昨年10月、米国防総省が発表したサイバーセキュリティ成熟度モデル認証(CMMC)の最終規則が2025年11月10日から施行された。米国防総省に直接納品する主契約者だけでなく、部品や原料を供給する下請け業者もCMMC認証を持たなければ米国防衛市場への参入が不可能となる。K-防衛産業が米国輸出拡大を目指す中、CMMCは単なるセキュリティ規制ではなく、業界の生存を左右する関門となった。
CMMCは、米連邦契約情報(FCI)と制御必要非分類情報(CUI)の感度に応じてレベル1から3までの3段階に分かれる。多くの防衛産業企業が準備すべきレベル2は、NIST SP 800-171に規定された110のセキュリティ要件を満たす必要があり、重要なCUIを扱う場合、3年ごとに第三者認証機関(C3PAO)の審査を受ける必要がある。準備期間は通常12〜18ヶ月で、インフラ構築やコンサルティング・認証費用を合わせると、企業あたり2億6000万ウォンから4億ウォンの財政負担が発生する。
この負担を主に負うのは中小企業である。韓国防衛産業振興会の調査によると、回答した29社のうち中小企業が90%を占め、多くは独自のセキュリティ担当者を確保していない。認証準備の障害として、費用負担と情報・教育不足が52%で最も多く挙げられた。
技術的な障壁も大きい。レベル2はFIPS 140-2/140-3の検証を受けた暗号モジュールが必要で、国内で運用中のK-CMVP検証製品は米国CMVPと相互認定協定が結ばれていないため、そのままでは認められない。
政府の役割は不可欠である。まず、支援の法的根拠を明確にし、システム構築・コンサルティング費用の支援を行う必要がある。さらに、CMMC認証を取得した企業に対しては、対応項目の統合実態調査を免除することも検討すべきである。
国内CMMCエコシステムの構築も重要である。国防技術品質院防衛産業技術保護センターが進めるC3PAO認可を政府が強力に支援し、FOCI(外国人所有・制御・影響)要件とTier 3身元調査問題については、防衛事業庁が米国防総省およびCyber ABと直接協議する必要がある。
CMMCは短期間で導入できる規制ではないが、米国市場を諦めない限り避けられない。政府と防振会、自治体、業界が一体となって統合ガバナンスを構築し、防衛事業庁を中心とした省庁間協議体を早急に稼働させる必要がある。K-防衛産業の次の10年は、この関門をどう越えるかにかかっている。
* この記事はAIによって翻訳されました。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
