2026년 CMMC 2.0 및 NIST 800-171: 소규모 국방 계약업체를 위한 인증 로드맵

약 11분Mike ThriftMike Thrift
2026년 CMMC 2.0 및 NIST 800-171: 소규모 국방 계약업체를 위한 인증 로드맵

가공 부품부터 소프트웨어, 물류 서비스에서 엔지니어링 도면에 이르기까지 미 국방부(DoD)에 무엇이든 납품하고 있다면, 귀하의 비즈니스에는 이미 카운트다운이 시작되었습니다. 사이버보안 성숙도 모델 인증(CMMC) 프로그램은 2025년 11월 10일에 공식적으로 DoD 계약에 도입되었으며, 뒤이어 2026년 11월 10일부터 시작되는 제3자 인증 단계는 시간이 더 있을 것이라고 막연히 생각했던 수천 개의 소규모 협력업체들을 조용히 실격 처리할 것입니다.

CMMC에 관한 가장 불편한 사실은 이것이 완전히 새로운 규칙이 아니라는 점입니다. 이는 2017년부터 국방 연방 취득 규정 보충서(DFARS)에 포함되어 온 사이버 보안 요구 사항에 대한 검증 메커니즘일 뿐입니다. 업계 조사에 따르면 여전히 방산 계약업체의 15% 미만이 NIST SP 800-171 통제 항목을 완전히 구현한 것으로 나타났습니다. CMMC는 바로 이 격차를 드러내기 위해 설계되었으며, 이 격차는 이제 입찰의 승패를 결정짓는 계약상의 중요한 요소가 되었습니다.

이 가이드는 110개의 통제 프레임워크, 320개의 평가 목표 가이드, 그리고 3단계 인증 모델을 다음 입찰 공고가 마감되기 전에 예산을 세우고 계획하여 실행해야 하는 소규모 기업의 소유주, COO 및 IT 책임자들을 위해 작성되었습니다.

세 가지 레벨에 대한 쉬운 설명

CMMC 2.0은 기존의 5단계 모델을 3단계로 축소했습니다. 필요한 레벨은 회사의 규모나 계약 금액이 아니라 귀하가 취급하는 정부 정보의 종류에 따라 결정됩니다.

**레벨 1 (기초 단계)**은 귀하가 다루는 유일한 DoD 관련 정보가 연방 계약 정보(FCI)인 경우에 적용됩니다. FCI는 계약에 따라 또는 계약을 위해 생성된 비공개 정보로서 정부가 공개용으로 지정하지 않은 정보를 말합니다. 구매 주문서, 배송 일정, 기본 작업 명세서(SOW) 데이터 등을 생각하면 됩니다. 레벨 1은 FAR 조항 52.204-21의 17가지 기본 보호 통제 항목에 대응하며, DoD의 공급업체 성과 위험 시스템(SPRS)에 고위 관계자의 확인이 포함된 연례 자가 평가를 통해 충족됩니다.

**레벨 2 (고급 단계)**는 통제된 미분류 정보(CUI)가 귀하의 환경에 접촉하는 즉시 적용됩니다. CUI는 수출 통제 기술 데이터, 통제된 기술 정보, 해군 핵 추진 정보, 특정 유형의 개인 식별 정보 및 CUI 레지스트리에 정의된 기타 범주를 포함하는 더 넓은 개념입니다. 레벨 2는 NIST SP 800-171 개정 2판의 110개 통제 항목 모두를 구현해야 하며, NIST SP 800-171A의 320개 평가 목표에 따라 평가받아야 합니다. 대부분의 레벨 2 계약은 공인 제3자 평가 기관(C3PAO)으로부터 3년마다 평가를 받아야 합니다. "비핵심 CUI" 계약의 극히 일부는 연례 자가 평가를 허용할 수도 있지만, 계약 담당관이 명시적으로 말하지 않는 한 귀하의 계약이 이에 해당한다고 가정해서는 안 됩니다.

**레벨 3 (전문가 단계)**은 DoD의 최우선 순위 프로그램과 관련된 CUI를 다루는 계약업체를 위해 마련되었습니다. 이는 800-171의 110개 항목에 NIST SP 800-172의 24개 통제 항목을 추가로 요구하며, 국방 산업 기반 사이버 보안 평가 센터(DIBCAC)에서 평가를 수행합니다. 귀하가 레벨 3이라는 사실을 이미 알고 있는 것이 아니라면, 귀하는 레벨 3에 해당하지 않을 가능성이 매우 높습니다.

실질적인 시사점: 귀하의 비즈니스가 기술 도면, CUI로 표시된 사양서, ITAR 통제 데이터 또는 주계약자가 "통제 대상(controlled)"이라고 설명하는 모든 것을 받는다면, 귀하는 레벨 2 사업장이며 그에 맞춰 예산을 편성해야 합니다.

최종 규칙의 변경 사항

CMMC를 법제화하는 DFARS 개정안은 2025년 11월 10일에 발효되었으며, 4년에 걸쳐 단계적으로 시행됩니다. 흔히 오해하기 쉬운 두 가지 규칙 사항에 주의를 기울여야 합니다.

첫째, NIST SP 800-171 기본 자가 평가를 수행하고 SPRS에 점수를 게시해야 하는 독립적인 요구 사항인 DFARS 조항 252.204-7019는 CMMC 조항으로 통합되었으며 더 이상 별도의 조항으로 존재하지 않습니다. 많은 소규모 기업들이 여전히 자가 평가 점수를 게시하는 것이 준수 의무의 끝이라고 생각하고 있습니다. 2025년 11월 10일 이후 점수 게시는 입찰을 위한 최소한의 요건일 뿐이며, 2026년 11월 10일 이후에는 대부분의 CUI 계약에서 더 이상 충분하지 않게 됩니다.

둘째, DFARS 252.204-7021은 CMMC 인증을 계약 낙찰의 조건으로 규정하며, 계약업체가 수행 기간 내내 해당 인증을 유지할 것을 요구합니다. 이는 계약 중간에 인증이 만료되어서는 안 된다는 것을 의미합니다. 만약 인증이 만료된다면, 이는 공급망을 따라 주계약자에게까지 전달되는 규정 준수 문제를 야기하게 됩니다.

셋째, 2017년부터 시행되어 온 침해 사고 보고 조항인 DFARS 252.204-7012는 그대로 유지됩니다. 대상 국방 정보에 영향을 미치는 사이버 침해 사고를 보고하는 데는 여전히 72시간의 기한이 주어지며, 요청 시 포렌식 분석을 위한 매체를 제공해야 합니다.

14가지 통제 항목군(Control Families) 완벽 해부

레벨 2의 110개 통제 항목은 NIST SP 800-171의 구조를 반영하는 14가지 항목군으로 구성되어 있습니다. 이를 쉬운 용어로 읽어보면 실제 작업이 어디서 발생하는지 파악하는 데 도움이 됩니다.

**액세스 제어 (22개 항목)**는 누가 로그인할 수 있는지, 무엇을 볼 수 있는지, 내부에서 무엇을 할 수 있는지를 규정합니다. 환경 내 모든 사용자, 역할, 공유 계정에 대한 목록 작성이 필요합니다.

**인식 및 교육 (3개 항목)**은 모든 사용자에 대한 문서화된 보안 인식 교육과 권한이 있는 사용자에 대한 역할 기반 교육이 필요합니다. 일반적인 피싱 방지 모듈만으로는 충분하지 않습니다.

**감사 및 책임 추적성 (9개 항목)**은 사고 발생 시 일어난 일을 재구성할 수 있도록 시스템이 충분한 로그를 생성, 보호 및 검토해야 함을 요구합니다. 많은 소규모 기업이 여기서 실패하는 이유는 로그를 생성하지 못해서가 아니라 아무도 검토하지 않기 때문입니다.

**구성 관리 (9개 항목)**는 CUI(관리 대상 미분류 정보)를 처리하는 모든 시스템에 대한 기준점(baseline)을 설정하고 해당 기준의 변경 사항을 관리할 것을 요구합니다. 승인되지 않은 소프트웨어나 "섀도우 IT(Shadow IT)"가 감사 지적 사항이 되는 지점입니다.

**식별 및 인증 (11개 항목)**은 다요소 인증(MFA) 항목군입니다. 권한이 있는 계정에 대한 MFA는 필수입니다. CUI에 액세스하는 모든 계정에 대한 MFA는 감사자가 적용하는 실질적인 해석입니다.

**침해 사고 대응 (3개 항목)**은 문서화된 절차, 교육 및 보고를 갖춘 검증된 침해 사고 대응 역량이 필요합니다. DFARS 7012의 72시간 규정으로 인해 이 항목은 매우 구체적입니다.

**유지보수 (6개 항목)**는 원격 유지보수 및 사용자 환경을 다루는 벤더의 감독을 포함하여 CUI를 처리하는 시스템에 대한 유지보수 수행 방식을 통제합니다.

**매체 보호 (9개 항목)**는 CUI가 포함된 매체의 라벨링, 운송, 소거 및 폐기를 다룹니다. 여기에는 엔지니어링 데이터의 백업 복사본이 들어 있는 USB 드라이브도 포함됩니다.

**인력 보안 (2개 항목)**은 CUI에 대한 액세스 권한을 부여하기 전 신원 조사를 요구하며, 고용 종료 시 액세스 권한이 해지되도록 보장합니다.

**물리적 보호 (6개 항목)**는 방문자 로그 및 장비 보호 조치를 포함하여 CUI가 처리되는 시설에 대한 물리적 접근을 규정합니다.

**위험 평가 (3개 항목)**는 범위 내 시스템에 대한 정기적인 위험 평가 및 취약점 스캔이 필요합니다.

**보안 평가 (4개 항목)**는 문서화된 시스템 보안 계획(SSP)과 조치 계획 및 이정표(POA&M)를 요구합니다. 이 두 가지는 모든 평가자가 가장 먼저 확인하는 문서입니다.

**시스템 및 통신 보호 (16개 항목)**는 경계 보호, 전송 중 암호화, 저장 시 암호화 및 CUI와 기타 데이터의 아키텍처적 분리를 다룹니다.

**시스템 및 정보 무결성 (7개 항목)**은 결함 수정, 악성 코드 보호 및 모니터링을 다룹니다.

110개의 통제 항목은 NIST SP 800-171A에서 320개의 평가 목표로 확장됩니다. 각 목표는 평가자가 질문할 별개의 "예/아니오" 질문이며, 각 질문에는 정책, 구성 스크린샷, 로그 샘플, 서명된 확인서 등의 증거가 필요합니다. 규정 준수 증거 저장소 구축 전문가들은 깔끔한 레벨 2 평가를 위해 일반적으로 600개에서 1,200개 사이의 개별 증거가 필요할 것으로 추산합니다.

소규모 기업에 실제 발생하는 비용

국방부(DoD) 자체 규제 영향 분석에 따르면 영향을 받는 337,968개 엔터티 중 약 229,818개가 소규모 기업입니다. 비용 현실은 벤더의 홍보 자료가 인정하는 것보다 훨씬 더 다양합니다.

**차이 분석(Gap assessments)**은 외부 컨설턴트 비용이 저렴하게는 약 $3,500에서 SSP 초안을 포함한 철저한 Rev. 2 검토의 경우 $20,000까지 소요됩니다. 이는 보완 조치를 시작하기 전에 지출할 수 있는 가장 가치 있는 비용입니다. 실제 프로젝트의 규모를 알려주기 때문입니다.

보완 조치 비용은 소규모 기업의 경우 차이에 따라 일반적으로 $35,000에서 $115,000 사이가 소요됩니다. 고비용 항목은 주로 다음과 같습니다: 규정 준수 Microsoft 365 GCC High 테넌트(또는 그에 준하는 것), 엔드포인트 탐지 및 대응(EDR), 모든 곳에 적용되는 다요소 인증(MFA), 관리형 보안 정보 및 이벤트 관리(SIEM) 서비스, 그리고 필수 정책을 수립하고 운영하는 데 드는 노동력입니다.

C3PAO 평가 비용은 레벨 2 인증을 위한 비용으로 소규모 환경의 경우 일반적으로 $20,000에서 $75,000 사이이며, 규모가 크거나 복잡한 환경은 더 높을 수 있습니다. 현재 대기 기간은 3~6개월이며 점점 길어지고 있습니다. 약 8만 개의 레벨 2 계약업체를 지원하는 공인 C3PAO는 100개 미만이며, 공급이 아직 수요를 따라가지 못하고 있습니다.

지속적인 운영 비용 — 관리형 서비스, 교육, 도구, 내부 인력 시간 — 은 소규모 기업에 매년 $10,000에서 $20,000 사이의 추가 비용을 발생시키며, 이는 무기한으로 지속됩니다.

소규모 레벨 2 업체의 총 소유 비용(TCO)은 첫 번째 인증 주기를 포함하여 3년 동안 보통 $80,000에서 $250,000 사이입니다. 레벨 1은 훨씬 저렴하며, 환경이 이미 적절하게 관리되고 있다면 $10,000 미만으로 달성 가능한 경우가 많습니다.

이 수치들은 부담스러울 수 있습니다. 하지만 이는 입찰가에 반영될 수 있는 비용입니다. 만약 귀사의 계약이 이러한 비용을 감당할 수 없다면, DoD 사업을 계속 추진하기 전에 답해야 할 전략적 문제입니다.

조치 계획 및 이정표(POA&M)의 예외 조항

최종 규칙은 레벨 2에 대해 제한된 POA&M 메커니즘을 유지합니다. 다음 조건이 충족되면 미결 항목이 있더라도 조건부 인증을 획득할 수 있습니다:

  • 전체 SPRS 점수가 88점 이상(110점 만점)이어야 합니다.
  • 미결 항목이 평가 시점에 반드시 충족되어야 하는 고가치 통제 항목(다요소 인증, FIPS 인증 암호화, 지속적인 보안 모니터링 및 기타 소수 항목)에 포함되지 않아야 합니다.
  • 180일 이내에 모든 미결 항목을 해결해야 하며, 이 시점에 종결 평가를 통해 조건부 상태가 최종 상태로 전환됩니다.

POA&M은 유용하지만 준비를 대신할 수는 없습니다. 180일 이내의 보완에 실패하여 조건부 인증이 취소되는 것은 초기 평가를 연기하는 것보다 실질적으로 더 위험합니다. 계약 도중에 인증을 상실하는 결과를 초래할 수 있기 때문입니다.

지금 시작하는 소규모 계약업체를 위한 90일 로드맵

2026년 중반인데 아직 시작하지 않았다면, 여기 현실적인 압축 일정이 있습니다. 이 일정은 레벨 2를 목표로 하며, 귀하의 환경이 직원 10명에서 50명 규모의 일반적인 소기업과 유사하다고 가정합니다.

1~14일차: 범위 확정 및 인벤토리. CUI(통제 대상 미분류 정보)와 접촉하는 모든 시스템, 사용자 계정, 데이터 흐름을 식별합니다. 대부분의 소기업은 환경 내 CUI 범위를 과도하게 잡는 경향이 있습니다. 목표는 계약상의 의무를 충족하면서도 방어 가능한 가장 작은 엔클레이브(enclave)를 구성하는 것입니다. 전용 CUI 엔클레이브(별도의 Microsoft 365 GCC High 테넌트 또는 그에 준하는 환경)를 사용할지, 아니면 전사적 컴플라이언스를 시도할지 결정하십시오. 소규모 업체에는 엔클레이브 방식이 거의 항상 비용 면에서 유리합니다.

15~30일차: 격차 분석(Gap Assessment). 등록된 실무 기구(RPO)나 자격을 갖춘 컨설턴트를 고용하여 110개 통제 항목과 320개 목표에 대해 NIST SP 800-171 Rev. 2 격차 분석을 수행합니다. 통제 항목별 결과, 권장 보완 조치, SSP(시스템 보안 계획) 초안이 포함된 서면 보고서를 요구하십시오.

31~60일차: 보완 작업 스프린트. 고가치 통제 항목은 POA&M에 포함될 수 없으므로 우선적으로 처리합니다. CUI를 다루는 모든 계정에 MFA(다요소 인증)를 설정합니다. CUI 워크로드를 규정을 준수하는 테넌트로 마이그레이션합니다. EDR을 배포합니다. 중앙 집중식 로그 수집을 구축합니다. 평가 가이드에서 요구하는 14개의 정책 문서를 작성하거나 구매합니다.

61~75일차: 문서화 및 교육. SSP를 마무리하고, 역할 기반 보안 교육을 완료하며, 첫 번째 내부 침해 사고 대응 도상 연습(tabletop exercise)을 실시하고, SPRS 점수를 업데이트합니다. 심사원이 요청할 증거 저장소를 구축합니다.

76~90일차: 예비 평가 및 예약. NIST SP 800-171A를 기준으로 내부 모의 평가를 실시합니다. 남은 격차를 해소합니다. C3PAO 심사 예약을 요청하십시오. 실제 심사 날짜는 요청일로부터 90~180일 이후가 될 수 있음을 인지해야 합니다. 대기 시간 동안은 통제 항목을 실제로 운영하십시오. 심사원은 갓 만들어진 정책이 아니라 지속적으로 운영된 증거를 확인합니다.

이 일정은 매우 공격적입니다. 하지만 경영진의 의지, 정직한 범위 설정, 그리고 비용 지출 의사가 있는 조직이라면 달성 가능합니다. 문서화되지 않고 방대한 환경에 컴플라이언스를 억지로 끼워 맞추려는 조직은 보통 9개월에서 12개월이 소요됩니다.

컴플라이언스 프로젝트를 위한 회계 처리

두 가지 재무 관리 실수가 소기업의 CMMC 프로젝트를 어렵게 만듭니다.

첫 번째는 컴플라이언스 지출을 하나의 항목으로 처리하는 것입니다. 명확한 계정 과목 일람표(Chart of Accounts)를 통해 일회성 보완 비용(대부분의 경우 자본화 가능), 반복적인 소프트웨어 구독 비용(운영 비용), 내부 직원의 인건비(여러 프로그램에 할당 가능한 경우가 많음), 평가 수수료(비용 보전 계약 시 간접비율로 인정받을 수 있는 계약 수준 비용)를 분리해야 합니다. 특히 DCAA 관련 회계 시스템을 사용하는 국방 계약업체는 이러한 범주를 정확하게 추적해야 합니다. 잘못된 분류는 몇 년 후 감사에서 비용 불인정(questioned costs) 문제로 이어질 수 있습니다.

두 번째는 계약별로 CMMC 비용을 추적하지 못하는 것입니다. 컴플라이언스 투자가 특정 계약 요구 사항으로 인해 발생했다면, 허용 비용이나 후속 입찰의 가격 책정을 통해 일부를 회수할 수 있습니다. 특정 지출이 어떤 계약을 지원했는지 입증할 수 없다면 비용 회수 근거를 마련할 수 없습니다.

플레인 텍스트 기반의 버전 관리형 회계(Plain-text, version-controlled accounting)는 감사 가능한 추적 기록을 남기기 때문에 이 환경에 매우 적합합니다. 모든 트랜잭션은 사람이 읽을 수 있고, 모든 변경 사항은 버전 관리 시스템에 기록되며, 장부 자체는 특수 벤더 도구 없이도 DCAA 감사인이 검토할 수 있습니다. NIST SP 800-171의 여러 통제 항목(특히 감사 및 책임성, 구성 관리 분야)은 IT 시스템에서 이와 유사한 특성을 요구하며, 재무 기록 또한 동일한 표준을 충족하는 것은 매우 체계적인 방식입니다.

피해야 할 일반적인 실패 유형

첫 번째 심사에서 탈락하는 소규모 계약업체들에서 반복되는 몇 가지 패턴이 있습니다.

MFA를 선택 사항으로 취급. 권한 있는 계정에 대한 다요소 인증(MFA) 누락은 가장 흔한 통제 실패 사례입니다. 또한 가장 저렴하게 해결할 수 있는 부분이기도 합니다. 첫 주에 이 문제를 해결하십시오.

CUI 분류 오류. 너무 많은 정보를 CUI로 분류하여 범위와 비용을 불필요하게 늘리거나, 너무 적게 분류하여 실제 보안 노출을 발생시키는 경우입니다. 프로젝트 범위를 정하기 전에 계약 담당자에게 CUI 범주를 명확히 해달라고 요청하십시오.

IT 보안과 사이버 보안 컴플라이언스를 혼동. 노트북 패치를 관리해 주는 관리형 서비스 제공업체(MSP)가 RPO나 C3PAO와 같지는 않습니다. 기술적으로 겹치는 부분이 있지만, 문서화, 증거 확보, 평가 준비 작업은 다른 전문 분야입니다.

문서화의 과소평가. 심사원은 구두 설명에 점수를 주지 않습니다. 모든 통제 항목에는 요청 시 제작할 수 있는 증거가 아니라, 현재 존재하는 증거가 필요합니다. 보완 작업을 진행하면서 동시에 증거 저장소를 구축하십시오.

원청 업체가 처리해 줄 것이라는 믿음. 원청 업체(Prime)는 하도급 계약을 통해 컴플라이언스 요구 사항을 전달합니다. 그들은 여러분의 심사원이나 감사인이 아니지만, 하도급 업체의 미준수가 자신들의 인증을 위태롭게 한다면 가차 없이 계약을 철회할 것입니다.

컴플라이언스 비용의 가시성과 감사 가능성 유지하기

사이버 보안 컴플라이언스는 이제 모든 국방 계약업체가 프로그램 수명 주기 내내 부담해야 하는 비용 항목입니다. 계약별, 통제 항목군별, 그리고 교정 비용 대 운영 비용별로 이러한 비용을 명확하게 추적하는 것은 DCAA 감사에서 방어할 수 있는 프로젝트와 수익성을 조용히 악화시키는 프로젝트를 가르는 차이입니다. Beancount.io는 벤더 종속성이나 블랙박스 보고서 없이 모든 재무 기록에 대해 완전한 투명성과 버전 관리를 제공하는 텍스트 기반 회계(plain-text accounting)를 제공합니다. 지금 무료로 시작하여 CMMC가 IT 환경에 요구하는 것과 동일한 수준의 감사 준비 태세를 회계 장부에도 갖추십시오.