Design of a Korean Defense Industrial Base Cloud Conceptual Model for CMMC Security Control Inheritance

CMMC(Cybersecurity Maturity Model Certification) 제도는 미국 국방 공급망에 참여하려는 기업에게 CMMC 인증 획득을 의무화한다. 국내 방위산업체 및 관련 협력업체가 미국 방산시장에 진출하기 위해서는 CMMC 규제에 대한 선제적 대응이 요구된다. 본 연구는 CMMC 보안통제 상속 가능한 클라우드에 관한 개념적 모델을 설계하고 제시한다. 현재 국내에서는 CMMC 제도 준수를 위한 클라우드 활용과 관련한 연구가 충분하지 않다. 이에 따라 본 연구는 FedRAMP(Federal Risk and Authorization Management Program) Moderate 보안 수준 이상의 클라우드 활용 방안을 모색한다. 이를 위해 CMMC와 FedRAMP 제도의 연관성과 관련 정책을 분석하고, 클라우드 책임 공유 모델(Shared Responsibility Model)과 고객 책임 매트릭스(Customer Responsibility Matrix)를 기반으로 CMMC 보안 통제 상속체계를 고찰한다. 분석을 토대로 CSAP(Cloud Security Assurance Program), FedRAMP Moderate 이상의 보안수준, 제로트러스트 오버레이, 클라우드 네이티브 보안기술을 수용하여 CMMC 대응 가능한 한국 방위산업기반 클라우드 개념적 모델을 설계하고 제안한다. 제시한 클라우드 모델이 미국 CMMC 제도에 대응하기 위한 하나의 방안으로 활용될 수 있기를 기대한다.