한국 방산업계가 미국 시장 진출 과정에서 새로운 과제를 떠안게 됐다. 미국 국방부가 사이버보안 성숙도 모델 인증 도입을 공식화하면서다. 방산물품을 수출할 때 주계약사뿐 아니라 협력업체들까지도 인증을 취득해야 해 수출 문턱은 한층 높아졌다. 국내 자문업계는 물밑에서 새로운 시장 형성에 대비하고 있는 분위기다.

한국 방산 업체들은 미 국방부와의 접점을 늘려나가고 있다. 한화에어로스페이스는 미 육군의 자주포 현대화(SPH-M) 사업 참여를 추진 중이다. LIG넥스원 역시 유도 로켓 '비궁'의 미국 수출을 타진하고 있다. KAI는 록히드마틴과 손잡고 ‘TF-50N’ 사업 수주전에 나섰는데, 미국 군 도입 가능성이 거론되고 있다. 한화오션은 필리 조선소에서 군함 프로젝트 수주와 함께 미 해군과의 협력 확대를 모색하고 있다.

미국 방산시장은 진입 장벽이 높다. 무기·군수품 공급망에 참여하려면 미 국방부가 요구하는 다수의 자격과 인증 요건을 충족해야 한다. 이를 충족하는 데에만 시간과 비용이 적지 않게 소요된다. 

최근엔 새로운 부담이 더해졌다. 오는 11월 10일부터 미국 국방부 계약상 필수 요건으로 사이버보안 성숙도 모델 인증(CMMC·Cybersecurity Maturity Model Certification)이 적용되기 때문이다. 이번 규정의 핵심은 방산 공급망에 참여하는 계약업체가 실제로 시스템 보안 요건을 이행하고 있는지를 제 3자 검증을 통해 확인한다는 점이다. 

도입 방식은 단계적이다. 향후 3년에 걸쳐 점진적으로 적용된다. 일부 계약 한정으로 시작해 점차 방위산업 공급망 전반으로 확대될 예정이다. 예컨대 한화오션이 필리 조선소에서 군함을 건조한다고 할 때, 건조 과정에 참여하는 거의 대부분의 협력업체가 CMMC 인증을 취득해야만 미국 국방부 발주 사업 참여가 가능하단 것이다. 사실상 공급망 전체가 인증 대상이 되는 셈이다.

CMMC는 보안 수준에 따라 레벨 1~3단계로 구분된다. 레벨1은 자체 평가(Self Assessment) 방식으로 비교적 간단하다. 기업이 내부적으로 기본적인 보안 절차를 준수하는지를 확인하는 단계다. 레벨2부터는 미 국방부가 지정한 제 3자 심사기관(C3PAO)의 공식 심사를 받아야 한다. 레벨3는 미 국방부 전담 조직이 직접 인증을 수행한다. 무기체계나 핵심 군사 장비 등 국가 안보와 직결되는 영역에 적용된다.

수출 품목의 보안성에 따라 레벨 1~3단계가 나뉜다. 간단한 부품사의 경우 레벨1을, 탄약 등 주요 품목을 보급해야 하는 회사의 경우에는 레벨 2~3이 요구된단 것이다. 

자격증을 통해 CMMC 컨설팅을 진행할 수 있다. 해당 자격을 보유한 전문가는 레벨1 자체평가를 준비하는 데 도움을 줄 수 있다. 나아가 레벨2 심사를 원활히 통과할 수 있도록 사전 컨설팅을 제공할 수도 있다.

미국과의 접점을 늘리고 있는 대형 조선·방산업체들은 해외 자문사 등을 통해 대응에 나선 것으로 전해진다. 한화에어로스페이스, LIG넥스원, KAI 등 대형 업체들은 2단계 인증을 받기 위해 컨설팅을 준비하고 있다. 중소 협력사들은 사정이 조금 다른데, 인증 준비에 들어가는 비용 감당이 어렵고 전문 인력도 부족하다. 협력사가 인증을 받지 못하면 결국 체계업체의 수출에 자칠이 생겨, 이에 대한 선제적 대비가 필요한 상황이다.

국내 자문업계는 한국 방산업체들의 수출 기반이 확대되고 미국과의 접점이 많아질수록 CMMC와 관련한 컨설팅·법률 자문 수요가 늘어날 것으로 전망하고 있다. 이를 위한 물밑 준비 작업에 나섰다. 

삼일PwC는 최근 CMMC 대응을 위한 자료를 발간했다. 삼일회계법인은 PwC 소속 법인으로서 RPO(자문기관) 자격을 보유한 PwC US와 협력해 자문을 제공할 수 있다는 점도 강조했다. 삼일회계법인은 "클라우드 엔지니어와 협업하여 보안 영역(Enclave) 설계는 물론, 수출통제, 정부 계약, 법률 자문 등 분야별 전문가(SMS)와 함께 통합적이고 종합적인 솔루션을 제공할 수 있다"고 밝혔다.

삼정KPMG는 CMMC 인증 취득을 지원하기 위해 RP·RPA 취득을 준비 중이다. 인증 컨설팅 기관 등록을 위한 RPO 인증도 병행 추진하고 있다. 회사는 CMMC 프레임워크 기반의 ▲보안 로드맵 수립 ▲내부 프로세스 개선 및 실행 지원 등 컨설팅 서비스를 제공한단 방침이다. 삼정KPMG는 "내부 인력의 전문성을 강화하는 동시에, 글로벌 보안 전문기관과의 협력을 확대해 CMMC 인증 관련 원스톱(One-Stop) 서비스를 제공할 예정"이라고 밝혔다.

EY한영도 CMMC 컨설팅을 진행하고 있다. 명지대학교 방산안보연구소의 부속기관인 CMMC센터와 업무협약을 맺기도 했다. 모의 심사 지원 등 종합적인 서비스를 제공하고 있다.

국내 로펌들도 움직이고 있다. 한 대형 로펌의 정보보안연구소는 방산업체를 대상으로 자문을 진행하고 있는 것으로 전해진다. 다른 대형 로펌의 방산 전문 변호사는 CMMC 컨설팅을 위한 자격증 취득을 추진 중이다. 이는 고객 유치를 위한 컨설팅뿐 아니라 향후 관련 소송·분쟁 발생 시에 전문성을 확보하려는 전략으로 풀이된다. 

한 방산 전문 변호사는 "아직 제도가 본격 시행되기 전이라 단정 짓기는 이르지만 CMMC 인증을 받았는데 이에 침해 사고가 발생하거나, 협력업체가 인증을 받지 않아 체계업체의 수출 사업에 차질이 빚어지는 경우처럼 새로운 유형의 분쟁과 손해 문제가 생길 가능성이 있다"며 "이에 대비하는 차원"이라고 했다. 

업계 관계자는 "미국 시장에 진출하려는 방산업체들은 모두 인증을 받아야 해 업체들의 관심이 많다"며 "미국 조달 시장에 진출하기 위한 요건이 강화되어 이에 대한 선제적 대비가 필요한 시점"이라고 내다봤다.