K방산, 美 사이버보안 인증 대란

CMMC 인증 없으면 계약 취소
11월 의무화되는데 韓 기업 0곳

국내 방위산업 기업들이 미국 전쟁부(국방부)가 오는 11월 전면 시행하는 보안 인증 체계인 CMMC(사이버보안 성숙도 인증)에 무방비 상태인 것으로 나타났다.



17일 당국과 업계에 따르면 CMMC를 취득한 국내 방산 기업은 현재까지 한 곳도 없다. CMMC는 미국 함정의 유지·보수·정비(MRO)에 참여하거나 무기 체계를 수출하려는 모든 기업이 받아야 하는 필수 인증이다.

미국은 중국과 러시아, 북한발 해킹 등에 대응해 군사 정보를 보호하겠다는 명분을 내세워 CMMC 제도를 전면 도입하겠다고 7년 전 예고했다. 보안 요구 항목이 100개가 넘는 데다 이행 정도가 미흡하면 전쟁부가 언제든 개입해 수주 계약을 일방적으로 취소할 수 있다. 미국과 방산 계약을 맺는 대기업과 중견·중소기업은 모두 개별적으로 CMMC 인증을 받아야 한다.



하지만 CMMC 자체를 인지하지 못하는 기업이 수두룩하다. 한 방산 안보 전문가는 “외교안보당국이 방산 기업에 CMMC 준비를 독려해야 했는데 제대로 대응하지 못해 뒤늦게 비상이 걸렸다”고 했다. CMMC는 심사에 1~2년이 걸리고 인증 취득 비용이 수주 계약당 5억~10억원에 달한다.

美방산계약 물거품 우려에도…국내선 "CMMC가 뭐예요"
4단계 인증…134개 요건 충족해야, 재하청 협력사까지 보안인증 필요

“당장 올해 11월 10일부터 미국 정부의 보안 인증 제도가 의무화되는데 제대로 준비하는 곳이 없습니다.”

한화오션 공급망에 속한 중소 협력사 대표 A씨는 17일 미국 전쟁부(국방부)의 CMMC(사이버보안 성숙도 인증)에 관해 이렇게 말했다. 그는 “협력사들은 CMMC 개념조차 생소한 데다 원청 조선사도 어디까지 대응해야 하는지 난감해하는 분위기”라며 “미 해군의 유지·보수·정비(MRO)가 확대되면 중소 협력사까지 줄줄이 영향을 받을 수 있다”고 했다. HD현대중공업의 한 협력사 대표는 “CMMC 제도에 대한 얘기를 처음 들었다”고 말했다.

◇CMMC 없으면 ‘계약 취소’

미국 방위산업시장 진출을 노리는 국내 조선·방산업계에 사이버 보안 인증 공백이 뇌관으로 떠올랐다. ‘마스가(MASGA·미국 조선업을 다시 위대하게)’ 프로젝트 등 미국 시장 진출에 따른 기대는 커지고 있는데 정작 계약의 기본 조건인 CMMC 대응이 제대로 이뤄지지 않고 있다. CMMC는 원청 대기업은 물론 하청, 재하청 협력사까지 모두 따야 한다. 이 중 한 곳이라도 빈틈이 생기면 미 전쟁부가 재량(discretion)으로 계약을 수시로 취소할 수 있는 것으로 확인됐다.

CMMC에는 등급(레벨)이 있다. 레벨 1은 연방계약정보(FCI)를 취급하는 기업이 기본 보안 요건을 갖췄는지를 따진다. 군수지원함 수리 등이 해당한다. 레벨 2는 통제가 필요한 비기밀정보(CUI)를 취급하는 기업에 적용한다. 미국 국립표준기술연구소(NIST)의 110개 보안 요구사항을 충족해야 한다. 함정·유도무기·전투기 등 무기 체계 도면과 작전성능요구사항(ROC) 등이 대부분 CUI다. 레벨 3는 고도의 지속적인 위협(APT)에 노출될 수 있는 핵심 군사정보를 다루는 기업에 적용한다. 미 전쟁부가 직접 평가한다.



CMMC는 여러 옵션에 걸쳐 네 단계로 적용된다. 오는 11월부터 레벨 2 110개 항목에 대한 제3자인증기관(C3PAO) 인증이 의무화된다. 내년 11월엔 24개 항목이 추가된 134개 항목 레벨 3에 대해 C3PAO 인증을 받아야 하고, 그다음엔 전쟁부의 평가를 따로 받아야 한다.



전쟁부 산하 디펜스계약관리청(DCMA) 소속 디펜스산업사이버보안센터(DIBCAC)가 ‘현미경 검증’을 한다. 레벨 2 인증 준비 기간이 최소 12~18개월인 점을 감안하면 지금 시작해도 내년 11월 레벨 3 대응이 쉽지 않다. 인증을 받지 못하면 입찰 자체가 막히거나 미국 공급망에서 제외될 수 있다. CMMC가 미국 방산 조달시장에 들어가기 위한 ‘입장권’으로 바뀔 것이라는 분석이 나온다.

◇원청도 협력사도 대혼란

HD현대중공업 등 국내 대형 조선·방산업체는 뒤늦게 부랴부랴 대응에 나섰다. D사, T사 등 미국이 지정한 CMMC 공인 컨설팅 기업(RPO)과 대형 로펌·회계법인을 동원해 ‘각자도생’하고 있다. 더 큰 문제는 공급망 하단이다. 경남 거제와 울산, 부산 일대 조선·방산 협력사는 “원청에서 아직 구체적인 기준을 전달받지 못했다”고 했다.



중소기업에 CMMC는 비용과 인력 모두 부담이다. 단순히 보안 프로그램을 설치하는 수준이 아니라 전산망 구조, 클라우드 사용 방식, 외부 협력사와의 파일 공유, 임직원 계정 관리, 로그 기록 보관 체계 등을 모두 바꿔야 한다. 인증은 한 번 받는다고 끝나지 않는다. 레벨 2는 3년마다 갱신해야 하고, 매년 준수 여부를 불시에 확인받아야 한다.



이런 인증 절차에 어설프게 대응하면 미국 연방계약상 허위청구법(FCA) 위반으로 직결된다. HJ중공업 등이 하고 있는 미 해군 대상 MRO가 군수지원함 정비에 머물 땐 레벨 1 등으로 대응할 여지가 있다. 하지만 전투함 정비, 함정 공동 건조, 무기 체계 정비로 확대되면 레벨 2, 레벨 3로 격상된다. 영세 하청업체도 마찬가지다.

국내 방산업체들은 방위사업청, 국가정보원, 국군방첩사령부 등의 ‘보안측정’과 ‘통합실태조사’를 받아왔다. 그러나 이는 미국 CMMC와 기준이 상이하다. CMMC 인증을 위임받은 국내 기관도 없다. 국방부와 방위사업청은 수년 전부터 국군방첩사령부가 관할하는 국내 방산 보안 인증과 CMMC의 상호인정협정(MRA)을 추진했지만 실패한 것으로 알려졌다. 한 대형 로펌 변호사는 “정부가 나서서 국내에 거점을 둔 C3PAO를 서둘러 세워야 한다”고 지적했다.



이해성/조철오 기자 ihs@hankyung.com