미국 사이버 보안 성숙도 모델 인증(CMMC)

미국 국방부(DoD)에서는 현재 모든 해당 방산업체와 하도급업체에 NIST SP 800-171에 설명된 보안 제어를 구현할 것을 요구하고 있습니다. 이 요구사항은 대상 기관에 적용되는 DFARS 252.204-7012 계약 약정의 일부로 연방 계약 정보(FCI) 및 통제 비기밀 정보(CUI)를 보호하기 위해 마련되었습니다. 

이 요구사항을 공식화하고 NIST SP 800-171 규정 준수 여부를 확인할 수 있는 수단을 확보하기 위해 DoD에서는 사이버 보안 성숙도 모델 인증(CMMC) 프로그램을 개발하고 있습니다. 계약에 DFARS 252.204-7012 조항이 포함된 모든 DoD 계약업체는 규칙이 확정되면 계약 체결 조건으로 DoD 계약에서 요구하는 CMMC 수준을 충족해야 합니다. 

CMMC 2.0 관련 배경 

2023년 12월 26일, DoD는 공개 의견 수렴을 위해 규칙안을 발표했습니다. 의견을 제시할 수 있는 기간은 60일이며, 이 기간 이후 규칙 제정자가 의견을 검토하고 최종적으로 규칙을 발표할 예정입니다. 이 일정을 바탕으로 업계 분석가들은 최종 규칙이 2025년 초에 발표되고, 그 이후 첫 번째 계약업체가 CMMC 인증을 받게 될 것으로 예측하고 있습니다. 날짜는 정부의 의사 결정 일정에 따라 변경될 수 있습니다.

CMMC와 Google Cloud

CMMC 2.0에는 DoD 요구사항에 따라 조직에서 추구할 수 있는 세 가지 수준이 있습니다. 조직은 최종 규칙이 발표될 때까지 공식 CMMC 평가를 받을 수 없지만 Google Cloud는 Google Cloud 서비스와 Google Workspace의 FedRAMP 승인 프로세스를 지원하는 지정된 C3PAO와 함께 모의 평가에 참여하여 CMMC 레벨 2를 준비하고 있습니다. CMMC 2.0이 확정되면 Google은 클라우드 서비스 제공업체(CSP)에 대해 정의된 공식 인증 프로세스를 진행할 예정입니다.

지금까지 CMMC 인증을 받은 조직은 없지만 Google은 CMMC 2.0 프로그램을 준비하는 데 도움이 되도록 NIST SP 800-171 평가를 요청했습니다. Google의 NIST SP 800-171 페이지에서 해당 평가 보고서를 확인할 수 있습니다. 

현재 CMMC 초안에 따르면 클라우드 솔루션을 활용하여 CUI를 저장하는 계약업체는 최소한 FedRAMP 중간 승인을 유지하는 CSP를 사용해야 합니다. CMMC를 준비하는 데 도움이 되도록 Google Cloud 서비스를 사용하는 방위 산업 기반(DIB) 계약업체는 Google의 FedRAMP 시스템 보안 계획(SSP)의 일부인 FedRAMP 고객 책임 매트릭스(CRM)를 참조하여 예상되는 CMMC 규정 준수와 관련된 공유 책임 모델을 이해해야 합니다. Google 영업팀 또는 Google Cloud 담당자가 궁금한 점에 대해 답변하고 참고 문서를 제공해 드립니다.