지니언스 기술 블로그

CMMC 준비, 네트워크 가시성에서 시작해야 하는 이유 

작성자: Genians | Jul 2, 2026 12:31:32 AM

CMMC는 K-방산 수출 기업의 이야기입니다

폴란드에 K2 전차를 납품한 한국 방산업체, 호주에 군용 소프트웨어를 공급하는 국내 IT 기업, 미국 방산 프라임의 부품을 생산하는 중소 제조사. 이들의 공통점이 있습니다. 미국 DoD 공급망과 직간접적으로 연결되어 있고, CMMC 요구사항에서 자유롭지 않습니다.

항공우주, 부품 제조, IT/소프트웨어 서비스, 엔지니어링, R&D, 방산 물류, MRO, 통신/위성, 연구기관까지 DoD 계약서에 DFARS 조항이 한 줄이라도 들어가 있다면 한국 기업도 예외가 없습니다. 2025년 11월부터 본격 시행된 CMMC 2.0은 프라임 계약자뿐 아니라 하청의 하청까지 포함하며, 전 세계 220,000개 이상의 기업이 직접 영향을 받고 있습니다.

충격의 크기는 기업마다 다르지만 방향은 같습니다. 인증 없이는 입찰 자격이 없어집니다. 한국 방산 수출이 빠르게 성장하는 지금, CMMC 준비 여부가 미국 시장과 동맹국 공급망 편입의 실질적 조건이 되어가고 있습니다. 먼저 준비한 기업이 기회를 가져갑니다.

* CMMC : 사이버 보안 성숙도

 

CMMC Level 2가 실제로 요구하는 것

CMMC Level 2는 NIST SP 800-171을 기반으로 합니다. 14개 도메인, 110개 요구사항입니다. 문서 제출로 끝나지 않습니다. 제3자 평가기관(C3PAO)이 실제 기술 구현 여부와 운영 증빙을 직접 확인합니다. "정책은 있지만 시스템이 없다"는 변명은 통하지 않습니다. 110개 요구사항 중 기술적 통제가 필요한 핵심 도메인은 다음과 같습니다.

도메인 핵심 내용 요구사항 수
접근통제 (AC) 인가된 사용자·디바이스만 접근 허용, 원격 접근 통제 22개
감사 및 책임 (AU) 사용자 활동 로그 생성·보호·검토 9개
형상관리 (CM) 자산 기준선 수립 및 미승인 소프트웨어 통제 9개
식별 및 인증 (IA) 사용자·디바이스 인증, MFA 적용 11개
시스템 무결성 (SI) 악성코드 탐지, 보안 모니터링 7개
위험평가 (RA) 주기적 취약점 점검 3개


이 요구사항들의 공통된 출발점이 있습니다. "지금 내 네트워크에 무엇이 연결되어 있는가"를 아는 것입니다.

 

가장 먼저 해야 할 질문

CMMC 준비를 시작할 때 평가기관과 컨설턴트들이 가장 먼저 던지는 질문이 있습니다.

  • "지금 이 순간 귀사 네트워크에 연결된 모든 디바이스를 파악하고 있습니까?"

이 질문이 출발점인 이유는 명확합니다. 직원 노트북, 회사 지급 스마트폰, 개인 태블릿, 프린터, 제조 라인의 PLC, 방문자 와이파이 연결 디바이스. 이것들 중 어디까지가 CUI(통제비밀정보)가 흐르는 네트워크에 접근할 수 있는지 파악하지 못한 상태에서는 어떤 보안 솔루션을 추가해도 공백이 남습니다.

CMMC 심사에서 C3PAO가 가장 먼저 확인하는 것 중 하나가 자산 인벤토리입니다. 무엇을 보호해야 하는지 모르는 기업이 보호를 증명할 수는 없습니다.

통제할 수 없는 것은 보호할 수 없습니다.

 

NAC: CMMC 기술 통제의 기초 레이어

네트워크 접근 제어(NAC)는 네트워크에 연결을 시도하는 모든 디바이스를 식별하고, 정책에 따라 접근을 허용하거나 차단하는 기술입니다. Genian NAC는 Layer 2 수준에서 디바이스를 식별합니다. IP 주소 할당 전 단계에서부터 디바이스의 유형, 제조사, 운영체제, 설치 소프트웨어, 보안 패치 상태를 파악합니다. CMMC 맥락에서 이것이 갖는 의미는 구체적입니다.

  • 접근통제(AC) 대응: 미승인 디바이스의 네트워크 접근을 차단하고, 인가된 디바이스만 CUI 구역에 접근하도록 합니다. AC.L2-3.1.1(인가된 사용자 접근 제한), AC.L2-3.1.3(CUI 흐름 통제)에 직접 대응하는 기술 통제입니다.
  • 형상관리(CM) 대응: 전체 자산 목록을 실시간으로 유지하고 기준선에서 벗어난 디바이스를 탐지합니다. CM.L2-3.4.1(기준선 구성 수립) 요구사항의 기술적 증빙을 자동으로 생성합니다.
  • 감사(AU) 대응: 누가, 언제, 어떤 디바이스로, 어느 네트워크 구역에 접속했는지 기록합니다. 이 로그는 CMMC 심사에서 AU.L2-3.3.1(감사 기록 생성 및 보호)의 핵심 증빙이 됩니다. SIEM과 연동하면 AU.L2-3.3.5(상관분석 기반 이상 탐지)까지 대응 범위가 확장됩니다.

 

ZTNA: 원격 접근 통제의 현대화

글로벌 방산 공급망 기업들의 공통점이 있습니다. 미국 본사 또는 프라임 계약자와의 협업을 위해 원격 접근이 필수적이라는 것입니다. 싱가포르 엔지니어가 미국 DoD 시스템 관련 문서에 접근하고, 브라질 개발팀이 미국 파트너와 협업하고, UAE 유지보수 인력이 원격으로 시스템을 지원합니다. 전통적인 VPN으로는 CMMC의 원격 접근 요구사항을 충족하기 어렵습니다. VPN은 인증 후 네트워크 전체에 대한 접근을 허용하는 구조입니다. 계정 하나가 탈취되면 네트워크 전체가 위험에 노출됩니다.

CMMC AC.L2-3.1.12(원격 접근 세션의 모니터링·제어·암호화)와 AC.L2-3.1.14(권한 있는 명령의 원격 실행 제한)는 이 구조로는 충족하기 어려운 요구사항들입니다. Genian ZTNA는 다르게 작동합니다. 사용자, 디바이스, 접속 컨텍스트를 매 세션마다 검증하고, 필요한 애플리케이션에만 최소 권한으로 접근을 허용합니다. Microsoft Entra ID, Okta 등 기업이 이미 사용하는 IdP와 연동해 MFA를 강제함으로써 IA.L2-3.5.3 요구사항을 충족합니다.

원격 협력사와 외주 인력이 많은 글로벌 공급망 환경에서 ZTNA는 VPN의 현실적 대안입니다.

 

EDR: 엔드포인트에서 완성되는 보안 가시성

네트워크 레이어의 가시성과 엔드포인트 레이어의 가시성은 서로 다른 것을 보여줍니다. NAC는 "어떤 디바이스가 네트워크에 연결되어 있는가"를 파악합니다. EDR은 "그 디바이스 안에서 무슨 일이 일어나고 있는가"를 추적합니다.

Genian Insights E(EDR)는 엔드포인트에서 발생하는 프로세스 행위, 파일 변경, 네트워크 통신을 실시간으로 탐지합니다. SI.L2-3.14.2(악성코드 탐지 및 대응)와 SI.L2-3.14.6(시스템 보안 모니터링) 요구사항에 대응합니다.

NAC와 EDR 데이터를 SIEM과 통합할 때 효과가 극대화됩니다. 네트워크 레이어의 맥락(어떤 디바이스인지, 어디서 접속했는지, 정책 준수 상태)과 엔드포인트 레이어의 행위 데이터가 결합되면 단일 솔루션으로는 불가능한 수준의 위협 상관분석이 가능해집니다.

 

지니언스가 커버하는 영역, 그리고 솔직한 한계

CMMC 110개 요구사항 전체를 단일 제품으로 충족할 수 있다고 주장하는 벤더가 있다면 주의가 필요합니다. CMMC는 기술, 프로세스, 사람이 모두 맞물려야 하는 체계입니다. 지니언스 NAC, ZTNA, EDR이 기여하는 영역과 그렇지 않은 영역을 명확히 구분합니다.

  • 직접 기술 통제를 제공하는 영역: 접근통제(AC), 형상관리(CM), 식별 및 인증(IA 일부), 감사(AU), 시스템 무결성(SI)에서 기술적 증빙 생성과 통제 실행을 담당합니다.
  • 연동을 통해 보완하는 영역: SIEM 연동으로 AU 도메인 상관분석을 강화하고, 취약점 스캐너 연동으로 RA 도메인을 보완하며, IdP, MFA 솔루션 연동으로 IA 도메인을 강화합니다. 차세대 방화벽(NGFW) 연동으로 네트워크 트래픽 기반의 위협 탐지와 SC 도메인 시스템·통신 보호 요구사항을 보완하고, IT 서비스 관리(ITSM) 및 GRC 플랫폼 연동으로 자산 데이터, 취약점 정보, 사고 이력을 통합 관리함으로써 C3PAO 심사에 필요한 증빙 패키지 생성과 POA&M 추적을 자동화할 수 있습니다. 지니언스는 이러한 연동을 위한 표준 API와 사전 구성된 커넥터를 제공하여 기업이 기존 보안 인프라와 빠르게 통합할 수 있도록 지원합니다.
  • 지니언스 범위 밖에 있는 영역: FIPS 140-2 인증 암호 모듈(SC 도메인 일부), 물리적 보안 시스템(PE 도메인), 보안 인식 교육 플랫폼(AT 도메인), 인원 보안 프로세스(PS 도메인)는 별도 솔루션과 프로세스가 필요합니다.

중요한 것은 각 솔루션이 맡은 레이어에서 실제로 작동하는 기술 통제를 제공하는지 여부입니다.

 

K-방산과 CMMC의 연결 고리

한국에서도 CMMC와 구조적으로 유사한 흐름이 나타나고 있습니다. 국방부가 추진하는 K-RMF(한국형 위험관리 프레임워크)는 무기체계 전 수명주기에 걸친 사이버 위험 관리를 요구하며, NIST 800-53을 기반으로 설계됐습니다. CMMC의 기반인 NIST SP 800-171이 NIST 800-53의 방산 특화 서브셋이라는 점에서, 두 체계의 요구사항은 상당 부분 겹칩니다.

미국 시장 진출을 준비하면서 동시에 K-RMF 대응도 필요한 기업이라면, NAC+ZTNA+EDR 기반의 기술 통제 체계는 두 프레임워크에 공통으로 기여할 수 있습니다.

 

CMMC 준비를 위한 현실적 단계

CMMC 준비는 복잡하지만 순서가 있습니다. 지니언스는 1단계와 4단계에서 실질적인 기술 기반을 제공합니다.

  • 1단계: 자산 식별
    • 네트워크에 무엇이 연결되어 있는지 파악합니다. NAC가 이 단계의 기술적 기반입니다.
  • 2단계: CUI 흐름 파악
    • CUI가 어디에 저장되고, 어디로 이동하고, 누가 접근하는지 매핑합니다.
  • 3단계: 갭 분석
    • 110개 요구사항 대비 현재 기술 통제와 프로세스의 현황을 평가합니다.
  • 4단계: 기술 통제 구현
    • 식별된 갭에 대한 솔루션을 적용합니다. NAC·ZTNA·EDR은 이 단계의 핵심 레이어를 담당합니다.
  • 5단계: 증빙 패키지 준비
    • C3PAO 심사를 위한 SSP(시스템 보안 계획), POA&M(조치 계획 및 마일스톤), 감사 로그 등 문서를 준비합니다. (CMMC 공식 인증을 위해서는 CMMC Accreditation Body(CyberAB)에서 인가한 C3PAO 또는 전문 컨설팅 기관을 통해 공식 확인을 받으시기 바랍니다.)

CMMC 대응을 검토 중이시거나 현재 보안 아키텍처가 어느 요구사항을 충족하는지 확인하고 싶으시다면 문의해 주십시오.