미 국방부, 계약업체를 위한 사이버 표준의 첫 세트 마무리

미 국방부는 표준 계약자들이 국방부로부터 계약을 따내기 전에 지켜야하는 오랫동안 예상되었던 사이버보안 성숙 인증(CMMC) 1.0이라 불리는 새로운 절차를 따라야 할 것을 확정했다.

이 모델은 기업이 수행하는 작업에 필요한 분류 수준과 보안 수준에 따라 1애서 5까지 등급을 메기는 게층형 사이버 보안 프레임워크다.

연방계약자 무역 협회 프로페셔널 서비스 평의회 회장 겸 최고 경영자인 데이비드 버터는 "정부 및 계약자 커뮤니티는 사이버 보안 위협의 심각성을 해결하기 위해 계속 협력해야 한다. 인프라, 정보 및 공급망을 보호하기 위해 강력한 대응이 필요하다."고 말하고 "오늘 발표로 국방부는 중요한 이정표를 달성했다."고 말했다.

업계 관계자들이 1월 31일에 완성된 버전에서 알아야 할 것은 다음과 같다.

왜 그것이 필요한가?

이전에 미 국방부는 기업이 계약 입찰시 지켜야할 사이버 보안에 대한 통일된 기준을 마련하지 않았다. 회사들은 사이버 보안에 대한 특정 산업 표준을 충족한다고 주장할 수 있지만, 그러한 주장들은 감사관에 의해 테스트되지 않았고, 회사가 완료하려고 하는 일의 유형을 고려하지 않았다.  그 이후, 국방부 관계자들은 사이버 보안이 모든 접근방법에 맞는 하나의 크기가 아니라고 했다.

한편, 적들은 주요 계약자보다 의심하지 않는 하부 계층 공급업체들을 표적으로 하는 것이 더 쉽다는 것을 발견했다.

국방획득 유지보수 차관보 앨런로드는 1월 31일 국방부에서 가진 브리핑에서 기자들에게 "적들은 오늘날 거대한 힘의 경쟁 환경에서 정보와 기술이 모두 핵심 토대가 되고 하위계층 공급업체를 공격하는 것이 주 계약업체보다 훨씬 더 매력적이라는 것을 알고 있다."고 말했다.

관계자들은 적대국에 의한 사이버 절도로 미국에서 연간 약 6000억 달러의 비용이 들고 있다고 말했다.

무엇이 변할 것인가?

계약은 입찰자들이 특정한 일거리를 얻기 위해 일정 수준의 인증을 받도록 할 것이다. 예를들어, 기업이 극도로 민감한 정보를 가진 계약에 입찰하지 않는다면, 그들은 비밀번호 변경과 바이러스 백신 소프트웨어 실행과 같은 기본적인 사이버 보안과 관련된 첫번째 수준의 인증만 달성해야 한다. 좀 더 민감한 프로그램은 더 엄격한 통제를 필요로 할 것이다.

국방부 획득 담당 차관실 획득 인증 담당 수석 정보 보안 담당자 케이트 애링턴은 그러나, 공급 아래 있는 작은 회사들은 주계역업체와 같은 수준의 인증을 받지 않아도 될 것이라고 말했다.

새로운 절차와 함께 또다른 중요한 변화는 인증 위원회와 심사원의 설립니다. 위원회는 국방부와는 별도의 외부기관으로, 평가 과정에서 회사를 인증하기 위한 평가자 승인을 받는다.

인증 기구는 이달 초 구성되었고 관계자들은 공인 제3자 평가기구(C3PAO)로 불리는 심사원 식별 및 교육에 힘쓰고 있다.

그 다음은?

관계자들은 1월 31일 CMMC가 기업들이 변화의 준비가 되어 있지 않은지 확인하기 위해 기어가고, 걷고, 달리는 방식을 따를 것이라고 설명했다. 인증위원회는 인증을 감독할 감사인을 교육하는 과정에 있다. 일단 요건이 충족되면 회사의 인증은 3년간 유효하다.

한편, 국방부는 올해 새로운 사이버 표준을 담은 정보 요청서 10건과 제안서 요청 10건을 공개할 예정이다. 첫번째 통지는 빠르면 6월에 나올 수 있다.

애링턴씨는 이번주 초에 2021년 말까지 1,500개 기업이 인증을 받을 것으로 예상한다고 밝혔다.

그녀는 2026 회계연도 시작되는 모든 새로운 계약에는 사이버 보안 요건이 포함될 것이라고 덧붙였지만, 로드 차관은 이전의 계약에 소급되지는 않을 것이라고 언급했다.