이노티움 국내 1호 CMMC RPO 등록…방산기업 인증 지원

[국방신문=조구현 기자] 이노티움(대표 이형택)이 미국 사이버보안 성숙도모델 인증(CMMC) 준비를 지원하는 CMMC RPO(Registered Provider Organization) 자격을 취득함에 따라 한국 방산기업의 미국시장 진출에 큰 도움을 줄 것으로 기대된다.

㈜이노티움은 지난 4월 30일 국내 1호로 CMMC 인증 컨설팅 서비스를 수행할 수 있는 조직인 CMMC RPO 자격을 미국으로부터 획득했다고 16일 밝혔다.

CMMC RPO는 CMMC의 요구사항과 기준에 따라 미국과 한국의 방산기업들의 CMMC 인증 준비를 지원하는 역할을 한다.

미 국방부는 2025년 사이버보안 성숙도모델 인증(CMMC) 제도를 시행할 예정이며, 미국에 방산물자를 수출하거나 공동연구개발을 수행하려는 기업은 CMMC 인증을 취득해야 한다.

CMMC RPO로 지정되기 위해서는 미국 CMMC 인증기관인 Cyber-AB에 등록하고 승인을 받아야 한다. 승인 조건은 조직 배경 조사를 받고 최소 1명 이상의 RP(Registered Practitioner, CMMC 컨설턴트)를 보유해야 한다.

이노티움은 RP는 물론 CMMC 레벨2 인증 컨설팅을 할 수 있는 RPA(Registered Practitioner Advanced) 인력까지 확보해 CMMC 인증 컨설팅을 할 수 있는 자격요건을 구비했다.

특히, 공인 CMMC 컨설턴트인 장경준 부사장은 다년간의 방산업체 사이버보안 업무를 수행한 전문가로, 최근 창원 소재 모 방산업체에 대한 CMMC 레벨1 인증 컨설팅을 완료하는 등 국내에서 CMMC 컨설팅에 대한 이해와 실무경험이 가장 뛰어난 것으로 평가받고 있다.

이노티움은 CMMC 관련 연구개발을 위해 명지대 CMMC 센터와도 협력하고 있다.

명지대 CMMC 센터(센터장 류연승 교수)는 CMMC RP 자격을 가진 다수의 연구원들이 CMMC 교육 콘텐츠와 컨설팅 방법론을 개발하고 있으며, 방위사업청의 K-CMMC 추진 방안, 국방기술진흥연구원의 방산중소기업 CMMC 레벨1 인증 취득을 위한 전문교육 사업을 수행한 바 있다.

이노티움 이형택 대표는 “이노티움이 국내 1호로 미국 Cyber-AB로부터 CMMC 컨설팅 조직으로 공식인증을 받음에 따라 전문인력과 경험을 바탕으로 더 발전된 CMMC 컨설팅 수행준비를 완료했다”면서 “명지대 CMMC 센터와 협력해 글로벌 경쟁력을 가진 우리 방산업체들이 미국 방산시장에 진출하는 데 일조할 예정”이라고 밝혔다.

한편, 첨단 방산기술에 대한 사이버 공격으로 인해 2016년 미국 경제에 570억 달러에서 1900억 달러 사이의 손실을 본 것으로 판단해 미국 국방부는 국방사업에 참여하는 모든 업체에 대해 일정 수준의 사이버 보안체계 구축을 의무화하기로 결정했다.

특히 러시아, 북한, 중국 등이 미국 방산업체가 보유하고 있는 국방 핵심기술 탈취를 위해 국가적 조직을 갖추고 사이버 해킹 공격을 가하자 미 국방부는 2025년부터 사이버보안 성숙도모델 인증인 CMMC 인증을 취득한 업체만 국방부 사업 계약이 가능하도록 추진하고 있다.

이에 앞서 2020년부터 CMMC 제도운영을 위해 인증기관(CYBERAB)을 설립하고 심사기관 지정, 인증평가사 양성 등의 민간 생태계를 구축하고 있으며 지금은 몇 개 국방사업에 시범 적용을 하면서 업체에 준비 기간을 주고 있다.

CMMC는 국방부와 계약하는 업체 및 그 협력업체들까지 사이버보안 성숙도 수준을 3개 등급으로 구분하여 인증을 받아야 하는 제도이다. 업체가 연방계약정보(FCI, Federal Contract Information)만 취급하는 경우에는 CMMC 1등급 인증을 취득해야 하고, 업체가 통제필요정보(CUI, Controlled Unclassified Information)를 취급하는 경우에는 정보의 중요도에 따라 CMMC 2등급 또는 3등급 인증을 취득해야 계약이 가능하다.

통제필요정보란 정부가 생산하거나 정부를 대신하여 업체가 생산하는 정보로서 기밀로 분류되지 않지만 유출되지 않도록 보호가 필요한 정보이다.

미 국방부에서 취급하는 통제필요정보의 예로서 통제기술정보(CTI, Controlled Technical Information)가 있으며, 우리나라의 방위산업기술보호법에 의해 보호되는 방위산업기술이 이에 해당된다고 할 수 있다.

CMMC 인증은 미국 업체에만 요구되는 것이 아니라 타국 업체에도 요구된다.

미국 CMMC 인증을 취득하지 못하면 미국에 방산물자 수출, 공동연구협력 등이 불가능해진다. 사실상 CMMC 인증을 통해 미국의 국방 글로벌 공급망 체계가 구축될 것으로 예상된다.

이에 따라 미국 동맹국이자 방산협력을 활발하게 하는 일본, 이스라엘 등은 CMMC 인증에 대비하여 자국의 방산업체 사이버보안 체계를 미국 CMMC 수준으로 구축하는 한편, 자국의 사이버보안 인증 취득을 CMMC 인증으로 인정받는 상호인정 협정을 위해 활발하게 움직이고 있다.

일본은 올해 4월에 방위산업 사이버보안 강화 방안을 발표하였는데, 발표된 사이버보안 지침의 내용을 보면 미국 CMMC 내용을 반영하고 있다.