CMMC 인증 완전 정리 — 주한미군 입찰 업체가 반드시 알아야 할 모든 것 (2026)

목차
> 1. CMMC란 무엇인가
> 2. 왜 2026년이 중요한 시점인가
> 3. Level 1 vs Level 2 — 우리 회사는 어디에 해당하나
> 4. Level 1 상세 가이드
> 5. Level 2 상세 가이드
> 6. 최근 USACE·USFK 동향
> 7. 실전 체크리스트

---

## 1. CMMC란 무엇인가

CMMC(Cybersecurity Maturity Model Certification)는 미 국방부(DoD)가 방위산업 공급망의 사이버보안 수준을 검증하기 위해 도입한 인증 제도입니다.

도입 배경은 간단합니다. 기존에는 업체가 "우리는 NIST SP 800-171 보안 기준을 준수하고 있습니다"라고 자진 신고하는 방식으로 운영됐습니다. 그러나 허위 신고와 사이버 침해 사고가 반복되면서 미 국방부는 **검증 가능한 제3자 인증 체계**가 필요하다는 결론에 이르렀습니다.

2025년 11월 10일, 48 CFR 규정이 발효되면서 CMMC는 **DoD 계약 낙찰의 법적 선결 조건**이 됐습니다. 인증 없이는 계약 자격이 없습니다.

---

## 2. 왜 2026년이 중요한 시점인가

### Phase별 시행 타임라인

**Phase 1 (2025.11.10 ~ 2026.11.9) — 현재 진행 중**
신규 DoD 입찰 공고에 CMMC 자체평가 요건이 포함되기 시작했습니다. SPRS에 CMMC 상태가 없으면 계약관이 심사에서 탈락시킬 수 있습니다.

실제 사례: 미군입찰센터가 최근 지원한 **미 해군(US Navy) 소규모 입찰**에서 CMMC Level 1이 입찰 참가 조건으로 명시됐습니다. 계약 금액이 크지 않은 건임에도 불구하고 Level 1 인증이 없으면 참여 자체가 불가능했습니다. 미군입찰센터의 지원으로 Level 1을 취득한 고객사는 해당 입찰에 참여해 최종 낙찰에 성공했습니다. 금액 규모와 무관하게 CMMC는 이미 실제 계약 현장에서 작동하고 있습니다.

**Phase 2 (2026.11.10~) — 핵심 마감**
CUI를 취급하는 계약에 C3PAO(제3자 인증기관) 공식 평가가 의무화됩니다. NAVFAC Southwest는 이미 "2026년 11월 이후 발행되는 모든 공고에 CMMC Level 2 인증을 요구할 것"이라고 공식 발표했습니다.

**Phase 3 (2027.11.10~)**
Level 3 요건 적용이 시작됩니다.

**Phase 4 (2028.11.10~)**
모든 DoD 계약과 옵션 기간에 전면 의무화됩니다.

### C3PAO 수급 문제가 심각합니다

2026년 2월 기준, Level 2 인증이 필요한 76,598개 업체 중 실제 인증을 완료한 곳은 1,042개에 불과합니다. 전체의 약 1.4%입니다.

인가된 C3PAO는 전 세계 약 80개이며, 2,000~3,000명의 인증 심사관이 필요하지만 현재 공급은 800명 미만입니다. 2026년 3분기부터는 신규 고객의 C3PAO 대기 시간이 18개월을 초과할 것으로 예상됩니다.

**지금 시작하지 않으면 2027년 이후에나 인증을 받을 수 있습니다.**

---

## 3. Level 1 vs Level 2 — 우리 회사는 어디에 해당하나

판단 기준은 단순합니다. 취급하는 정보의 종류입니다.

### FCI vs CUI

**FCI (Federal Contract Information, 연방계약정보)**
공개용이 아닌 계약 관련 비공개 정보 전반입니다. 계약서, 발주 이메일, 견적서, 납품 일정 등이 해당됩니다.
→ CMMC Level 1 적용 대상

**CUI (Controlled Unclassified Information, 통제비분류정보)**
법령에 의해 보호가 요구되는 민감 정보입니다. 군사시설 도면, 기술 사양서, 시설 배치도, BIM 데이터 등이 해당됩니다.
→ CMMC Level 2 적용 대상

### 업종별 레벨 판단

Level 1 해당 — FCI만 취급하는 업종
일반 물품·소모품 납품, 청소·경비·시설 관리·조경, 식음료·케이터링·세탁, 도면 없는 일반 건설

Level 2 해당 — CUI를 취급하는 업종
건축설계·A&E·엔지니어링 (군사시설 도면 = CUI)
IT·네트워크·보안 시스템 (군 IT 환경 접근)
방산 기자재·특수 장비 (기술 사양서 = CUI)
건설 감리·설계 용역 (시설 배치도 = CUI)

---

## 4. CMMC Level 1 상세 가이드

### 개요

- 대상: FCI만 취급하는 모든 DoD 계약자
- 근거: FAR 52.204-21
- 요건: 15개 보안 요건, 58개 평가항목
- 평가: 연간 자체평가 (제3자 심사 불필요)
- 결과물: CMMC UID 발급, SPRS 'Final Level 1 Self-Assessment' 상태 등록

### 15개 요건 도메인 요약

**접근 통제 (AC)**
시스템 접근 권한자 명확화, 외부 연결 통제, 공개 시스템 FCI 게시 통제. 핵심은 "누가 어떤 시스템에 접근할 수 있는가"를 문서화하는 것입니다.

**식별 및 인증 (IA)**
사용자·장치·프로세스 식별 및 인증. 비밀번호 복잡도 정책, 퇴직자 계정 즉시 삭제 절차 등이 포함됩니다.

**미디어 보호 (MP)**
USB 등 이동식 미디어 통제. 폐기 시 데이터 완전 삭제 절차 수립이 핵심입니다.

**물리적 보호 (PE)**
서버·PC에 대한 물리적 접근을 허가된 인원으로 제한합니다. 서버룸 잠금, 출입 기록 관리 등이 해당됩니다.

**시스템 보호 (SC)**
네트워크 경계 모니터링, 공개 시스템과 내부 시스템 분리. 방화벽 설정 및 네트워크 구성도 문서화가 필요합니다.

**시스템 무결성 (SI)**
백신 설치 및 정기 업데이트, 보안 취약점 패치 관리. 단순히 설치만 되어 있는 것이 아니라 **최신 상태 유지**가 요건입니다.

### 취득 절차

```
Step 1  PIEE 계정 생성 + SPRS Cyber Vendor User 역할 신청 (1~3 영업일 승인 대기)
Step 2  15개 요건 현황 점검 및 미충족 항목 보완
Step 3  NIST SP 800-171 Basic Assessment 점수 산출 → SPRS 입력 (DFARS 252.204-7019)
Step 4  CMMC Level 1 Self-Assessment SPRS 입력 (DFARS 252.204-7021)
Step 5  AO(Affirming Official, 임원) 최종 전자 확인(Affirm)
Step 6  CMMC UID 발급 완료
```

- **소요 기간:** 약 2~3주
- **유효기간:** 1년 (만료 전 매년 갱신)
- **비용:** 준비된 업체는 자체 진행 가능. 처음이라면 전문 지원 강력 권장

### 흔히 막히는 포인트

많은 업체가 15개 요건을 실제로는 갖추고 있지만 다음 이유로 진행을 못 하는 경우가 많습니다.

1. PIEE 시스템 접근 자체를 모릅니다
2. SPRS Cyber Vendor User 역할 신청 방법을 모릅니다
3. CAGE 코드와 PIEE 계정 연동이 되지 않습니다
4. AO Affirm 절차를 모릅니다
5. 모든 과정이 영어로만 진행됩니다

---

## 5. CMMC Level 2 상세 가이드

### 개요

- 대상: CUI를 취급하는 DoD 계약자
- 근거: NIST SP 800-171 Rev. 2
- 요건: 14개 도메인, 110개 보안 통제 항목
- 평가: C3PAO(제3자 인증기관) 공식 평가 (3년 주기)
- 결과물: SPRS 'Final Level 2 (C3PAO)' 상태 등록

### 14개 도메인 110개 항목 개요

접근 통제 (AC, 22개) — 계정 관리, MFA, 원격접속 통제
인식 및 교육 (AT, 3개) — 직원 사이버보안 교육
감사 및 책임 (AU, 9개) — 보안 로그 수집·분석·보관
구성 관리 (CM, 9개) — 시스템 베이스라인, 변경 관리
식별 및 인증 (IA, 11개) — MFA, 비밀번호 정책
사고 대응 (IR, 3개) — 사고 보고 체계, 대응 절차
유지보수 (MA, 6개) — 원격 유지보수 통제
미디어 보호 (MP, 9개) — 미디어 관리, 암호화, 폐기
인력 보안 (PS, 2개) — 직원 보안 심사, 퇴직 절차
물리적 보호 (PE, 6개) — 물리 접근 통제, 방문자 관리
위험 평가 (RA, 3개) — 위험 평가, 취약점 스캔
보안 평가 (CA, 4개) — 시스템 평가, 보안 계획
시스템 보호 (SC, 16개) — 네트워크 분리, 암호화
시스템 무결성 (SI, 7개) — 악성코드 방지, 패치 관리

### 취득 절차

**Phase 1 — GAP 분석 (2~3주)**
CUI 취급 시스템 범위(Scope)를 확정합니다. 110개 항목 MET/NOT MET/N/A 분류. 이 단계에서 CUI Enclave 전략을 적용하면 평가 범위와 비용을 대폭 줄일 수 있습니다.

**Phase 2 — SSP 작성 (3~4주)**
시스템보안계획서(SSP)를 영문으로 작성합니다. C3PAO 평가의 핵심 검토 문서이며, 14개 도메인 110개 항목에 대해 구현 현황을 영문으로 기술합니다.

**Phase 3 — IT 보안 구현 (4~8주)**
NOT MET 항목에 대한 기술 구현 단계입니다. MFA(다중인증), SIEM(보안 로그 관리), 취약점 스캔, 네트워크 분리 등이 포함되며, 전체 비용과 기간의 대부분을 차지합니다.

**Phase 4 — POA&M 작성 (2주)**
미충족 항목에 대한 개선조치계획서(POA&M)를 작성합니다. 88점 이상 달성 시 조건부 C3PAO 평가 진행이 가능합니다.

**Phase 5 — C3PAO 공식 평가 (4~8주)**
Cyber AB 인가 C3PAO의 문서 검토, 인터뷰, 기술 테스트를 진행합니다. 통과 시 SPRS Final Level 2 (C3PAO) 상태로 등록됩니다.

- **소요 기간:** 약 5~7개월
- **유효기간:** 3년 (매년 임원 Affirmation 필요)
- **예상 비용:** 2,200만 원 ~ 3,800만 원 (Scope·보안 수준에 따라 상이)

---

## 6. 최근 USACE·USFK 동향

### USACE FED Industry Day 2026 공식 확인 사항

2026 USACE FED Industry Day에서 다음 내용이 공식 확인됐습니다.

- 군사시설 설계도면은 DoD CUI Registry Defense 카테고리에 해당 → A&E 업체 Level 2 의무
- 2026년 11월 이후 신규 A&E 입찰 공고에 Level 2 C3PAO 인증 조건 명시 예정
- Level 1 면제는 어떤 경우에도 승인되지 않음 (공식 확인)
- 기존 계약 옵션 기간 행사 시에도 CMMC 요건 적용 가능

### 주의사항 — 기존 계약도 안전하지 않습니다

CMMC 요건은 신규 계약뿐 아니라 기존 계약의 옵션 연장, 태스크 오더, 계약 변경 시에도 적용될 수 있습니다. 현재 계약 중인 업체도 반드시 확인이 필요합니다.

### 허위 신고는 형사 처벌 대상

미 법무부는 2025 회계연도 사이버보안 허위청구법 소송에서 5,200만 달러를 회수했습니다. 실제 보안 침해가 없어도 CMMC 미준수를 숨기고 계약한 것 자체가 소송 대상이 됩니다.

---

## 7. 실전 체크리스트

### 지금 당장 확인할 것

- [ ] 우리 계약서에 DFARS 252.204-7021 조항이 있는가
- [ ] FCI만 취급하는가 vs CUI도 취급하는가 (Level 결정)
- [ ] SAM.gov 등록이 최신 상태인가
- [ ] PIEE 계정이 있는가 (SOL·WAWF·SPRS 3개 역할)
- [ ] SPRS에 CMMC 상태가 등록되어 있는가
- [ ] Level 2라면 GAP 분석을 시작했는가

---

## 미군입찰센터 소개

주식회사 미군입찰센터는 국내 유일 CMMC UID 취득 실경험을 보유한 주한미군 조달 전문 컨설팅 기업입니다. 10년 이상의 USFK 조달 경험을 바탕으로 SAM.gov 등록부터 PIEE, CMMC Level 1·2까지 전 과정을 한국어로 지원합니다.

지원 서비스: PIEE 등록 · CMMC Level 1 취득 · CMMC Level 2 준비 · SAM.gov 등록·갱신, 입찰서 작성, MAS 등록

🌐http://www.usbidcenter.com