해 계약 업체에 커다란 영향을 줄 수 있고, 낮은 평가 결과는 계약 업체의 유의미한 입찰 경쟁력을 제한할 수 있다. 

현재, CMMC에는 계약 업체의 이의 제기 권리가 확립되어 있지 않다. 그러나 국방성은 이 권리가 확립될 것임을 시사한다. 가급적이면, 계약 업체는 제안된 법적 절차에 관해 국방성에 상세한 피드백을 제공해 법적 절차가 적절한 수준이 되도록 해야 한다. 

민첩하게 준비한다. CMMS 인증은 조만간 국방성 계약 수주를 위한 최소 자격 요건이 될 것이다. 그러나 인증을 받았다고 해서 사이버 컴플라이언스가 ‘끝났다’고 생각해서는 안 된다. 국방성은 CMMC가 계약 업체의 사내 사이버보안 문화를 변혁하는 출발점이고, 단순히 CMMC 인증을 취득하는 데 그치지 않고, 진화하는 위협에 대비하는 데 집중해야 함을 분명히 했다. CMMC 인증을 취득하는 것에서 나아가 사이버 탄력성 및 유연성의 문화를 함양하는 업체는 갈수록 사이버 보안 위험을 간과하지 않는 시장에서 유리한 입장에 서게 될 것이다. ciokr@idg.co.kr



2020.04.10

방위사업체가 알아야 할 '사이버보안 성숙도 모델 인증'이란?

Abigail Stokes, Marcus Childress | CSO
사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다. 
 
ⓒGetty Images Bank

미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다. 

과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.  

국방성 방위사업체는 어떤 조처를 해야 하나? 
국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다. 

국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고 있어 방위사업체는 인증 프로세스의 최신 정보를 알아 볼 수 있다. 

프레임워크 
CMMC는 5가지 인증 레벨로 나누어진다. 인증 레벨은 계약 업체 정보시스템상의 정부 기밀 정보를 보호하는 사이버보안 인프라의 성숙도와 안정성을 반영한다. 5가지 레벨은 기술적 요건에 따라 계층적으로 분류되고 구축된다. 각 레벨은 하위 레벨의 요건을 충족해야 하고, 나아가 특정한 사이버보안 기반 사례를 구현하기 위한 추가적 프로세스의 제도화를 요구한다. 

아래에서는 각 수준에 연관된 프로세스와 사례를 간략히 설명한다. 

레벨 1: 회사는 ‘기본적 사이버 위생’ 관행을 이행해야 한다. 예를 들어, 안티바이러스 소프트웨어를 이용한다거나 직원이 비밀번호를 정기적으로 변경해 FCI를 보호하는 것 등이다. FCI란 ‘공개돼서는 안 될 정보(information, not intended for public release)’를 말한다. 이는 미국 정부를 위해 제품 또는 서비스를 개발하거나 제공하는 계약 하에서 미국 정부가 제공하거나 미국 정부에 관해 생성된 정보로서, 공적 정보나 특정 거래 정보를 포함하지 않는다. 

레벨 2: 회사는 CUI를 보호하는 ‘중간 정도의 사이버 위생’ 관행을 문서화해야 한다. 이는 미국 상무부 국가표준기술연구소(NIST) 특별 간행물 800-171 개정판 2(NIST 800-171 r2)의 일부 보안 요건의 구현을 통해 이루어진다. CUI란 ‘법률, 규정, 국가 정책에서 보호 또는 유포를 제어할 수단을 요구하는 모든 정보’를 말하지만, 특정한 기밀 정보는 제외된다. 

레벨 3: 회사는 ‘우수한 사이버 위생’ 관행을 이행할 수 있는 관리 계획을 제도화해 CUI를 보호해야 한다. 여기에는 전체 NIST 800-171 r2 보안 규정 및 추가적 표준들이 포함된다. 

레벨 4: 회사는 관행의 효과를 검토하고 측정하는 프로세스를 구현해야 하고, APT의 변화하는 전술, 기법, 절차를 감지하고 대응하는 추가적 강화 관행을 확립해야 한다. APT란 여러 공격 매체를 통해 목표를 달성할 기회를 생성할 정도로 고도화된 전문성과 리소스를 가진 적을 말한다.

레벨 5: 회사는 전사적으로 배치된 프로세스는 물론이고, APT를 감지하고 대응할 수 있는 추가적 강화 대책을 표준화하고 최적화해야 한다. 

CMMC를 준수해야 하는 대상 
모든 국방성 계약 업체는 궁극적으로 CMMC 인증을 획득하도록 의무화될 것이다. 이는 공급망 내 모든 수준의 모든 공급 업체, 소기업, 상용 물품 공급 업체, 외국 공급 업체를 망라한다. CMMC 인증 기구(CMMC Accreditation Body, CMMC-AB)는 국방성과 직접 공조하며 독립적인 외부 평가 기구(CP3AOs)와 평가인을 선발하는 절차를 개발할 것이고, 이들이 방위사업체의 CMMC 레벨을 평가할 것이다. 

CMMC 컴플라이언스의 도입 시기 
미 국방성은 이르면 2020년 6월 RFI에, 그리고 2020년 9월 선별적 RFP에 최소 인증 요건을 포함할 것으로 예상한다. 또한 국방성은 일정 계약에 대해 공급망 전체에 요구되는 인증 레벨이 반드시 동일하지는 않을 것임을 시사했다. 한 계약상에서 인증 레벨이 상이할 수 있다는 것이다. 이렇게 되면 상위 계약과 하위 계약 업체의 이행 요건이 복잡해질 가능성이 있다. 

CMMC의 법적 함의와 핵심 사항 
인증 준비는 지금부터 시작한다. 인증 절차와 평가인은 아직 정해지지 않았지만, 조만간 세부적인 정보가 예상된다. 국방성은 국방성 계약 수주 경쟁을 위해 인증을 필요로 하는 계약 업체가 30만 곳이 넘을 것으로 추산한다. 준비를 일찍 시작한다면 보다 효율적 평가와 긍정적 최종 결과로 이어질 것이다. 계약 업체라면 아래와 같은 조치를 즉시 시작해야 한다. 

• CMMC 관행이나 프로세스에 이미 부합하는 관행과 절차를 요건들과 함께 명확히 문서화한다. 

• 최고 인증 레벨을 획득하기 위한 추가적 절차 및 관행을 계획하고 이행한다.

또한 1차 계약 업체는 공급망 내의 하위 계약 업체가 컴플라이언스 프로그램을 개발하거나 이미 배치된 프로그램을 점검하는 데 도움을 주어야 한다. 

정부기관과 함께 참여한다. 입찰 업체는 최소 인증 요건이 포함된 RFI와 RFP를 세심하게 검토하여 평가 레벨이 불필요하게 과중하지 않고, 공급망에 걸쳐 요구되는 인증 레벨이 충분히 명확함을 확인해야 한다. 입찰 업체는 시장 조사 단계와 RFP 질문/답변 프로세스 중에 국방성에 피드백을 제공하는 것을 고려해야 한다. 

입찰 업체가 만족할 정도로 문제가 해소되지 않았다면 입찰 업체는 수주가 타결되기 전에 이의를 제기할 수 있다. 그러나 미국회계감사원(US Government Accountability Office)과 연방청구법원(Court of Federal Claims)은 국가 안보 및 기술 요건과 관련된 쟁점에 있어서 국방성의 입장을 존중할 가능성이 높다. 

평가 문제의 전개를 추적한다. 규모를 막론하고 모든 계약 업체가 가장 우려하는 것 가운데 하나는 인증 레벨이나 감사 결과가 오류일 때 어떤 법적 절차를 이용할 수 있느냐다. CMMC 평가는 최소 계약 요건과 관련해 계약 업체에 커다란 영향을 줄 수 있고, 낮은 평가 결과는 계약 업체의 유의미한 입찰 경쟁력을 제한할 수 있다. 

현재, CMMC에는 계약 업체의 이의 제기 권리가 확립되어 있지 않다. 그러나 국방성은 이 권리가 확립될 것임을 시사한다. 가급적이면, 계약 업체는 제안된 법적 절차에 관해 국방성에 상세한 피드백을 제공해 법적 절차가 적절한 수준이 되도록 해야 한다. 

민첩하게 준비한다. CMMS 인증은 조만간 국방성 계약 수주를 위한 최소 자격 요건이 될 것이다. 그러나 인증을 받았다고 해서 사이버 컴플라이언스가 ‘끝났다’고 생각해서는 안 된다. 국방성은 CMMC가 계약 업체의 사내 사이버보안 문화를 변혁하는 출발점이고, 단순히 CMMC 인증을 취득하는 데 그치지 않고, 진화하는 위협에 대비하는 데 집중해야 함을 분명히 했다. CMMC 인증을 취득하는 것에서 나아가 사이버 탄력성 및 유연성의 문화를 함양하는 업체는 갈수록 사이버 보안 위험을 간과하지 않는 시장에서 유리한 입장에 서게 될 것이다. ciokr@idg.co.kr

X