“당장 올해 11월 10일부터 미국 정부의 보안 인증 제도가 의무화되는데 제대로 준비하는 곳이 없습니다.”

한화오션 공급망에 속한 중소 협력사 대표 A씨는 17일 미국 전쟁부(국방부)의 CMMC(사이버보안 성숙도 인증)에 관해 이렇게 말했다. 그는 “협력사들은 CMMC 개념조차 생소한 데다 원청 조선사도 어디까지 대응해야 하는지 난감해하는 분위기”라며 “미 해군의 유지·보수·정비(MRO)가 확대되면 중소 협력사까지 줄줄이 영향을 받을 수 있다”고 했다. HD현대중공업의 한 협력사 대표는 “CMMC 제도에 대한 얘기를 처음 들었다”고 말했다.
美방산계약 물거품 우려에도…국내선 "CMMC가 뭐예요"

◇CMMC 없으면 ‘계약 취소’

미국 방위산업시장 진출을 노리는 국내 조선·방산업계에 사이버 보안 인증 공백이 뇌관으로 떠올랐다. ‘마스가(MASGA·미국 조선업을 다시 위대하게)’ 프로젝트 등 미국 시장 진출에 따른 기대는 커지고 있는데 정작 계약의 기본 조건인 CMMC 대응이 제대로 이뤄지지 않고 있다. CMMC는 원청 대기업은 물론 하청, 재하청 협력사까지 모두 따야 한다. 이 중 한 곳이라도 빈틈이 생기면 미 전쟁부가 재량(discretion)으로 계약을 수시로 취소할 수 있는 것으로 확인됐다.

CMMC에는 등급(레벨)이 있다. 레벨 1은 연방계약정보(FCI)를 취급하는 기업이 기본 보안 요건을 갖췄는지를 따진다. 군수지원함 수리 등이 해당한다. 레벨 2는 통제가 필요한 비기밀정보(CUI)를 취급하는 기업에 적용한다. 미국 국립표준기술연구소(NIST)의 110개 보안 요구사항을 충족해야 한다. 함정·유도무기·전투기 등 무기 체계 도면과 작전성능요구사항(ROC) 등이 대부분 CUI다. 레벨 3는 고도의 지속적인 위협(APT)에 노출될 수 있는 핵심 군사정보를 다루는 기업에 적용한다. 미 전쟁부가 직접 평가한다.

CMMC는 여러 옵션에 걸쳐 네 단계로 적용된다. 오는 11월부터 레벨 2 110개 항목에 대한 제3자인증기관(C3PAO) 인증이 의무화된다. 내년 11월엔 24개 항목이 추가된 134개 항목 레벨 3에 대해 C3PAO 인증을 받아야 하고, 그다음엔 전쟁부의 평가를 따로 받아야 한다.

전쟁부 산하 디펜스계약관리청(DCMA) 소속 디펜스산업사이버보안센터(DIBCAC)가 ‘현미경 검증’을 한다. 레벨 2 인증 준비 기간이 최소 12~18개월인 점을 감안하면 지금 시작해도 내년 11월 레벨 3 대응이 쉽지 않다. 인증을 받지 못하면 입찰 자체가 막히거나 미국 공급망에서 제외될 수 있다. CMMC가 미국 방산 조달시장에 들어가기 위한 ‘입장권’으로 바뀔 것이라는 분석이 나온다.

◇원청도 협력사도 대혼란

HD현대중공업 등 국내 대형 조선·방산업체는 뒤늦게 부랴부랴 대응에 나섰다. D사, T사 등 미국이 지정한 CMMC 공인 컨설팅 기업(RPO)과 대형 로펌·회계법인을 동원해 ‘각자도생’하고 있다. 더 큰 문제는 공급망 하단이다. 경남 거제와 울산, 부산 일대 조선·방산 협력사는 “원청에서 아직 구체적인 기준을 전달받지 못했다”고 했다.

중소기업에 CMMC는 비용과 인력 모두 부담이다. 단순히 보안 프로그램을 설치하는 수준이 아니라 전산망 구조, 클라우드 사용 방식, 외부 협력사와의 파일 공유, 임직원 계정 관리, 로그 기록 보관 체계 등을 모두 바꿔야 한다. 인증은 한 번 받는다고 끝나지 않는다. 레벨 2는 3년마다 갱신해야 하고, 매년 준수 여부를 불시에 확인받아야 한다.

이런 인증 절차에 어설프게 대응하면 미국 연방계약상 허위청구법(FCA) 위반으로 직결된다. HJ중공업 등이 하고 있는 미 해군 대상 MRO가 군수지원함 정비에 머물 땐 레벨 1 등으로 대응할 여지가 있다. 하지만 전투함 정비, 함정 공동 건조, 무기 체계 정비로 확대되면 레벨 2, 레벨 3로 격상된다. 영세 하청업체도 마찬가지다.

국내 방산업체들은 방위사업청, 국가정보원, 국군방첩사령부 등의 ‘보안측정’과 ‘통합실태조사’를 받아왔다. 그러나 이는 미국 CMMC와 기준이 상이하다. 방위사업청은 CMMC의 상호인정협정(MRA)을 추진했지만 미국 전쟁부가 지난해 5월 이를 사실상 거부하자 CMMC 인증비용 지원 사업을 신설하는 등 대책을 마련했다. 한 대형 로펌 변호사는 “정부가 나서서 국내에 거점을 둔 C3PAO를 서둘러 세워야 한다”고 지적했다.

조철오/이해성 기자 cheol@hankyung.com