삼정KPMG가 미국 국방부를 비롯한 글로벌 방산 및 연방 공급망 진출을 노리는 국내 기업들을 지원하기 위해 CMMC(사이버보안 성숙도 모델 인증) 전담 서비스팀을 정식 가동한다고 9일 밝혔다.
최근 미국 국방부 사업의 참여 조건이 까다로워지면서 방산 및 연방 공급망과 관련된 사업을 추진하는 기업들이 미리 갖춰야 할 보안 요건도 대폭 늘어나는 추세다. 특히 CMMC는 단순한 보안 인증 차원을 넘어 미 국방부 계약과 공급망 진출을 위한 필수적인 비즈니스 자격으로 자리 잡았다. 미국 현지 방산 기업은 물론 캐나다, 호주, 아랍에미리트(UAE), 대만 등 주요국의 글로벌 방산업체들은 이미 CMMC를 취득해 계약 요건을 맞춘 상태다.
CMMC는 기업이 미 국방부와 계약을 맺을 때 어떤 수준의 정보를 다루느냐에 따라 준비해야 할 단계가 달라진다. 단순한 운영이나 납품 중심의 계약인지, 아니면 설계와 기술에 직접 관여하는 계약인지에 따라 요구되는 보안 범위가 다르기 때문에 기업마다 사업 구조에 맞는 전략적인 대응이 필요하다.
삼정KPMG CMMC 서비스팀은 국내 기업을 대상으로 체계적인 대응 컨설팅을 제공할 계획이다. 초기 단계부터 기업의 미국 내 사업 구조와 글로벌 공급망 참여 방식, 내부 운영 프로세스를 정밀하게 분석한다. 이를 통해 불필요한 투자를 최소화하면서도 미국 시장이 요구하는 기준을 합리적으로 달성할 수 있도록 돕는다는 구상이다.
오는 11월부터 CMMC가 단계적으로 적용되면 레벨 2 요건이 포함된 계약의 경우 승인된 제3자 심사기관의 평가 결과를 반드시 제출해야 한다. 내년 11월부터는 대부분의 해당 계약에서 레벨 2 제3자 심사가 기본 요건으로 확정될 전망이다. 이에 따라 CMMC 준비를 시작하는 시점과 보안 수준이 향후 미 국방부 사업 수주 여부를 가르는 핵심 변수가 될 것으로 보인다.
삼정KPMG는 특정 보안 솔루션을 무조건 도입하기보다는 기업의 기존 사업 구조와 운영 체계를 바탕으로 대응 범위를 설정하는 방식에 집중하고 있다. 기업이 현재의 업무 환경을 유지하면서도 미국 방산 시장의 기준을 전략적으로 통과하게 만들겠다는 취지다. 또한 비즈니스 프로세스 분석을 통해 인증 요구사항에 접근하고, 글로벌 네트워크를 활용해 제도 해석의 혼선을 줄이는 컨설팅을 진행 중이다.
현재 삼정KPMG는 CMMC 컨설팅을 위한 RP 자격을 취득했으며, RPA 추진과 RPO 등록 절차도 밟고 있다. 이를 통해 국내 기업들이 CMMC를 단순한 규제 장벽이 아닌 글로벌 경쟁력을 강화하는 기회로 활용하도록 지원할 방침이다.
고영대 삼정KPMG 상무는 "CMMC 대응은 단순한 인증 준비가 아니라, 기업의 중장기 해외 사업 전략과 글로벌 공급망 참여 구조를 함께 점검하는 과정"이라며 "삼정KPMG는 비즈니스 프로세스 분석을 기반으로 인증 요구사항에 접근하고, 글로벌 지식 커뮤니티를 활용해 제도 해석과 적용의 일관성을 높이는 컨설팅을 제공하고 있다"고 말했다.