[FETV=류제형 기자] 국내 방산업계가 미국과의 협력 활성화를 위해 일정 수준 이상의 공급망 보안 능력을 갖춰야 한다며 정부 차원의 컨설팅 지원을 촉구하고 나섰다.

LIG넥스원과 한화에어로스페이스는 미국 국방부의 사이버보안 성숙도 모델 인증(CMMC·Cybersecurity Maturity Model Certification) 의무화에 앞서 지난 14일 간담회를 통해 CMMC 통과의 중요성을 강조했다.

김승연 LIG넥스원 방산기술보호실장은 “CMMC는 무기 체계와 군수 물품 전반을 포함한 광범위한 영역에 영향을 미치는 제도”라며 “인증을 받을 기업을 비롯해 협력사 전반을 정비하는 작업인 만큼 컨설팅 업체를 선정하는 단계부터 신중을 기해야 한다"고 말했다. 

고희재 한화에어로스페이스 보안팀장도 “현재 CMMC 컨설팅은 초기 단계로 업체마다 비용도 다르고 자격증 보유만으로 컨설턴트의 역량을 평가하기 어렵다"며 “기업 차원에서 신중할 수밖에 없는 상황에서 최근 정부가 관심을 보이기 시작해 기대가 크다”고 말했다.

미국 업체와 방산 계약을 하려면 최소 CMMC 레벨1 인증이 필요하다. CMMC는 레벨1부터 레벨3까지의 단계가 존재하는데 국내 주요 방산업체들은 레벨2에 대한 제3자 심사기관(C3PAO)의 인증이 필요한 상황이다. 

미국 국방부는 2028년까지 모든 방산 계약에 CMMC 도입을 의무화할 방침이다. 이에 정부에서도 CMMC의 중요성을 인식하고 지난해 레벨1 컨설팅 지원을 시작으로 올해 레벨2 인증을 위한 컨설팅 지원을 예고했다. 그러나 일각에서는 실무진에 한정된 접근으로 보안 가이드라인 제시나 한국형 방위산업 수출 생태계 조성 같은 거대 담론을 다루기 어렵다고 지적하고 있다.

방산업계 관계자는 "군사력 측면에서 세계적으로 치열한 경쟁이 이어지고 있는 상황에서 국내 방산업이 지금과 같은 성장 추세를 계속 이어나가려면 하드웨어 기술력도 중요하지만 보안 능력 역시 놓쳐서는 안된다"며 "정부와의 협의를 조속히 이끌어내 CMMC 문제를 하루빨리 해결할 것"이라고 말했다.

미국과의 협력 외에 북한발 해킹 이슈와 관련해서도 CMMC의 중요성이 높아졌다. 지난해 하반기부터 북한 해킹조직이 해군무력 강화 지시를 이행하고자 국내 조선사 해킹 공격을 지속하는 추세가 이어짐에 따라 지난 4월 23일 국가정보원 주최 간담회에서 CMMC의 주요 평가지표인 해킹사고 대응·관리 역량이 강조됐다.

이 간담회는 국내 조선업계가 최근 미국 함정의 유지보수·수리·정비(MRO) 시장에 본격 진출할 가능성이 높아짐에 따라 방위사업의 보안 중요성을 논의하고자 개최됐다.

업계에 따르면 한국 방산 보안체계는 ▲암호화 규격 ▲클라우드 인프라 ▲보안 아키텍처 ▲컨설팅 생태계 전반에서 아직 세계 기준을 충족시키지 못하고 있다. 기술 성숙도나 정량 시험에 기반한 체계적 인증 구조도 갖추지 못한 상황이다.

현재 국내 CMMC 컨설팅 수행기관은 대부분 중소 규모의 보안 솔루션 또는 인증 컨설팅 기업들로 인력과 자원이 제한된 비전문적인 업체가 단독으로 맡기엔 어려움이 크다고 지적받고 있다. CMMC 컨설팅이 고난도의 전문성과 시간을 요구하는 사업임에 따라 업계 관계자들은 정부의 제도적 지원이 중요하다고 강조하고 있다.