fnctId=bbs,fnctNo=1291 11 건 게시물 검색 제목 작성자 공통(상단고정) 공지 게시글 게시글 리스트 23년 12월 뉴스 작성자 관리자 조회수 89 첨부파일 0 12월 26일에 CMMC 규칙이 제안된 규칙(proposed rule)으로 연방 관보(Federal Register)에 발표되었습니다. 이제 60일간 의견(public comment)을 접수하며(24.2.26일까지), 접수된 의견 검토가 끝나면 최종 규칙(final rule)을 발표하게 됩니다. 통상 의견 검토 기간은 1년 정도이므로 25년 상반기에 최종 규칙이 발표될 것으로 예상됩니다.제안된 규칙에 새로운 내용들이 포함되어 있습니다. 분석되는대로 공지하겠습니다. 2023년 7월 동향 작성자 관리자 조회수 164 첨부파일 0 미국 국방부는 7월말 CMMC 규칙을 예산관리처(OMB : Office of Management and Budget)의 정보규제처(OIRA: Office of Information and Regulatory Affairs)에 보냈습니다. OIRA는 CMMC 규칙을 60~90일간 검토한 후 9월 또는 10월에 연방 관보(Federal Register)에 게시하게 됩니다. 이때 제안된 규칙(Proposed Rule) 또는 임시 최종 규칙(Interim Final Rule) 의 두 형태 중 하나로 게시합니다. 제안된 규칙으로 게시하는 경우, 60일간 의견(public comment) 접수 후에 접수된 의견을 검토합니다. 접수된 의견을 검토하는 데 평균 280~333일이 소요됩니다. 의견 검토가 끝나면 최종 규칙을 발표합니다. 이 경우 2025년 1분기에 최종 규칙이 발표되며, 2025년 2분기부터 국방부 계약에 CMMC를 적용하게 됩니다 임시 최종 규칙으로 게시하는 경우, 60일간 의견 접수 후 바로 국방부 계약에 CMMC를 적용할 수 있습니다. 이 경우 2024년 1분기 중 국방부 계약에 CMMC를 적용하게 됩니다. 전문가들은 OIRA가 제안된 규칙(Proposed Rule)으로 게시할 가능성이 높다고 보고 있고 따라서 2025년 2분기 경 CMMC가 시행된다고 예상하고 있습니다. 업체가 CMMC 요구사항을 준비하고 구현하는데 보통 12 ~ 18개월 소요된다고 보고 있습니다. 지금부터 시작하면 2024년말 또는 2025년초까지 구현할 수 있으므로 CMMC가 시행되는 일정에 맞출 수 있습니다. 그러나, 지금 시작하지 않으면 CMMC 시행 일정에 맞추지 못하게 됩니다.(출처)https://iq.govwin.com/neo/marketAnalysis/view/DOD-Sends-its-CMMC-Rule-to-OMB-Setting-the-Clock-Moving-on-Final-Implementation/7360?researchTypeId=1 researchMarket= 2023년 3월 동향 작성자 관리자 조회수 288 첨부파일 0 CMMC 규칙 제정(rule making) 절차가 예정보다 지연되고 있습니다.작년 미 국방부의 발표에 따르면, 잠정 최종 규칙(interim final rule)이 올해 3월에 고시된다고 하였습니다.그러나, 이 일정이 늦어지고 있으며 잠정 최종 규칙은 빠르면 올해 5, 6월에 공지될 것으로 예상되고, 이후 2~12개월간 의견 수렴을 거쳐 최종 규칙(final rule)이 완성되게 됩니다.이에 따라, 최종 규칙은 빠르면 23년, 늦어지면 24년에 완성될 것으로 예상됩니다.미 국방부는 작년에 Joint Surveillance Voluntary Assessement Program을 발표하여, CMMC 최종 규칙이 나오기 전이라도 업체들이 자발적으로 제3자 심사를 받도록 권장하고 있습니다.이 심사 프로그램은 CMMC 심사기관인 C3PAO와 미 국방부의 DIBCAC (Defense Industrial Base Cybersecurity Assessment Center)가 공동으로 NISP SP 800-171의 준수를 심사하는 것입니다.현재 60개의 업체가 신청했고 7개 업체가 심사를 마쳤다고 합니다.이 프로그램을 통해 심사받은 업체는 CMMC 2등급으로 인정되며, CMMC 인증제도가 개시된 후 별도로 CMMC 심사를 받을 필요가 없습니다. 방산중소업체 CMMC 전문교육 참여업체 모집 (~3.8) 작성자 관리자 조회수 239 첨부파일 1 우리 연구소 CMMC 센터는 국방기술진흥연구소에서 "방산중소업체 CMMC 인증 취득 지원을 위한 전문교육" 사업을 수주하였습니다.참여업체 모집을 공지합니다. Pentagon's CMMC program launch faces delay as OMB rulemaking review shifts to January 작성자 관리자 조회수 306 첨부파일 0 Pentagon's CMMC program launch faces delay as OMB rulemaking review shifts to January(출처: Pentagon's CMMC program launch faces delay as OMB rulemaking review shifts to January | InsideDefense.com) CMMC 2.0 Ecosystem Summit (11. 9) 작성자 관리자 조회수 590 첨부파일 0 CYBER AB가 주관하는 첫 CMMC 이벤트, CMMC 2.0 Ecosystem Summit - 일자: 11. 9- 온라인, 오프라인 병행- 등록처: Home | Washington Technology CMMC 2.0 Ecosystem Summit (bizzabo.com) [녹색경제신문] 류연승 명지대 교수 "美 CMMC 수준의 국내 사이버보안 성숙도 인증제 서둘러야" 작성자 관리자 조회수 501 첨부파일 0 DXKOREA2022, 역대 최대 규모 50개국 350여개 방산기업 참가해 성황- 류연승 명지대 교수 "美 CMMC 수준의 국내 사이버보안 성숙도 인증제 서둘러야"- 김정래 여주대 항공정비학과장 "국토부 지정 항공기정비사 면허취득 전문대로 실기 작업형 시험 면제받아...국내 유일 전기종 드론 동시 교육"이번주 가장 눈에 띄는 국방소식은 지난 21일부터 25일까지 경기도 고양시 킨텍스 제2전시장에서 개최된 '대한민국방위산업전2022'입니다. 세계 50여개국 350여 방산기업들이 대거 참가해 역대 최대 규모로 행사가 진행됐습니다. 특히, K방산에 대한 국제적인 관심과 무인전투체계의 발전 상황을 한눈에 볼 수 있었다는 평가가 나왔습니다.각종 학술세미나도 눈길을 끌었는데, 국내 방위사업 전문가인 최기일 상지대 교수는 드론을 주제로, 보안전문가인 류연승 명지대 교수는 한미 상호국방조달협정을 앞두고 CMMC(미국 국방부의 사이버보안 인증제도)를 주제로 각각 발표에 나서 관심을 모았습니다.◇대한민국방위산업전(DXKOREA 2022) 폐막...역대 최대 6만5000명 참관객 방문2년만에 경기도 고양시 킨텍스에서 개최된 아시아 최대규모 방산전시회인 대한민국방위산업전 2022(DX KOREA 2022)'가 25일 공식 폐막했다.이번 행사를 주최 주관한 육군협회와 디펜스엑스포측은 이번 행사에 약 50여개국에서 350여개 기업이 참가하고 행사 기간 약 6만5000여명의 참관객이 전시회장을 찾았다고 밝혔다. 국내 최대 방산기업집단인 한화그룹(회장 김승연)은 각 계열사의 집약된 육 해 공 우주기술 제품들을 전시했다. 한화디펜스는 해외판로 개척을 위해 차기 보병전투장갑차를 비롯한 차세대 전투차량 5종을 선보이며 풍부한 경험과 검증된 기술력을 과시했다.디펜스엑스포 관계자는 "이번 행사에서는 '새로운 국방'이라는 주제에 맞게 드론봇과 인공지능을 이용한 무인화, 자율주행 등 미래 복합전투체계를 가시화하는 기술이 큰 주목을 받았다"고 덧붙였다. 디펜스엑스포 관계자에 따르면 방한 대표단과 국내업체와의 미팅은 약 120여회에 달했고, 여기에 조직위원회는 별도의 VIP투어 프로그램을 통해 국가별로 관심을 표명한 무기체계 전시장을 집중적으로 안내하는 세심함을 보여줬다.또한 주최측은 개별 국가별로 심도있는 만남의 장을 제공함으로써 실질적인 방산 수출 또는 협력으로 연결되기를 기대하고 있다.한편, 이번 전시회에 참가한 업체 역시 과거 어느 전시회보다 가파른 증가세를 보임으로써 K방산의 위상을 실감하는 자리였다.한편 조직위원회는 중소기업의 우수한 제품과 기술을 전문 관람객과 소요 군을 대상으로 발표할 수 있는 피치프로그램을 운영해 12개의 주제를 선정 및 발표했다. 소그룹 대상의 발표임에도 불구하고 주제별로 많은 소요획득 관계관과 청중이 몰려 눈에 띄었다. ▲류연승 명지대 교수 "美 CMMC 수준의 국내 사이버보안 성숙도 인증제 서둘러야"국내 최고 방산보안 전문가인 류연승 명지대 교수는 지난 23일 'DXKOREA2022'에서 내년 중반 시행을 앞둔 '사이버보안 성숙도 인증(CMMC)' 제도에 대해 발표했다. CMMC는 미국 국방부와 계약하는 방산업체 및 그 협력업체들까지 사이버보안 성숙도 수준을 세등급으로 구분해 인증하는 제도로 내년부터 국방부와 계약하는 방산업체는 CMMC 인증이 의무화될 전망이다.미 국방부는 지난 2020년 CMMC 운영을 위한 인증기관(CMMC-AB)을 설립해 인증심사기관 지정, 인증심사원 양성 등 사이버보안 인증 체계를 구축했다. 류 교수에 따르면, 미국 동맹국으로서 방산협력을 활발하게 추진하고 있는 일본, 이스라엘 등은 자국 방산업체의 사이버보안 체계를 미국 CMMC 수준으로 구축하고, 자국의 사이버보안 인증 취득을 CMMC로 인정받는 상호인정협정을 위해 발빠르게 움직이고 있다.류 교수는 "우리 방산업체가 미국 CMMC 인증을 받으려면 미국 교육업체로부터 교육을 받아야 하고, 미국 컨설팅업체로부터 컨설팅을 받고, 미국 인증심사업체로부터 인증 심사를 받아야 한다"며 "이 과정에서 많은 외화가 미국으로 유출될 수 있다"고 지적했다. 그는 이어 "인증 심사에는 미국 민간인이 우리 방산업체를 점검하고 심사하면서 방산업체 내부 시스템을 모두 들여다보게 되는데, 이는 방산분야 사이버안보 주권을 미국에 맡기는 심각한 상황"이라면서 "게다가 우리 방산업체들은 관련 법에 따라 망분리 등에 이미 많은 비용을 지불한 상태"라고 짚었다.그러면서 "미국 CMMC는 내년부터 시행될 전망이어서 그 이전에 미국 CMMC 수준의 방산분야 사이버보안 인증제도(가칭 K-CMMC) 를 서둘러 구축하고, 이를 미국의 CMMC와 상호인정하는 협정을 추진해야 한다"고 강조했다.이 협정이 이뤄지게 되면 미국 CMMC 취득을 위해 많은 비용을 미국 업체에 지불하지 않아도 되고 방산 사이버안보 주권도 지킬 수 있다는 것이 그의 설명이다. 류 교수는 "이와 같은 계획이 추진되려면 미국 CMMC 수준과 부합되지 않는 국내 관련 법령과 제도부터 시급히 개정돼야 한다"고 덧붙였다. 출처 : 녹색경제신문(http://www.greened.kr) 자원하여 C3PAO 심사를 받는 첫 심사가 8.22일 시작 작성자 류연승 조회수 295 첨부파일 0 CMMC 2.0 공식 시작은 23년 5월으로 예상되고 있습니다. 그러나, 미 국방부는 공식 시작 이전이더라도 자원하여 인증심사 받기를 권장하고 있습니다. 이에 자원하여 C3PAO 인증 심사를 받는 첫 사례가 8.22일 시작한다는 뉴스입니다. 출처: https://insidecybersecurity.com/share/13748?utm_campaign=CMMC utm_medium=email _hsmi=221632270 _hsenc=p2ANqtz-9j6bg2-iQUgB081rri6rCKrgjs1LUG0NSgqOBoJELXBA8TvMuFDRzZTvyDe6wtfjS9cxA_kxZvv42KzqShiJFx-rs0_A utm_content=221631905 utm_source=hs_email CMMC 최신 동향 (2022. 7) 작성자 류연승 조회수 387 첨부파일 1 미국 국방부 CMMC Director인 Stacy Bostjanick는 6월 24일 열린 웨비나에서 몇가지 동향을 공개하였습니다. 1. CMMC level 3은 134개 practices로 구성된다. Level 3의 인증은 DCMA (Defense Contract Management Agency)의 DIBCAC (Defense Industrial Base Cybersecurity Assesssment Center)에서 수행한다. 2. CMMC level 2의 대상 사업의 중요도에 따라 제3자 평가 또는 자가 평가로 수행된다. 자가 평가 대상 수는 많지 않을 것이다. 3. CMMC 버전 2 rule의 확정은 2023년 3월을 목표로 하고 있으며, 목표대로 된다면 CMMC 인증은 2023년 5월부터 시행될 것이다. 4. Five Eyes 국가 등 국제 파트너 국가들과의 CMMC 협정을 논의하고 있다. 참고: https://federalnewsnetwork.com/defense-main/2022/07/pentagon-endorses-reciprocity-for-cmmc-fedramp-requirements/ 참고: https://www.youtube.com/watch?v=ImtPjX7Qn-k [에디터 인터뷰] 류연승 명지대 방산안보학과 주임교수, 미국 방산수출에 필요한 ‘사이버보안 인증(CMMC)’ 해법 제시 작성자 관리자 조회수 363 첨부파일 0 ‘사이버보안 인증제도(K-CMMC)’ 새로이 구축하고, 미국 CMMC와 상호인정 협정 추진해야[뉴스투데이=김한경 시큐리티팩트 에디터] 류연승 명지대 대학원 방산안보학과 주임교수는 국내에서 최초로 ‘방산안보학’이란 분야를 개척한 사람이다. 컴퓨터공학과 교수였던 그는 2014년 명지대에 융합보안학과를 신설한 후 이듬해 ‘방산보안연구소’를 설립했다. 당시 국정원이나 기무사 같은 정보기관과 방산업체 외에는 방산보안이란 용어가 생소하던 시절에 이 분야의 학문적 가능성을 알아본 것이다. 방산보안을 연구하던 류 교수는 2015년 방산기술보호법 제정을 계기로 ‘방산기술보호연구회’를 만들었고, 결국 보안을 넘어 적극적인 정보활동인 방첩과 국제정치 및 외교까지 연결된다는 생각에 이러한 영역을 모두 포괄하는 학문 분야인 ‘방산안보학’을 주창했다. 지난해에는 국가정보원과 MOU를 맺고 방산안보학과 석·박사 과정을 개설하는 등 전문 인재 양성도 시작했다. 류 교수는 현재 방산안보학과 외에 대학원 보안경영공학과 주임교수로도 재직하고 있으며 방산보안연구소를 방산안보연구소로 개칭한 후 연구소장도 계속 맡고 있다. 또 국가정보원과 방위사업청을 비롯 합참·군사안보지원사·국방보안연구소 자문위원으로 활동 중이며, 관련 분야의 다양한 학회 활동에도 적극 참여하고 있다.지난해 우리나라는 방산수출이 급격히 증가하면서 올해 세계 5위의 수출목표를 갖고 있다. 특히 미국 같은 선진국 수출의 경우 무기체계 성능뿐만 아니라 그들이 원하는 사이버보안 인증(CMMC)을 받아야 성사가 가능함으로 이에 대한 준비가 필요하다. 방위사업청은 이를 대비해 지난해 ‘방산기술보호 성숙도 모델 인증제도 연구’란 연구과제를 내놓았다.류 교수 연구팀은 지난해 10월부터 이 과제를 수주해 연구 중인데, 다음달 10일이면 연구가 종료돼 현재 대부분의 연구가 마무리된 상태이다. 국내 최고의 방산보안 전문가이자 이번 과제를 직접 담당한 그로부터 미국 CMMC가 국내 방산업계에 미치는 영향은 무엇이고 현재 우리가 당면한 문제와 해법은 어떤 것이 있는지 하나씩 짚어보았다. 다음은 그와의 일문일답.Q. 미국 국방부가 요구하는 ‘사이버보안 인증(CMMC)’이란 무엇인가?A. CMMC(Cybersecurity Maturity Model Certification)는 미국 국방부와 계약하는 방산업체 및 그 협력업체들까지 사이버보안 성숙도 수준을 3개 등급으로 구분해 인증을 받아야 하는 제도이다. 2025년부터 국방부와 계약하는 모든 업체는 CMMC 인증을 받아야 한다.미 국방부는 2020년에 CMMC 제도 운영을 위해 인증기관(CMMC-AB, Accreditation Body)을 설립했다. 또한, 인증심사기관 지정, 인증심사원 양성 등의 인증 생태계를 구축하고, 시범적으로 몇 개 국방사업에 적용하면서 업체들에게 준비 기간을 주고 있다.Q. 미국 국방부와 계약하는 타국 업체에도 CMMC가 적용되나?A. 그렇다. CMMC 인증은 미국 업체에만 요구되는 것이 아니라 타국 업체에도 요구된다. 미국 CMMC 인증을 취득하지 못하면 미국에 방산물자 수출이나 공동연구협력 등이 불가능해진다. 사실상 CMMC 인증을 통해 미국의 국방 글로벌 공급망 체계가 구축될 것이고 우리 방산안보에 큰 영향을 주게 돼 대비가 필요하다.미국 수출을 추진 중인 KAI, 한화디펜스 등은 CMMC 인증에 큰 관심을 가지고 대비하고 있다. 창원의 한 방산 협력업체는 미국 방산업체로부터 CMMC 인증에 대비하라는 연락도 받았다고 한다. 또한 미국 수출을 염두에 둔 기술력 있는 방산 중소업체들은 CMMC 인증 문제 해결에 노심초사하고 있다.Q. 미국의 동맹국들은 어떻게 CMMC를 준비하고 있는가?A. 미국 동맹국으로서 방산협력을 활발하게 추진하고 있는 일본, 이스라엘 등은 자국 방산업체의 사이버보안 체계를 미국 CMMC 수준으로 구축하고, 자국의 사이버보안 인증 취득을 CMMC로 인정받는 상호인정 협정을 위해 적극적으로 움직이고 있다고 한다. 일본은 올해 4월 방위산업 사이버보안 강화 방안을 발표했는데, 이 내용을 보면 미국 CMMC를 반영하고 있다.Q. 우리 방산업체가 미국 CMMC를 직접 받으려면?A. 미 국방부는 인증심사기관을 수행하는 업체, 컨설팅을 수행하는 업체, 교육을 수행하는 업체 및 대학 등을 각각 별도로 자격을 심사해 지정하고 있다. 우리 방산업체가 미국 CMMC를 받으려면 미국 교육업체로부터 교육을 받아야 하고, 컨설팅업체로부터 컨설팅을 받아야 하며, 인증심사업체에게 인증 심사를 받아야 한다. 이 과정에서 많은 국내 비용이 미국에 지불된다. 인증 심사 시에는 미국 민간인이 와서 우리 방산업체를 점검하고 심사하면서 방산업체 내부 시스템을 모두 들여다보게 된다. 이것은 방위산업 분야 사이버안보의 주권을 미국에 맡기는 심각한 사태라고 생각된다. 게다가 우리 방산업체들은 관련 법령에 따라 망분리 등에 이미 많은 비용을 지불한 상태다.Q. 우리 정부가 미국 CMMC에 대응하려면 어떻게 해야 하나?A. 미국 CMMC는 2025년부터 전면적으로 시행될 것으로 예상된다. 따라서 그전에 미국 CMMC 수준으로 방산 분야의 ‘사이버보안 인증제도(가칭 K-CMMC)’를 구축하고, 이를 미국의 CMMC와 상호인정 협정을 추진해야 한다. 이 협정이 이뤄지면 미국 CMMC 취득을 위해 많은 비용을 미국 업체에 지불하지 않아도 되고 방산 사이버안보 주권도 지킬 수 있다. 이와 같은 계획이 추진되려면 미국 CMMC 수준과 부합되지 않는 국내 관련 법령과 제도부터 시급히 개정돼야 한다. 올해 안으로 개정이 추진돼야 준비 기간을 거쳐 2025년부터 K-CMMC를 시행할 수 있을 것이다. 또한, 방산업체 및 협력업체의 K-CMMC 인증 구축을 지원하기 위한 조직과 예산도 확보해야 한다.◀ 류연승 교수 프로필 ▶ 명지대 대학원 보안경영공학과·방산안보학과 주임교수, 명지대 방산안보연구소장, 방산기술보호연구회장, 한국방위산업학회 이사, 한국산업보안연구학회 부회장, 한국정보보호학회 이사, 국정원·합동참모본부·군사안보지원사·국방보안연구소·국방통합데이터센터 자문위원, 방위사업청 정책자문위원 처음 12 1 2 다음 페이지 끝