CMMC 2.0: 새롭게 등장한 사이버 보안의 기준
새로운 사이버 보안 기준인 CMMC 2.0의 최종 규정이 발표되었다. 국방부(DoD)는 2025년부터 이 기준을 모든 국방 계약자들이 따르도록 요구할 계획이다. CMMC 2.0은 기존의 1.0과 달리 다섯 단계가 아닌 세 단계로 이루어져 있으며, 계약자가 처리하는 비밀 정보의 수준에 따라 제3자 평가를 받도록 하고 있다. 이는 기존 모델의 복잡성을 줄이고 비용을 절감하기 위한 노력의 일환으로 보인다. 그러나 자기 평가에 비해 제3자 평가를 통해 안전 기준을 충족한다고 확인된 비율이 저조하다는 점에서 현실적인 문제도 있다. 75%의 계약자가 자기 평가로는 안전하다고 생각하지만, 실제로 제3자 평가에서 안전하다고 확인된 것은 4%에 불과하다. 이는 자기 평가가 얼마나 주관적인지 보여주는 좋은 예라 할 수 있다.
국방 계약자들의 준비 부족에 대한 우려
CMMC 2.0의 도입 전에 이미 많은 국방 계약자들이 준비가 부족하다는 연구 결과가 발표되었다. 제3자 평가와 자기 평가 간의 차이는 심각한 문제를 나타내며, 이에 대한 대책 마련이 시급하다. 계약자들이 객체적으로 자신들의 사이버 보안 준비 수준을 진단할 방법을 마련해야 할 필요성이 더욱 커졌다. 이러한 상황에도 불구하고 국방부는 점진적으로 규정을 강제할 계획을 세워 계약자들에게 어느 정도의 준비 기간을 부여하고 있다. 그러나, 자발적인 준비가 부족한 상태에서는 그 효과가 제한적일 가능성이 크다. 더 많은 계약자들이 제3자 평가를 통한 실질적인 준비를 갖출 필요가 있다.
CMMC 2.0의 실효성과 법적 책임
새로운 CMMC 2.0은 사이버 보안 실행이나 프로토콜을 고의로 잘못 보고하는 개인이나 법인을 법적으로 책임질 수 있게 하는 도구를 제공한다. 이는 사이버 보안의 무게를 더 강조하는 것이며, 미국의 정보나 시스템을 위험에 빠뜨리는 행위를 방지하기 위한 강력한 수단이 될 것이다. 국방부는 이번 규정이 매년 갱신을 요구하며, 이를 통해 회사의 사이버 보안 상태를 지속적으로 감시하고 책임을 물을 수 있을 것으로 기대하고 있다. 이는 또한 업계가 감당해야 할 새로운 부담이 될 수 있다. 하지만 이런 강력한 조치는 궁극적으로 국가 안보를 더 탄탄히 하는 긍정적 결과를 가져올 것이다. 이런 새로운 규정의 효과를 극대화하기 위해 계약자들은 보다 투명하고 철저한 준비를 해야 할 것이다.