도서 소개

CMMC는 또 하나의 인증이 아니다.
최소한의 보안 책임을 증명하는 기준이다.

이 책은 ‘CMMC 레벨 1을 어떻게 통과할 것인가?’보다
‘어떤 상태가 되어야 통과할 수 있는가?’에 집중한다.

방산 협력사를 위한 현실적 사례, 자체심사와 심사 대응의 실제 흐름,
그리고 통과 이후 전략까지.

현장에서 반복된 질문과 실패 사례를 바탕으로 CMMC 레벨 1이
무엇을 요구하고 무엇을 요구하지 않는지 명확히 설명한다.

기본을 지키는 조직은 어떤 규제 요건 앞에서도 흔들리지 않는다.

  출판사 리뷰

사이버보안은 이제 기업의 신뢰와 생존을 좌우하는 핵심 역량이 되었다. 특히 미국 방산 공급망과 연결된 기업이라면 CMMC(Cybersecurity Maturity Model Certification)에 대한 이해가 필수가 되고 있다. 『CMMC 레벨 1 실무 가이드』는 이러한 변화 속에서 국내 방산기업과 협력사가 반드시 알아야 할 CMMC 레벨 1의 구조와 핵심 개념을 실무 중심으로 정리한 안내서다.

이 책의 가장 큰 특징은 “어떻게 통과할 것인가”보다 “어떤 상태가 되어야 하는가”에 초점을 맞춘 점이다. 저자는 오랜 CMMI 연구와 방산·보안 컨설팅 경험을 바탕으로 정책·절차·증거의 관계, 시스템 경계 설정, 심사 대응 전략 등을 실제 운영 관점에서 풀어낸다. 또한 국내 기업이 자주 겪는 오해와 실패 사례를 함께 다루며 현장에서 바로 적용할 수 있는 방향을 제시한다.

특히 중소 협력사와 제조기업 등 다양한 기업 유형별 사례를 수록해 실무 활용도를 높였다. 심사원이 실제로 무엇을 확인하는지, 기업이 어떤 준비를 해야 하는지를 구체적으로 설명하며 현실적인 대응 방법을 제안한다. 부록에 담긴 자체심사 템플릿과 정책서·절차서 예시 역시 실무에 바로 활용할 수 있도록 구성되었다.

『CMMC 레벨 1 실무 가이드』는 단순히 인증 취득만을 목표로 하는 책이 아니다. 조직의 기본 보안 체계를 바로 세우고, 변화하는 글로벌 방산 보안 환경 속에서 지속 가능한 운영 기반을 마련하도록 돕는 실질적인 지침서다. 미국 방산 시장 진출을 준비하는 기업과 공급망 보안 체계를 강화하려는 조직 모두에게 든든한 길잡이가 되어 줄 것이다.

  작가 소개

지은이 : 이민재
미국 로체스터공과대학교(Rochester Institute of Technology)에서 응용수학을 전공하고, 미국 뉴욕대학교(New York University)에서 정보시스템감리학 석사학위를 받았으며, 숭실대학교에서 CMMI(Capability Maturity Model Integration) 연구로 소프트웨어공학 박사학위를 취득했다. CMMI 관련 다수의 저서와 논문을 집필했으며, 국내 80여 개 기업에 대한 CMMI 프로세스 개선 컨설팅과 인증심사 경험을 바탕으로 국가 사이버안보 역량 강화를 위한 사이버보안 모델 연구에 매진하고 있다. 2015년 10월, 제9회 아시아·태평양 시스템 엔지니어링 콘퍼런스(APCOSE)에서 사이버보안 성숙도 모델 설계 방안을 다룬 논문 “A Study on Designing Cyber Security Maturity Model”을 발표했다. 이후 국내 여러 콘퍼런스와 세미나를 통해 사이버보안에 대한 관심을 촉구했으나 당시에는 큰 주목을 받지 못했다. 그럼에도 굴하지 않고 사이버보안의 중요성을 알리는 노력을 이어갔으며, 2017년 3월에는 ‘군사논단’에 “사이버戰 위협과 국가 대응 태세”를 게재하기도 했다.현재는 CMMC 인증기관인 The Cyber AB 공인 CMMC 전문가(CCP/RPA)로 활동하며, 국내 여러 기관과 기업을 대상으로 CMMC 자문 및 컨설팅을 수행하고 있다. 또한 저서 발간, 교육, 세미나 발표, 전문지 기고 등 다양한 방식으로 자신의 지식과 경험을 산업계에 전파하는 데 힘쓰고 있다.주요 저서로는 『CMMC 이해: 사이버 역량 강화를 위한 접근 방법』, 『CMMI 3.0: 가상환경, 개발, 공급자, 데이터, 보안, 서비스, 안전, 인력』, 『CMMI V2.0 개발 해설서: 현장에서 길어 올린 사례 중심의 이야기』가 있으며, 번역서로 『CMMI의 이해: 프로세스 개선을 위한 접근 방법』이 있다. 이외에도 저자가 설립한 사회적경제 조직 ‘재미난청춘세상(www.funYouth.org)’을 소개한 『재미난청춘세상: 미생이 상생하여, 완생이 되는 세상』이 있다. 이 책은 더 나은 세상을 만들기 위해 우리가 진정으로 추구해야 할 가치가 무엇인지를 되새기게 한다.

  목차

머리말 004
감사의 글 008
프롤로그: CMMC 레벨 1, 함께 만들어 가는 보안의 첫걸음 015

PART 1 CMMC, 왜 이해해야 하는가?

1장 방산 사이버보안 환경의 변화 020
1.1. 제5의 공간, 사이버 020
1.2. 글로벌 위협 환경 022
1.3. 방산 공급망 보안의 부상 023
1.4. 한국 방산기업이 직면한 현실 024

2장 CMMC의 탄생 배경과 목적 026
2.1. DFARS 252.204-7012의 한계 026
2.2. 자체 평가의 실패 027
2.3. CMMC의 목적과 철학 028

PART 2 CMMC 제도 한눈에 이해하기

3장 CMMC 제도 이해 032
3.1. 제도 개요 및 구조 032
3.2. 레벨별 구조와 비교 034
3.3. 연방계약정보와 통제필요정보 037
3.4. 계약 적용 방식 043
3.5. 허위청구법 046

4장 CMMC 생태계 052
4.1. 기관별 역할 설명 052
4.2. 기업 내부 역할 058

PART 3 CMMC 레벨 1 완전 해부

5장 CMMC 레벨 1의 본질 062
5.1. 레벨 1의 철학과 목표 062
5.2. 연방계약정보 상세 설명 064
5.3. FAR 52.204-21 해석 066

6장 레벨 1 보안 요구사항 전체 구조 069
6.1. 15개 보안 요구사항 개요 069
6.2. 도메인별 구조로 이해하는 레벨 1 071
6.3. 오해 및 주의사항 082

PART 4 CMMC 레벨 1 구현 방법

7장 적용 범위 설정 086
7.1. 시스템 경계 정의 086
7.2. 연방계약정보 흐름 분석 092
7.3. 외주 및 클라우드 환경 고려사항 096

8장 레벨 1 구현 접근법 099
8.1. 정책, 절차, 증거의 관계 100
8.2. 최소 구현 전략 104
8.3. 중소기업의 현실적 접근 106

9장 보안 요구사항별 구현 가이드 109
9.1. 접근통제 111
9.2. 신원확인 및 인증 147
9.3. 미디어 보호 167
9.4. 물리적 보호 176
9.5. 시스템 및 통신보호 194
9.6. 시스템 및 정보무결성 213

PART 5 CMMC 레벨 1 실무 사례

10장 기업 유형별 사례 248
10.1. 왜 레벨 1에 ‘실무 사례’가 중요한가? 248
10.2. 소규모 협력사 249
10.3. 제조 중심 기업 255
10.4. 외부 IT 활용 기업 262
10.5. 국내 기업 레벨 1 구현 사례 269

11장 현장 문제 및 해결법 284
11.1. 흔히 하는 오해 세 가지 284
11.2. 문서 vs. 운영 287
11.3. 기존 인증과의 충돌 291
11.4. 심사 실패 사례 298

PART 6 CMMC 레벨 1 심사 준비

12장 심사 방법 이해 308
12.1. 자체심사 방법 308
12.2. 심사원이 보는 심사 포인트 322
12.3. 이행 증거 전략 324

13장 심사 대응 체크리스트 329
13.1. 사전 점검표 329
13.2. 사전 점검 이행 가이드 336
13.3. 실전 인터뷰 대응 전략 337
13.4. 현장 대응 요령 345

PART 7 CMMC 이후를 준비하며

14장 레벨 1 이후 전략 348
14.1. 레벨 1과 레벨 2의 본질적 차이 348
14.2. 단계적 준비 전략 351

15장 한국 방산기업을 위한 제언 355
15.1. 인증 중심 사고의 한계 355
15.2. CMMC의 전략적 활용 357

에필로그: 기본을 지키는 조직은 흔들리지 않는다 361

부록 1. 연방 조달규정 조항 52.204-21 363
부록 2. 정책서, 절차서 및 관련 양식 366
부록 3. CMMC 레벨 1 자체심사 템플릿 380
부록 4. SPRS 등록 지침 383
부록 5. 자주 묻는 질문 392
부록 6. 용어 정의 410
부록 7. 두문자어 및 약어 450
부록 8. 참고 문헌 459

  회원리뷰