폴란드에 K2 전차를 납품한 한국 방산업체, 호주에 군용 소프트웨어를 공급하는 국내 IT 기업, 미국 방산 프라임의 부품을 생산하는 중소 제조사. 이들의 공통점이 있습니다. 미국 DoD 공급망과 직간접적으로 연결되어 있고, CMMC 요구사항에서 자유롭지 않습니다.
항공우주, 부품 제조, IT/소프트웨어 서비스, 엔지니어링, R&D, 방산 물류, MRO, 통신/위성, 연구기관까지 DoD 계약서에 DFARS 조항이 한 줄이라도 들어가 있다면 한국 기업도 예외가 없습니다. 2025년 11월부터 본격 시행된 CMMC 2.0은 프라임 계약자뿐 아니라 하청의 하청까지 포함하며, 전 세계 220,000개 이상의 기업이 직접 영향을 받고 있습니다.
충격의 크기는 기업마다 다르지만 방향은 같습니다. 인증 없이는 입찰 자격이 없어집니다. 한국 방산 수출이 빠르게 성장하는 지금, CMMC 준비 여부가 미국 시장과 동맹국 공급망 편입의 실질적 조건이 되어가고 있습니다. 먼저 준비한 기업이 기회를 가져갑니다.
* CMMC : 사이버 보안 성숙도
CMMC Level 2는 NIST SP 800-171을 기반으로 합니다. 14개 도메인, 110개 요구사항입니다. 문서 제출로 끝나지 않습니다. 제3자 평가기관(C3PAO)이 실제 기술 구현 여부와 운영 증빙을 직접 확인합니다. "정책은 있지만 시스템이 없다"는 변명은 통하지 않습니다. 110개 요구사항 중 기술적 통제가 필요한 핵심 도메인은 다음과 같습니다.
| 도메인 | 핵심 내용 | 요구사항 수 |
| 접근통제 (AC) | 인가된 사용자·디바이스만 접근 허용, 원격 접근 통제 | 22개 |
| 감사 및 책임 (AU) | 사용자 활동 로그 생성·보호·검토 | 9개 |
| 형상관리 (CM) | 자산 기준선 수립 및 미승인 소프트웨어 통제 | 9개 |
| 식별 및 인증 (IA) | 사용자·디바이스 인증, MFA 적용 | 11개 |
| 시스템 무결성 (SI) | 악성코드 탐지, 보안 모니터링 | 7개 |
| 위험평가 (RA) | 주기적 취약점 점검 | 3개 |
이 요구사항들의 공통된 출발점이 있습니다. "지금 내 네트워크에 무엇이 연결되어 있는가"를 아는 것입니다.
CMMC 준비를 시작할 때 평가기관과 컨설턴트들이 가장 먼저 던지는 질문이 있습니다.
"지금 이 순간 귀사 네트워크에 연결된 모든 디바이스를 파악하고 있습니까?"
이 질문이 출발점인 이유는 명확합니다. 직원 노트북, 회사 지급 스마트폰, 개인 태블릿, 프린터, 제조 라인의 PLC, 방문자 와이파이 연결 디바이스. 이것들 중 어디까지가 CUI(통제비밀정보)가 흐르는 네트워크에 접근할 수 있는지 파악하지 못한 상태에서는 어떤 보안 솔루션을 추가해도 공백이 남습니다.
CMMC 심사에서 C3PAO가 가장 먼저 확인하는 것 중 하나가 자산 인벤토리입니다. 무엇을 보호해야 하는지 모르는 기업이 보호를 증명할 수는 없습니다.
통제할 수 없는 것은 보호할 수 없습니다.
네트워크 접근 제어(NAC)는 네트워크에 연결을 시도하는 모든 디바이스를 식별하고, 정책에 따라 접근을 허용하거나 차단하는 기술입니다. Genian NAC는 Layer 2 수준에서 디바이스를 식별합니다. IP 주소 할당 전 단계에서부터 디바이스의 유형, 제조사, 운영체제, 설치 소프트웨어, 보안 패치 상태를 파악합니다. CMMC 맥락에서 이것이 갖는 의미는 구체적입니다.
글로벌 방산 공급망 기업들의 공통점이 있습니다. 미국 본사 또는 프라임 계약자와의 협업을 위해 원격 접근이 필수적이라는 것입니다. 싱가포르 엔지니어가 미국 DoD 시스템 관련 문서에 접근하고, 브라질 개발팀이 미국 파트너와 협업하고, UAE 유지보수 인력이 원격으로 시스템을 지원합니다. 전통적인 VPN으로는 CMMC의 원격 접근 요구사항을 충족하기 어렵습니다. VPN은 인증 후 네트워크 전체에 대한 접근을 허용하는 구조입니다. 계정 하나가 탈취되면 네트워크 전체가 위험에 노출됩니다.
CMMC AC.L2-3.1.12(원격 접근 세션의 모니터링·제어·암호화)와 AC.L2-3.1.14(권한 있는 명령의 원격 실행 제한)는 이 구조로는 충족하기 어려운 요구사항들입니다. Genian ZTNA는 다르게 작동합니다. 사용자, 디바이스, 접속 컨텍스트를 매 세션마다 검증하고, 필요한 애플리케이션에만 최소 권한으로 접근을 허용합니다. Microsoft Entra ID, Okta 등 기업이 이미 사용하는 IdP와 연동해 MFA를 강제함으로써 IA.L2-3.5.3 요구사항을 충족합니다.
원격 협력사와 외주 인력이 많은 글로벌 공급망 환경에서 ZTNA는 VPN의 현실적 대안입니다.
네트워크 레이어의 가시성과 엔드포인트 레이어의 가시성은 서로 다른 것을 보여줍니다. NAC는 "어떤 디바이스가 네트워크에 연결되어 있는가"를 파악합니다. EDR은 "그 디바이스 안에서 무슨 일이 일어나고 있는가"를 추적합니다.
Genian Insights E(EDR)는 엔드포인트에서 발생하는 프로세스 행위, 파일 변경, 네트워크 통신을 실시간으로 탐지합니다. SI.L2-3.14.2(악성코드 탐지 및 대응)와 SI.L2-3.14.6(시스템 보안 모니터링) 요구사항에 대응합니다.
NAC와 EDR 데이터를 SIEM과 통합할 때 효과가 극대화됩니다. 네트워크 레이어의 맥락(어떤 디바이스인지, 어디서 접속했는지, 정책 준수 상태)과 엔드포인트 레이어의 행위 데이터가 결합되면 단일 솔루션으로는 불가능한 수준의 위협 상관분석이 가능해집니다.
CMMC 110개 요구사항 전체를 단일 제품으로 충족할 수 있다고 주장하는 벤더가 있다면 주의가 필요합니다. CMMC는 기술, 프로세스, 사람이 모두 맞물려야 하는 체계입니다. 지니언스 NAC, ZTNA, EDR이 기여하는 영역과 그렇지 않은 영역을 명확히 구분합니다.
중요한 것은 각 솔루션이 맡은 레이어에서 실제로 작동하는 기술 통제를 제공하는지 여부입니다.
한국에서도 CMMC와 구조적으로 유사한 흐름이 나타나고 있습니다. 국방부가 추진하는 K-RMF(한국형 위험관리 프레임워크)는 무기체계 전 수명주기에 걸친 사이버 위험 관리를 요구하며, NIST 800-53을 기반으로 설계됐습니다. CMMC의 기반인 NIST SP 800-171이 NIST 800-53의 방산 특화 서브셋이라는 점에서, 두 체계의 요구사항은 상당 부분 겹칩니다.
미국 시장 진출을 준비하면서 동시에 K-RMF 대응도 필요한 기업이라면, NAC+ZTNA+EDR 기반의 기술 통제 체계는 두 프레임워크에 공통으로 기여할 수 있습니다.
CMMC 준비는 복잡하지만 순서가 있습니다. 지니언스는 1단계와 4단계에서 실질적인 기술 기반을 제공합니다.
CMMC 대응을 검토 중이시거나 현재 보안 아키텍처가 어느 요구사항을 충족하는지 확인하고 싶으시다면 문의해 주십시오.