미국 사이버 보안 성숙도 모델 인증(CMMC)

미국 국방부(DoD)는 모든 방위 산업 기반(DIB) 계약업체와 하도급업체에 DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting(보호 대상 국방 정보 및 사이버 사고 보고)에 설명된 통제 대상 비기밀 정보(CUI)를 보호하기 위해 NIST SP 800-171 r2에 설명된 보안 제어를 구현할 것을 요구하고 있습니다. 연방 계약 정보(FCI)를 처리하는 연방 계약업체(국방 계약업체 포함)는 FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems(대상 계약업체 정보 시스템의 기본 보호)에 명시된 보안 요구사항도 준수해야 합니다.

NIST SP 800-171 r2 규정 준수를 공식화하고 검증하기 위해 DoD는 2024년 10월 15일에 32 CFR part 170 CMMC 프로그램 규칙을 통해 CMMC 프로그램을 시작했으며, 이 규칙은 2024년 12월 16일부터 시행됩니다. 제안된 인수 규칙(48 CFR part 204)은 DFARS 252.204-7021을 개정하여 대상 계약업체에 CMMC 인증을 요구할 예정입니다. 이 규칙이 확정되면 CMMC 규정 준수가 DoD 계약에 단계적으로 도입됩니다. Google Cloud와 Google Workspace는 계약업체가 이러한 요구사항을 충족하도록 지원할 준비가 되어 있습니다.

CMMC의 3가지 레벨은 무엇인가요?

CMMC 프로그램에는 3가지 레벨이 있습니다.

레벨 1: FCI 기본 보호

  • 중점: FCI 보호(예: 계약 번호 및 배송 일정과 같은 기본 정보). 이 레벨은 국가 안보에 중요한 정보를 관리하지 않는 소규모 조직을 위해 보다 간단하게 설계되었습니다. 
  • 요구사항: 15가지 기본적인 사이버 보안 관행(예: 비밀번호를 정기적으로 변경하고 바이러스 백신 소프트웨어를 사용).
  • 평가: 연간 자체 평가.
  • 적용 범위: FCI를 어느 정도 처리하는 모든 계약업체에 필요합니다. 가장 일반적인 레벨입니다.

레벨 2: CUI의 광범위한 보호

  • 중점: CUI 보호(예: 보호 또는 배포 제어 대상인 민감한 정보) 이 레벨은 국가 안보에 중요한 정보를 보호하기 위해 설계되었습니다.
  • 요구사항: NIST SP 800-171 r2에 부합하는 110가지 보안 요구사항(예: 시스템 보안 계획(SSP) 유지, CUI 애셋 식별, 로깅, 모니터링, 취약점 스캔 프로그램을 구현하여 보안 취약점 식별 및 해결).
  • 평가: 계약을 통해 정의됩니다. 일부 계약에는 자체 평가가 필요할 수 있지만 다른 계약에는 CMMC 서드 파티 평가 조직(C3PAO)의 서드 파티 평가가 필요할 수 있습니다.
  • 적용 범위: CUI를 다루는 계약업체에 필요합니다.

레벨 3: 지능형 지속적 위협으로부터 CUI를 보호하는 고급 수준의 보호

  • 중점: 중요한 프로그램의 매우 민감한 CUI 보호. 지능형 지속 위협(APT)으로부터 보호하기 위한 추가적인 보호 장치에 중점을 둡니다.
  • 요구사항: 모든 레벨 2 요구사항과 더불어 강화된 보안을 위한 NIST SP 800-172의 추가 관행(예: 종합적인 사고 대응 계획 수립, 종합적인 지속적 모니터링 프로그램 구현, 공급망 보안 위험 평가 및 관리).
  • 평가: 방위 산업 기반 사이버 보안 평가 센터(DIBCAC)의 정부 주도 평가
  • 적용 범위: 가장 민감한 정부 프로젝트를 수행하는 계약업체에 필요합니다. 가장 드문 레벨입니다.
  • 기본 요건: 계약업체가 CMMC 레벨 3을 추구하기 전에 CMMC 레벨 2를 이미 취득해야 합니다.

기본적으로 CMMC 레벨이 높을수록 취급하는 데이터의 민감도가 높고 사이버 보안 요구사항이 더 엄격해집니다.

CMMC 지원을 위한 Google Cloud 및 Google Workspace

Google Cloud와 Google Workspace를 사용하면 Google의 FedRAMP 높음 승인 서비스를 기반으로 조직의 모든 수준에서 CMMC 규정 준수 요구사항을 충족할 수 있습니다. Google Cloud 및 Google Workspace는 범위 내 서비스에 대해 FedRAMP 높음 운영 권한(ATO)을 모두 유지합니다.

Google은 CMMC 규정 준수 요구사항을 충족하는 데 도움이 되도록 다음 안내 문서를 제공합니다.

  • Google Workspace CMMC 구현 가이드
  • Google Cloud CMMC 구현 가이드

또한 Google은 독립적인 서드 파티 평가 조직에서 작성한 다음 증명서를 제공합니다.

  • Google Workspace C3PAO CMMC 증명서(Google Cloud는 2025년 8월 예정)
  • Google Cloud 및 Google Workspace NIST SP 800-171 규정 준수 증명서

Google Cloud의 경우 FedRAMP 높음에 Assured Workloads 데이터 경계를 사용해야 하며, CMMC 규정 준수를 지원하도록 시스템을 구성할 때 CMMC Customer Responsibility Matrix(CRM)를 활용해야 합니다. Google 영업팀 또는 Google Cloud 담당자에게 문의하여 CRM과 같은 위에 언급된 문서를 받으세요.

Google Workspace의 경우 CMMC 규정 준수를 위해 FedRAMP 높음 승인 서비스를 사용해야 하며, Assured Controls Plus를 사용해 미국 내에서만 데이터를 저장할 수 있도록 해야 합니다. 필요한 경우 아직 FedRAMP 승인을 받지 않은 서비스를 사용 중지할 수 있습니다.

다음 단계 수행

$300의 무료 크레딧과 20여 개의 항상 무료 제품으로 Google Cloud에서 빌드하세요.

Google Cloud
Docs지원
콘솔
로그인
Security
위협 인텔리전스SecOpsCloud 보안컨설팅보안 리소스
  • 디지털 혁신 가속화
  • 디지털 혁신을 이제 막 시작한 기업이든 이미 일정 수준에 도달한 기업이든 Google Cloud를 사용하면 가장 까다로운 도전과제를 해결할 수 있습니다.
  • Google Cloud 제품
  • 100개가 넘는 제품을 살펴보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다. 모든 고객이 월간 사용량 한도까지 25개 이상의 제품을 무료로 사용할 수 있습니다.
  • 투명한 가격 책정 방식으로 비용 절감
  • Google Cloud는 사용한 만큼만 지불하는 가격 책정 방식으로 월별 사용량과 선불 리소스의 할인율을 기준으로 자동 할인을 제공합니다. 지금 Google에 문의하여 견적을 받아보세요.
Google Cloud