미국 사이버 보안 성숙도 모델 인증(CMMC)

미국 국방부(DoD)는 현재 모든 해당 방산업체와 하도급업체에 NIST SP 800-171 r2에 설명된 보안 제어를 구현할 것을 요구하고 있습니다. 이 요구사항은 대상 기관에 적용되는 DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting(보호 대상 국방 정보 및 사이버 사고 보고), 계약 약정의 일부로 통제 비기밀 정보(CUI)를 보호하기 위해 마련되었습니다. 연방 계약 정보(FCI)를 처리하는 연방 계약업체(국방 계약업체 포함)는 FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems(대상 계약업체 정보 시스템의 기본 보호)에 명시된 보안 요구사항을 준수해야 합니다.

이 요구사항을 공식화하고 NIST SP 800-171 r2 규정 준수 여부를 확인할 수 있는 수단을 확보하기 위해 DoD에서는 사이버 보안 성숙도 모델 인증(CMMC) 프로그램을 공식적으로 시작하기 위해 32 CFR part 170 CMMC 프로그램 규칙을 2024년 10월 15일에 게시했으며 2024년 12월 16일부터 효력이 발생합니다. 새로운 32 CFR part 170 CMMC 프로그램 규칙 외에도 DoD는 DFARS를 수정하고 새로운 32 CFR part 170 CMMC 프로그램 규칙과 관련된 요구사항을 해결하기 위한 조달 규칙(48 CFR part 204 CMMC 조달 규칙)을 제안했습니다. 48 CFR part 204 CMMC 조달 규칙은 DFARS 252.204-7021을 업데이트하여 대상 계약업체 및 하도급업체가 계약 기간 동안 요구되는 수준의 CMMC 인증을 취득하고 유지하도록 요구할 것으로 예상됩니다. 즉, 앞으로 몇 달 내에 최종 확정되면 계약업체는 DoD 계약에 CMMC 규정 준수를 요구하는 업데이트된 DFARS 252.204-7021 조항이 포함된 것을 확인할 수 있습니다. DFARS 252.204-7021 및 해당 CMMC 요구사항이 단계적으로 계약에 적용되고 있지만 이미 FCI 또는 CUI를 처리하는 DoD 계약업체는 자발적으로 CMMC 규정 준수 상태를 추구할 수 있습니다. Google Cloud는 DoD 계약업체가 CMMC 규정 준수 요구사항을 충족하도록 지원할 준비가 되어 있습니다.

CMMC의 3가지 레벨은 무엇인가요?

CMMC 프로그램에는 3가지 레벨이 있습니다. 레벨 1은 FAR 52.204-21에 부합하는 15가지 요구사항을 검증하도록 설계되었습니다. 레벨 2는 110가지 NIST SP 800-171 r2 요구사항을 검증하도록 설계되었습니다. 레벨 3은 여기에 24개의 추가 NIST SP 800-172 요구사항을 검증합니다. 자세한 내용은 아래를 참조하세요.

레벨 1: FCI 기본 보호

중점: FCI 보호(예: 계약 번호 및 배송 일정과 같은 기본 정보) 이 레벨은 국가 안보에 중요한 정보를 관리하지 않는 소규모 조직을 위해 보다 간단하게 설계되었습니다.
요구사항: 15가지 기본적인 사이버 보안 관행. 예: 비밀번호를 정기적으로 변경하고 바이러스 백신 소프트웨어를 사용합니다.
평가: 연간 자체 평가.
적용 범위: FCI를 어느 정도 처리하는 모든 계약업체에 필요합니다. 가장 일반적인 레벨입니다.

레벨 2: CUI의 광범위한 보호

중점: CUI 보호(예: 보호 또는 배포 제어 대상인 민감한 정보) 이 레벨은 국가 안보에 중요한 정보를 보호하기 위해 설계되었습니다.
요구사항: NIST SP 800-171 r2에 부합하는 110가지 보안 요구사항. 예: 시스템 보안 계획(SSP)을 유지하고, CUI 애셋을 식별, 로깅, 모니터링하고, 취약점을 식별하고 해결하기 위한 취약점 스캔 프로그램을 구현합니다.
평가: 계약을 통해 정의됩니다. 일부 계약에는 자체 평가가 필요할 수 있지만 다른 계약에는 CMMC 서드 파티 평가 조직(C3PAO)의 서드 파티 평가가 필요할 수 있습니다.
적용 범위: CUI를 다루는 계약업체에 필요합니다.

레벨 3: 지능형 지속적 위협으로부터 CUI를 보호하는 고급 수준의 보호

중점: 중요한 프로그램의 매우 민감한 CUI 보호. 지능형 지속적 위협(APT)으로부터 보호하기 위한 추가적인 보호 장치에 중점을 둡니다.
요구사항: 모든 레벨 2 요구사항과 더불어 강화된 보안을 위한 NIST SP 800-172의 추가 관행. 예: 종합적인 사고 대응 계획을 수립하고, 종합적인 지속적 모니터링 프로그램을 구현하며, 공급망 보안 위험을 평가 및 관리합니다.
평가: 방위 산업 기반 사이버 보안 평가 센터(DIBCAC)의 정부 주도 평가
적용 범위: 가장 민감한 정부 프로젝트를 수행하는 계약업체에 필요합니다. 가장 드문 레벨입니다.
기본 요건: 계약업체가 CMMC 레벨 3을 추구하기 전에 CMMC 레벨 2를 이미 취득해야 합니다.

기본적으로 CMMC 레벨이 높을수록 취급하는 데이터의 민감도가 높고 사이버 보안 요구사항이 더 엄격해집니다. 특정 계약에 필요한 레벨은 관련된 정보의 유형과 프로젝트의 민감도에 따라 다릅니다.

CMMC 지원을 위한 Google Cloud 및 Google Workspace

고객은 Google의 FedRAMP 기준을 활용하고 시스템을 구성하여 FedRAMP 규정 준수를 지원함으로써 모든 수준에서 CSP 관련 CMMC 요구사항을 준수하기 위해 Google Cloud와 Google Workspace를 사용할 수 있습니다. Google Cloud 및 Google Workspace는 정의된 서비스에 대해 FedRAMP 중위 및 FedRAMP 상위 운영 권한(ATO)을 모두 유지합니다. 모든 FedRAMP 중간 및 FedRAMP 높음 서비스는 CSP에 대한 NIST 800-171 r2 요구사항을 준수합니다. 고객은 FedRAMP 규정 준수를 지원하도록 시스템을 구성할 때 Google의 FedRAMP 시스템 보안 계획의 일부인 FedRAMP 고객 책임 매트릭스(CRM)를 사용해야 합니다.

요청 시 Google은 고객에게 CMMC 엔클레이브 설정을 지원하는 구현 가이드와 요구사항 검증을 지원하는 C3PAO(공인 서드 파티 감사 조직) CMMC 규정 준수 증명서를 제공할 수 있습니다. Google 영업팀 또는 Google Cloud 담당자가 관련 문서에 액세스할 수 있도록 도움을 드릴 수 있습니다.

CMMC 레벨 1 규정 준수가 필요한 DoD 계약업체의 경우 모든 Google Cloud 제품이 규정 준수 요구사항을 지원할 수 있습니다. CUI를 관리하는 DoD 계약업체는 CMMC 레벨 2 또는 레벨 3 규정 준수를 달성하기 위해 최소한 FedRAMP 중간 승인 클라우드 서비스를 제공하는 클라우드 솔루션을 활용해야 합니다. Google Cloud 서비스를 사용하여 이 기준을 충족하려는 고객은 여기에 나열된 FedRAMP 승인 서비스를 활용할 수 있습니다.

Google Cloud 고객은 소프트웨어 정의 경계 내에 배포할 경우 FedRAMP 중간 또는 FedRAMP 높음 규제 제어 패키지를 선택해야 합니다. 위에서 언급했듯이 고객은 FedRAMP 규정 준수를 지원하도록 시스템을 구성할 때 Google의 FedRAMP SSP의 일부인 FedRAMP CRM을 사용해야 합니다.

Google Workspace 고객은 CMMC를 준수하는 범위 내에서 FedRAMP 중간 또는 FedRAMP 높음 서비스만 사용하도록 해야 합니다. 필요한 경우 고객은 아직 FedRAMP 승인을 받지 않은 서비스를 사용 중지할 수 있습니다.

미국 내에서만 데이터를 저장해야 하는 고객은 FedRAMP 높음 서비스(Assured Workloads 또는 Assured Controls Plus로 구성됨)와 FedRAMP CRM을 활용해야 합니다. 이렇게 하면 고객 데이터가 미국 내 Google 데이터 센터 리전에 저장됩니다. 고객은 데이터 상주 요구사항을 충족하기 위해 IL2, IL4, IL5용 Google 솔루션을 사용할 수도 있습니다. Google에서는 고객이 Google Workspace FedRAMP 구성 가이드에 따라 CMMC 규정 준수를 지원할 것을 권장합니다.