[뉴스토마토 윤영혜 기자] 러시아·우크라이나 전쟁 이후 한국 방위산업 수출액이 550억달러(75조원)를 돌파하며 급성장한 가운데, 미국과의 조선협력 프로젝트인 마스가(MASGA) 등 글로벌 공급망 진입을 위해서는 ‘사이버보안 인증체계(CMMC)’ 대응이 시급하다는 진단이 나왔습니다. 단일 업체를 넘어 2~3차 중소 협력사까지 K방산 생태계 전체가 수출 통제법을 비롯한 복잡한 미국 규제에 대비해야 한다는 제언입니다. 

 

 

장원준 전북대 첨단방산학과 교수는 24일 국회에서 열린 ‘K-방산 지속가능한 성장을 위한 대응전략과 개선방안’ 세미나에서 방산 시장 진입의 필수 조건으로 떠오른 미국 국방부의 CMMC 대응과 관련해 전방위적인 대비를 주문했습니다. CMMC는 미국 국방부가 자국 방산 공급망에 참여하는 기업의 사이버 보안 성숙도를 평가하는 제도로, 취급하는 정보의 민감도에 따라 1단계부터 3단계로 나뉘며 미인증 시 공급망에서 원천 배제됩니다.

 

레벨1은 일반 계약 정보를 다루며 자체 평가로 갈음할 수 있습니다. 하지만 대다수 방산업체가 속하는 레벨2부터는 통제비밀(CUI) 보호를 위해 110개의 엄격한 보안 요구사항을 충족해야 하고, 미국 내 공인된 제3자 기관(C3PAO)의 직접 인증을 받아야 합니다. 가장 민감한 핵심 기밀을 다루는 레벨3의 경우 추가적인 심화 보안 기준을 충족해야 하며, 제3자 기관이 아닌 미국 국방부가 직접 평가와 인증을 주관할 정도로 기준이 깐깐합니다.

 

장 교수는 특히 마스가를 언급하며 공급망 전체의 철저한 대비를 강조했습니다. 유지·보수·정비(MRO) 사업 등을 위해 한화오션(042660), HD현대(267250) 등 국내 기업들이 미국 정부와 계약을 맺고 있는데, 여기에 납품을 담당하는 2차, 3차 협력업체들도 보안 기준을 충족해야 하기 때문입니다. 장 교수는 “미국은 올해 11월부터 방산업체 대부분에 레벨2 인증을 본격적으로 요구할 예정”이라며 “중소기업이 개별적으로 감당하기 어려운 만큼 정부 차원의 가칭 ‘CMMC 지원센터’ 신설과 명확한 로드맵 제시가 필요하다”고 밝혔습니다.

 

CMMC 인증이 단순한 보안 요건을 넘어 기업의 생존을 가를 법적 리스크로 작용할 수 있다는 경고도 이어졌습니다. 김성진 법무법인 세종 변호사는 “제도 시행으로 CMMC가 계약 조건에 포함되면서 허위나 부실 인증 시 계약 해지와 입찰 제한 등 행정 제재에 직면할 수 있다”고 했습니다. 이어 “정보 유출에 따른 손해배상은 물론 유출 정보에 군사기밀이 포함될 경우 외교적 문제로 비화할 수 있다”며 “국내 국가정보원 주관 암호 모듈 등 현행 법령과의 충돌 문제를 해결하기 위한 정부 차원의 지원이 절실하다”고 덧붙였습니다.

 

미국 시장 진출 시 파생되는 수출 및 투자 규제 준수 역시 화두에 올랐습니다. 김세진 세종 통상산업정책센터장(전 산업부 통상분쟁대응과장)은 “한미 조선협력의 핵심은 단순히 외국에서 협력하는 것을 넘어 중장기적으로 미국 내 대대적인 조선업 투자를 유도해 현지 공급망을 구축하겠다는 것”이라며 “과거 자동차 산업처럼 1~3차 협력사가 미국에 동반 진출할 때 미국 국제무기거래규정(ITAR)과 수출관리규정(EAR), 외국인투자심의위원회(CFIUS) 안보 심사 등 엄격한 규제를 감당할 수 있도록 선제적으로 서류를 준비해야 한다”고 조언했습니다. 

 

윤영혜 기자 yyh@etomato.com