CMMC(Cybersecurity Maturity Model Certification)

개요

미국 국방부(DoD: Department of Defense)의 인수 및 유지 담당 차관 사무소(OUSD: Office of the Under Secretary of Defense)는 주 계약업체 및 협력업체에 대한 사이버 보안 이벤트로부터 DoD의 지적 재산과 민감한 정보를 보호하기 위한 메커니즘으로 CMMC를 구현하고 있습니다. CMMC는 DIB(Defense Industrial Base) 회원사를 비롯한 DoD 외부 공급망의 보안 및 복원력에 초점을 맞춰, 대부분의 DoD 계약에 대해 조직이 제3의 평가자에 의한 인증을 거쳐야만 경쟁에 참여할 수 있도록 하는 도메인, 관행 및 절차에 대한 레벨별 요구 사항을 도입합니다. 방위 계약업체는 AWS를 통해 DoD 데이터를 처리, 유지 관리 및 저장하기 위한 CMMC 규정 준수 환경을 조성할 수 있습니다.

  • CMMC란 무엇입니까?

    CMMC란 "Cybersecurity Maturity Model Certification", 즉 "사이버 보안 성숙도 모델 인증"을 의미합니다. CMMC는 "Basic Cybersecurity Hygiene"(기본 사이버 보안 방역)에서 "Advanced/Progressive"(고급/진보)에 이르는 다양한 성숙도 레벨을 포함합니다. 각 성숙도 레벨마다 점점 더 까다로워지는 프로세스 및 실무 요구 사항을 충족해야 인증을 달성할 수 있습니다. DoD 계약에서는 필요한 CMMC 레벨을 정의합니다(레벨 1 - FCI(Federal Contract Information) 보호, 레벨 2 - CUI(Controlled Unclassified Information) 보호를 위한 전환, 레벨 3 - CUI 보호, 레벨 4 및 5 - CUI 보호 및 APT(Advanced Persistent Threats) 위험 감소). CMMC 웹 사이트를 방문하여 자세히 알아보세요.

  • CMMC를 구현하는 이유는 무엇입니까?

    DoD는 DoD의 민감한 정보와 지적 재산을 도난으로부터 보호하기 위해 새로운 CMMC 프레임워크로 전환하려고 합니다. CMMC 프레임워크는 DIB(Defense Industrial Base) 공급망의 사이버 보안을 평가 및 개선하고 적절한 사이버 보안 관행과 절차가 수립되어 있는지 확인합니다.

  • 누가 CMMC 인증을 받아야 합니까?

    DoD에 따르면 300,000개 이상의 DIB 조직이 5개의 CMMC 레벨 중 하나에 대한 평가 및 인증을 받아야 할 것으로 추정됩니다. 여기에는 주 계약업체와, 협력업체는 물론이고, 일반적으로 DoD에 제품 및 서비스를 판매하는 모든 조직이 포함됩니다. CMMC 레벨 요구 사항은 DoD 계약에 의해 개별적으로 발급됩니다.

  • DoD는 언제 CMMC 요구 사항을 구현할 예정입니까?

    DoD는 2021년 4월부터 DoD 제안 요청(RFP) 및 계약에 대한 CMMC 요구 사항을 단계적으로 시행할 것이며 2026년 완전 시행을 목표로 하고 있습니다. DoD는 초기 CMMC 롤아웃에 참가할 15개 초기 인수 대상, 일명 파일럿을 식별했습니다. 향후 5년 동안 CMMC 요구 사항은 점점 더 빠른 속도로 신규 DoD 계약에 포함될 것이며, 2026년까지 거의 모든 신규 DoD 계약에 CMMC 요구 사항이 포함될 것입니다.

  • 현재 AWS를 이용하는 DoD 공급망 회원사가 있습니까?

    DoD 공급망의 광범위한 조직, 프로그램 및 계약업체가 AWS를 이용하여 비즈니스와 운영을 혁신하고 있습니다. 이들은 AWS를 활용하여 Defense Federal Acquisition Regulation Supplement(DFARS), DoD Cloud Computing Security Requirements Guide(SRG), Federal Risk and Authorization Management Program(FedRAMP) 및 기타 연방 규정 준수 프로그램에 따라 미국 연방 정부의 데이터를 처리, 유지 및 저장하기 위한 안전한 환경을 조성합니다.

    사례 연구를 검토하여 AWS가 미국 국방부 군수국, 미국 공군, 미국 해군미국 특수 작전 사령부를 포함한 DoD와 Lockheed Martin, RaytheonGDIT와 같은 DoD 계약업체를 어떻게 돕고 있는지 알아볼 수 있습니다. AWS가 DoD의 높은 보안 요구 사항을 충족하는 방법에 대한 자세한 내용은 Cloud Computing for Defense 웹 페이지를 참조하세요.

  • 새로운 DoD “임시 규칙”은 조직에 어떤 영향을 미칩니까?

    2020년 9월 29일에 DoD는 2020년 11월 30일에 발효되는 3가지 새로운 DFAR 요구 사항을 수립하고 DFARS 요구 사항 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting을 부연하는 “임시 규칙”을 발표했습니다. 이 “임시 규칙”에서는 (1) 3년 간격의 자체 평가를 의무화하고(DFARS 252.204-7019), (2) 자체 평가 결과를 DoD 공급업체 성과 위험 시스템(SPRS)에 보고하며(DFARS 252.204-7020), (3) DoD 인수 담당자에게 DFARS 규칙 252.204-7021, CMMC 요구 사항을 향후 DoD 인수 시 포함할 것을 요구하여 초기 규칙에 대해 부연하고 3가지 새로운 요구 사항을 수립했습니다.

  • 조직에서 인증을 받으려면 어떻게 해야 합니까?

    DoD는 C3PAO, 평가자 및 DIB 엔터티에 대한 CMMC 인증 프로세스의 관리를 책임질 독립 기관이 될 CMMC Advisory Board(CMMC-AB)를 창설했습니다. C3PAO 평가자는 CMMC 레벨을 기준으로 사용하여 조직을 평가하게 됩니다. 국방 계약 관리국(DCMA)은 2021년 3월부터 C3PAO를 CMMC 레벨 3 인증으로 인증하겠다는 의향을 밝혔습니다. CMMC-AB는 C3PAO를 식별하는 CMMC Marketplace(https://cmmcab.org/marketplace/)를 유지합니다.

  • AWS는 CMMC 인증을 받았습니까?

    AWS는 독립 서드 파티 평가 조직(3PAO)의 NIST SP 800-171 평가를 완료했고 SP 800-171의 110개 제어 모두를 구현했습니다. AWS는 C3PAO와 연계하여 CMMC 평가를 수행했고 C3PAO가 DCMA의 “인증”을 받을 때를 기다리고 있습니다.

  • 클라우드 서비스는 CMMC 인증을 받아야 합니까?

    아니요. CMMC는 특정 CMMC 레벨에 대한 요구 사항과 비교하여 DIB 계약업체의 사이버 보안 기능 및 프로세스를 측정하는 인증입니다.

  • CMMC는 AWS의 다른 규정 준수 프로그램에서 통용됩니까?

    아니요. OUSD(A&S)는 FedRAMP와 같은 다른 규정 준수 프로그램을 정의하지 않았으며 ISO 27001 Information Security Management 또는 Defense Industrial Base Cybersecurity Assessment Center(DIBCAC) 평가는 DoD “임시 규칙” 또는 CMMC 버전 1.02의 CMMC 레벨에 매핑됩니다. OUSD(A&S)는 CMMC 버전 2.0에서 다른 규정 준수 프로그램과의 통용을 허여하겠다는 의도를 밝혔습니다.

  • AWS에서는 CMMC 인증에 도움이 되는 솔루션 및 규정 준수 문서를 제공합니까?

    AWS는 DoD 및 CMMC-AB와 CMMC 요구 사항에 대해 협업하면서 고객의 배포 및 인증을 가속화할 수 있는 솔루션을 개발하는 중입니다. 2020년 12월 22일에 AWS는 AWS GovCloud(미국) 리전에서 AWS 모범 사례에 따라 자동화되고 안전하며 확장 가능한 다중 계정 환경을 지원할 기본 AWS 인프라를 배포하는 데 도움이 되는 Compliant Framework for Federal and DoD Workloads in AWS GovCloud (US)를 발표했습니다. 이 솔루션은 DoD가 CMMC와 DoD Cloud Computing Security Requirements Guide(CC SRG) 영향 레벨(IL) 4 및 IL 5 클라우드 워크로드에 대해 규정한 요구 사항을 충족하도록 설계되었습니다. 

    AWS CMMC 규정 준수 문서와 액세스 방법에 대한 자세한 내용은 AWS 계정 관리자 또는 AWS에 문의로 문의하시기 바랍니다.

  • AWS Professional Services는 CMMC 규정 준수 요구 사항을 충족해야 하는 고객에게 지원을 제공합니까?

    예. AWS Professional Services 컨설턴트는 AWS Compliance Framework for Federal and DoD Workloads in AWS GovCloud (US)에 대한 교육을 이수했으므로 CMMC 규정 준수 관련 문제를 다루는 고객 구현을 지원할 수 있습니다.

  • CMMC 클라우드 환경을 배포할 때 사용해야 하는 AWS 리전은 어디입니까?

    AWS는 고객에게 비즈니스 및 DoD 프로그램 및 계약의 요구 사항에 따라 표준 및 제한된 리전(미국 동부/서부, AWS GovCloud(미국) 등)에서 AWS CMMC 솔루션을 배포하고 인증할 수 있는 유연성을 제공하고자 합니다.

CMMC 또는 DoD 규정 준수와 관련한 질문이 있는 경우 담당 AWS 계정 관리자에게 문의하거나 AWS 규정 준수 문의 양식을 제출하여 계정 팀에 연락하십시오.

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »