2023년 8월 11일

CMMC (Cybersecurity Maturity Model Certification)

1. CMMC의 개요

(1) CMMC(Cybersecurity Maturity Model Certification)의 개념

사이버 공격으로부터 민감 정보를 보호하기 위한 수준 별 사이버 보안 성숙도 측정 모델 (인증 정책)

(2) CMMC의 특징

계층화 모델	민감도에 따라 수준 별 사이버보안 표준 구현 요구
평가 요구사항	명확한 사이버 보안 표준 충족 여부 평가
계약 기반 구현	계약 체결을 조건으로 특정 CMMC 수준 달성

2021.12 미국방부에서 CMMC 2.0 발표, 2025년 모든 사업에 CMMC 인증 요구 예정으로 산업계에도 CMMC 인증 필요

2. CMMC 모델과 수준 별 평가기준

(1) CMMC 모델

CMMC 2.0은 1.0과 비교하여 수준 간소화, NIST 표준, 제3자 평가, 제한된 상황 요구사항 면제 적용

(2) CMMC 수준 별 평가기준 (CMMC 2.0 기준)

수준	평가기준	평가 주체
Level 1 (Foundational)	FAR Clause 52.204 및 NIST SP 800-171	자체 평가
Level 2 (Advanced)	NIST SP 800-171	자체 및 제3자 평가
Level 3 (Expert)	NIST SP 800-171 및 800-172	제3자 평가

CMMC 평가 영역(도메인)은 Access Control 등 14개 도메인으로, Level 1은 AC, IA, MP, PE, SC, CI 도메인에 대해 평가하고 Level 2 이상은 전체 도메인 대상 평가

3. CMMC 평가 영역(도메인) 및 수준 별 평가항목

도메인	Level 1 평가항목	Level 2 평가항목	Level 3
AC	인증된 접근 통제 등 4개	미분류 정보 흐름 통제 등 18개	개발중
AT	N/A	역할 기반 위험 인식 등 3개	개발중
AU	N/A	시스템 감사 등 9개	개발중
CM	N/A	시스템 기준 설정 등 9개	개발중
IA	정보 시스템 사용자 식별 등 2개	다단계 인증 등 9개	개발중
IR	N/A	사고 처리 등 3개	개발중
MA	N/A	유지보수 수행 등 6개	개발중
MP	미디어 폐기 1개	미디어 보호 등 8개	개발중
PS	N/A	미분류 정보 선별 접근 등 2개	개발중
PE	물리적 접근 제한 등 4개	시설 모니터링 등 2개	개발중
RA	N/A	위험 평가 등 3개	개발중
CA	N/A	보안 통제 평가 등 4개	개발중
SC	내/외부 경계 보호 등 2개	SW 보안 공학 등 14개	개발중
SI	결함 수정 등 4개	보안 경고/권고 등 3개	개발중

CMMC 프로그램은 미 국방부에서 제정하였지만 산업계에도 동일하게 적용되므로 산업계 표준이 될 가능성이 높아 CMMC 동향 파악 및 표준 준수 필요

[도메인 약어 정리]

ACCESS CONTROL(AC)
AWARENESS AND TRAINING (AT)
AUDIT AND ACCOUNTABILITY (AU)
CONFIGURATION MANAGEMENT (CM)
IDENTIFICATION AND AUTHENTICATION (IA)
INCIDENT RESPONSE (IR)
MAINTENANCE (MA)
MEDIA PROTECTION (MP)
PERSONNEL SECURITY (PS)
PHYSICAL PROTECTION (PE)
RISK ASSESSMENT (RA)
SECURITY ASSESSMENT (CA)
SYSTEM AND COMMUNICATIONS PROTECTION (SC)
SYSTEM AND INFORMATION INTEGRITY (SI)

[참고]

U.S. DoD(Department of Defense), ABOUT CMMC (Documentation)

Tags:보안 인증, 보안 성숙도, 사이버 보안 성숙도 측정 모델, 보안 성숙도 평가, CMMC, Cybersecurity Maturity Model Certification, CMMC 평가 영역

About The Author

도리

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^응답 취소