삼정KPMG는 미국 국방부(DoD)를 중심으로 한 글로벌 방산·연방 공급망 진출을 준비하는 국내 기업을 지원하기 위해 'CMMC(Cybersecurity Maturity Model Certification)' 전담 서비스팀을 공식 출범했다고 9일 밝혔다.
최근 미국 국방부 관련 사업 참여 요건이 한층 구체화되면서, 방산 및 연방 공급망과 연계된 사업을 검토하는 기업들이 사전에 충족해야 할 준비 요건도 확대되고 있다. 특히, CMMC는 단순한 보안 인증을 넘어, 미 국방부 계약 및 공급망 참여를 위한 사실상 필수 사업 요건으로 자리 잡고 있다. 미국 방산 기업은 물론 캐나다와 호주 등 우방국을 시작으로, UAE·대만·말레이시아 등 주요 글로벌 방산 기업들 역시 이미 CMMC를 취득해 계약 필수 요건을 충족한 상태다.
CMMC는 기업이 미 국방부와의 계약 과정에서 어떤 유형의 정보를 취급하는지에 따라 요구되는 준비 수준이 달라지는 구조다. 단순 납품·운영 중심의 계약과 기술·설계에 직접 관여하는 계약 간 요구 범위가 상이해, 기업별 사업 구조와 계약 형태를 고려한 맞춤형 대응 전략 수립이 필요하다.
이에 삼정KPMG는 CMMC 서비스팀을 중심으로 국내 기업을 대상으로 한 CMMC 대응 컨설팅 체계를 구축했다. 컨설팅 초기 단계부터 기업의 미국 사업 구조와 글로벌 공급망 내 참여 방식, 내부 프로세스를 종합적으로 점검해, 과도한 투자나 불필요한 부담을 줄이면서도 미국 시장에서 요구하는 기준을 합리적으로 충족할 수 있도록 지원한다는 방침이다.
특히, 올해 11월부터 CMMC 단계적 적용에 따라 레벨 2 요건이 적용되는 계약을 중심으로, 승인된 제3자 심사기관(C3PAO)의 평가 결과 제출이 요구되는 범위가 확대될 예정이다. 내년 11월부터는 레벨 2에 대한 제3자 심사가 대부분의 해당 계약에서 기본 요건으로 정착될 전망이다. 이에 따라 CMMC 대응 시점과 준비 수준이 향후 미 국방부 계약 참여 가능성에 직접적인 영향을 미칠 것으로 예상된다.
삼정KPMG는 특정 보안 솔루션이나 기술 도입을 앞세우기보다, 기업의 기존 사업 구조와 운영 프로세스를 기반으로 대응 범위를 설정하는 접근 방식을 강조하고 있다. 이를 통해 기업이 현재의 운영 환경을 유지하면서도 미국 방산·연방 시장에서 요구하는 기준을 전략적으로 충족할 수 있도록 지원한다는 설명이다. 또한 비즈니스 프로세스 분석을 기반으로 인증 요구사항에 체계적으로 접근하고, 글로벌 지식 커뮤니티를 활용해 제도 해석과 적용의 일관성을 높이는 컨설팅을 제공하고 있다.
삼정KPMG는 최근 CMMC 컨설팅을 위한 RP(Registered Practitioner)를 취득했으며, RPA(Registered Practitioner Advanced) 추진과 RPO(Registered Provider Organization) 등록도 병행하고 있다. 이를 통해 기업이 CMMC를 단기적인 규제 대응이 아닌, 구조적 경쟁력 강화를 위한 계기로 활용할 수 있도록 실질적인 지원 체계를 마련할 계획이다.
고영대 삼정KPMG 컨설팅부문 상무는 "CMMC 대응은 단순한 인증 준비가 아니라, 기업의 중장기 해외 사업 전략과 글로벌 공급망 참여 구조를 함께 점검하는 과정"이라며 "삼정KPMG는 비즈니스 프로세스 분석을 기반으로 인증 요구사항에 접근하고, 글로벌 지식 커뮤니티를 활용해 제도 해석과 적용의 일관성을 높이는 컨설팅을 제공하고 있다"고 말했다.
