CMMC를 위한 최고의 가이드

사이버 보안 성숙도 모델 인증 프로그램은 모든 DIB(방위 산업 기지) 회사가 적절한 사이버 보안 관행을 구현하도록 설계된 확인 메커니즘입니다. NIST(National Institute of Standards and Technology) SP(Special Publication) 800-171을 기반으로 하는 CMMC 프레임워크는 모든 DIB 계약업체를 인증 가능한 하나의 보안 표준으로 통합합니다.

간단히 말해, 모든 DoD(국방부) 미션 파트너는 특정 변수에 따라 동일한 보안 제어 세트를 채택해야 합니다. 그럼에도 불구하고 DoD 계약에 입찰하는 모든 정부 계약업체는 CMMC 인증을 받아야 하며, 이를 통해 요건을 충족했는지 확인해야 합니다.

CMMC를 만든 이유는 무엇입니까?

2016년 10월 DoD는 'Safeguarding Covered Defense Information and Cyber Incident Reporting'(보호 대상 국방 정보 및 사이버 사고 보고)이라는 이름의 DFARS(국방부 조달 규정 세칙) 조항을 발표했습니다. 이 규정에 따라 방위산업체는 사이버 보안 성숙도를 자체적으로 검증하기만 하면 됐습니다.

그러나 감사가 부정확한 경우가 많았고 거의 수행되지 않아 규정 준수가 지속적으로 이루어지지 않았습니다. 결과적으로 DoD 기관은 미션 파트너가 정부 자산을 보호하기 위해 필요한 모든 조치를 취하고 있다는 확신을 갖지 못했습니다.

이러한 자체 검증 모델을 대체할 방안으로 2019년 DoD는 CMMC를 공개했습니다. 2020년 11월부터 CMMC 표준을 DoD 계약 요건에 통합하기 시작했습니다.

CMMC 규정 준수가 중요한 이유는 무엇입니까?

CMMC 프레임워크의 목적은 정부 정보에 대한 무단 액세스 및 노출 위험으로부터 보호하는 것입니다. 더 자세히 설명하자면, 다음 2가지 유형의 데이터를 보호하기 위한 관행을 따르도록 합니다.

1. CUI(통제된 미분류 정보): 통제된 미분류 정보란 기밀 정보는 아니지만 특정 정부 정책 및 조례로 인해 보호가 필요한 모든 데이터입니다. CUI는 중요한 인프라, 재무 기록, 국방 및 기타 민감한 영역과 관련될 수 있습니다.
2. FCI(연방 계약 정보): 그에 반해 FCI는 공개적으로 공표되지 않은 계약하에 미국 정부가 제공하거나 생성한 정보입니다. CUI만큼 민감하지는 않지만 연방 계약 정보 또한 엄격하게 보호되어야 합니다.

정부 기관을 대상으로 하는 사이버 공격이 늘어나면서 CMMC 규정 준수가 중요해졌습니다. 국가가 지원하는 해킹은 특히 막대한 비용이 들 수 있으며 해킹 한 번에 드는 평균 비용은 443만 달러에 이릅니다. 더 심각한 사실은 정부 데이터의 특성을 고려할 때 이러한 공격이 국가 안보를 포함한 미국의 이익을 위태롭게 할 수 있다는 것입니다.

CMMC 인증을 받으면 어떤 이점이 있습니까?

방위산업체는 당연히 CMMC 요건을 준수해야 합니다. 이는 모든 미션 파트너에게 의무일 뿐만 아니라 경쟁력 있는 비즈니스 이점이기도 합니다. 예를 들어, CMMC 인증을 획득하면 다음을 수행할 수 있습니다.

• DoD 계약에 대한 입찰 지원
• 기관 고객에게 고수준 보안 보장
• 사이버 복원력 강화 및 위험 노출 최소화

CMMC 2.0이란 무엇입니까?

DoD는 2021년 11월 CMMC 프레임워크를 업데이트하고 단순화할 계획을 발표했습니다. 목표는 인증 프로세스를 간소화하여 계약업체가 CMMC 표준을 보다 쉽게 구현하고 준수할 수 있도록 하는 것이었습니다.

이를 통해 프레임워크를 보다 균일하고 포괄적이며 쉽게 이해할 수 있는 CMMC 버전 2.0으로 통합했습니다. 앞으로, DoD는 2025년 10월 1일까지 계약을 체결할 수 있는 자격을 얻기 위해 최소한 일정 수준의 CMMC 인증을 요구할 것입니다.

CMMC는 계층화된 시스템을 사용하여 요건을 구성합니다. 원래 버전에는 5개의 개별 수준이 있었지만 CMMC 2.0에서는 프레임워크를 3개로 단순화했습니다.

이는 계약업체(및 하도급자)가 FCI 및 CUI를 처리하는 방식에 따라 조정됩니다. 일반적으로 민감한 정보를 처리할수록 규정 준수 요건도 더욱 엄격해집니다.

따라서 각 수준마다 자체 프로세스, 관행, 평가 절차가 있으며 이전 수준을 기반으로 합니다.

1. CMMC 수준 1(기본): 자체 평가를 통해 확인된 17개 관행
2. CMMC 수준 2(고급): 3년마다 수행되는 제3자 보안 평가를 통해 확인되고 NIST SP 800-171에 부합하는 110개 관행
3. CMMC 수준 3(전문가): 3년에 한 번씩 정부 주도의 보안 평가를 통해 확인되고 NIST SP 800-172를 기반으로 한 110개 이상의 관행

CMMC는 또한 특정 사이버 보안 관행을 43개 기능을 갖춘 14개 도메인으로 분류합니다. 이러한 맥락에서 '기능'이란 DoD 계약업체가 해당 수준에 따라 시행하고 관리해야 하는 보안 제어를 의미합니다. CMMC 도메인에는 다음이 포함됩니다.

1. 액세스 제어
2. 감사 및 책임
3. 인식 및 교육
4. 구성 관리
5. 식별 및 인증
6. 사고 대응
7. 유지관리
8. 미디어 보호
9. 인적 보안
10. 물리적 보호
11. 위험 평가
12. 보안 평가
13. 시스템 및 통신 보호
14. 시스템 및 정보 무결성

Entrust는 다음 9개의 CMMC 도메인에서 규정 준수를 용이하게 하는 솔루션을 제공합니다.

CMMC 도메인

CMMC 도메인액세스 제어(AC)

CMMC 도메인감사 및 책임(AU)

CMMC 도메인구성 관리(CM)

CMMC 도메인식별 및 인증(IA)

CMMC 도메인유지 보수(MA)

CMMC 도메인미디어 보호(MP)

CMMC 도메인물리적 보호(PE)

CMMC 도메인시스템 및 통신 보호(SC)

CMMC 도메인시스템 및 정보 무결성(SI)

기능

액세스 제어(AC)

• 시스템 액세스 요구 사항 설정
• 내부 시스템 액세스 제어
• 원격 시스템 액세스 제어
• 승인된 사용자 및 프로세스에 대한 데이터 액세스 제한

감사 및 책임(AU)

• 감사 요구 사항 정의
• 감사 수행
• 감사 정보 식별 및 보호
• 감사 로그 검토 및 관리

구성 관리(CM)

• 구성 기준 설정
• 구성 및 변경 관리 수행

식별 및 인증(IA)

• 인증된 항목에 대한 액세스 권한 부여

유지 보수(MA)

• 유지보수 관리

미디어 보호(MP)

• 미디어 식별 및 표시
• 미디어 보호 및 제어
• 미디어 완전 삭제
• 전송 중 미디어 보호

물리적 보호(PE)

• 물리적 액세스 제한

시스템 및 통신 보호(SC)

• 시스템 및 통신에 대한 보안 요구 사항 정의
• 시스템 경계에서 통신 제어

시스템 및 정보 무결성(SI)

• 정보 시스템 결함 식별 및 관리
• 악성 콘텐츠 식별
• 네트워크 및 시스템 모니터링 수행
• 고급 이메일 보호 구현

Entrust 지원

액세스 제어(AC)

감사 및 책임(AU)

구성 관리(CM)

식별 및 인증(IA)

유지 보수(MA)

미디어 보호(MP)

물리적 보호(PE)

시스템 및 통신 보호(SC)

시스템 및 정보 무결성(SI)

CMMC 평가 프로세스는 엄격하게 설계되었습니다. 규정 준수 여정을 시작하는 것은 어려울 수 있지만 잘 계획된 체크리스트를 사용하여 천천히 단계별로 진행할 수 있습니다.

시작하는 데 도움이 되도록 각 항목을 살펴보겠습니다.

1. CMMC 수준 결정: 최소 사이버 보안 성숙도 수준은 FCI 및 CUI를 처리하는 방법에 따라 달라집니다. 시스템, 네트워크, 프로세스의 인벤토리를 작성하여 이 데이터를 접하는 위치와 방법을 정확히 식별합니다.
2. 자체 평가 수행: CMMC 격차 분석을 수행하여 모범 사례와 일치하지 않는 취약점이나 개선 영역을 탐지합니다.
3. SSP(시스템 보안 계획) 수립: CMMC 인증을 받으려면 SSP가 필요합니다. 보안 환경과 제어 기능을 매핑하여 환경의 경계, 다른 시스템과 연결되는 위치, 특정 요건의 실행력을 확인할 수 있습니다.
4. 미래 대비형 도구에 투자: 사이버 보안 태세에 빈틈이 있을 것입니다. 추가 솔루션을 구축하여 기본을 지키면서 CMMC 규정 준수 요건을 충족할 수 있도록 대비하십시오.
5. 제3자 감사관 참여: CMMC 감사는 등록된 실무자, 등록된 제공업체 기관 또는 3PAO(제3자 평가 기관)에서 수행해야 합니다.
6. 규정 준수: 인증을 받은 후에는 지속적인 모니터링을 시행하여 벌어지는 격차를 식별하고 보안 제어가 의도한 대로 계속 작동하도록 해야 합니다.

Entrust 솔루션으로 규정 준수 단순화

DoD 계약업체라면 규정 준수가 필수입니다. 그렇다고 해도 결코 쉽지 않은 일입니다.

그러나 프로세스를 단순화하고, 방어를 강화하고, CMMC 인증을 획득하여 유지할 수 있는 방법이 있습니다. 전문 파트너로 Entrust를 선택한다면 CMMC 인증을 준비할 수 있으며 향후 수년간 미래 보장형 보안을 지원하는 솔루션 포트폴리오를 구축할 수 있습니다.

신원, 인증부터 미디어 보호, 액세스 제어 등에 이르기까지 CMMC 도메인을 쉽게 활용할 수 있도록 도와드립니다. Entrust Public Key Infrastructure 또는 Entrust Identity as a Service를 통해 회사와 DoD 파트너가 잘 보호된다는 확신을 가질 수 있습니다.