1. CMMC의 개요
(1) CMMC(Cybersecurity Maturity Model Certification)의 개념
- 사이버 공격으로부터 민감 정보를 보호하기 위한 수준 별 사이버 보안 성숙도 측정 모델 (인증 정책)
(2) CMMC의 특징
계층화 모델 | 민감도에 따라 수준 별 사이버보안 표준 구현 요구 |
평가 요구사항 | 명확한 사이버 보안 표준 충족 여부 평가 |
계약 기반 구현 | 계약 체결을 조건으로 특정 CMMC 수준 달성 |
- 2021.12 미국방부에서 CMMC 2.0 발표, 2025년 모든 사업에 CMMC 인증 요구 예정으로 산업계에도 CMMC 인증 필요
2. CMMC 모델과 수준 별 평가기준
(1) CMMC 모델
- CMMC 2.0은 1.0과 비교하여 수준 간소화, NIST 표준, 제3자 평가, 제한된 상황 요구사항 면제 적용
(2) CMMC 수준 별 평가기준 (CMMC 2.0 기준)
수준 | 평가기준 | 평가 주체 |
---|---|---|
Level 1 (Foundational) | FAR Clause 52.204 및 NIST SP 800-171 | 자체 평가 |
Level 2 (Advanced) | NIST SP 800-171 | 자체 및 제3자 평가 |
Level 3 (Expert) | NIST SP 800-171 및 800-172 | 제3자 평가 |
- CMMC 평가 영역(도메인)은 Access Control 등 14개 도메인으로, Level 1은 AC, IA, MP, PE, SC, CI 도메인에 대해 평가하고 Level 2 이상은 전체 도메인 대상 평가
3. CMMC 평가 영역(도메인) 및 수준 별 평가항목
도메인 | Level 1 평가항목 | Level 2 평가항목 | Level 3 |
---|---|---|---|
AC | 인증된 접근 통제 등 4개 | 미분류 정보 흐름 통제 등 18개 | 개발중 |
AT | N/A | 역할 기반 위험 인식 등 3개 | 개발중 |
AU | N/A | 시스템 감사 등 9개 | 개발중 |
CM | N/A | 시스템 기준 설정 등 9개 | 개발중 |
IA | 정보 시스템 사용자 식별 등 2개 | 다단계 인증 등 9개 | 개발중 |
IR | N/A | 사고 처리 등 3개 | 개발중 |
MA | N/A | 유지보수 수행 등 6개 | 개발중 |
MP | 미디어 폐기 1개 | 미디어 보호 등 8개 | 개발중 |
PS | N/A | 미분류 정보 선별 접근 등 2개 | 개발중 |
PE | 물리적 접근 제한 등 4개 | 시설 모니터링 등 2개 | 개발중 |
RA | N/A | 위험 평가 등 3개 | 개발중 |
CA | N/A | 보안 통제 평가 등 4개 | 개발중 |
SC | 내/외부 경계 보호 등 2개 | SW 보안 공학 등 14개 | 개발중 |
SI | 결함 수정 등 4개 | 보안 경고/권고 등 3개 | 개발중 |
- CMMC 프로그램은 미 국방부에서 제정하였지만 산업계에도 동일하게 적용되므로 산업계 표준이 될 가능성이 높아 CMMC 동향 파악 및 표준 준수 필요
[도메인 약어 정리]
- ACCESS CONTROL(AC)
- AWARENESS AND TRAINING (AT)
- AUDIT AND ACCOUNTABILITY (AU)
- CONFIGURATION MANAGEMENT (CM)
- IDENTIFICATION AND AUTHENTICATION (IA)
- INCIDENT RESPONSE (IR)
- MAINTENANCE (MA)
- MEDIA PROTECTION (MP)
- PERSONNEL SECURITY (PS)
- PHYSICAL PROTECTION (PE)
- RISK ASSESSMENT (RA)
- SECURITY ASSESSMENT (CA)
- SYSTEM AND COMMUNICATIONS PROTECTION (SC)
- SYSTEM AND INFORMATION INTEGRITY (SI)
[참고]
- U.S. DoD(Department of Defense), ABOUT CMMC (Documentation)