CSMS에서 CRA, 그리고 CMMC까지 — 왜 산업은 “보안 운영 체계”를 보기 시작했을까?

현업에서 보는 차량 보안 트렌드

자동차 업계에서 R155와 CSMS를 경험한 엔지니어라면 최근 들어 익숙한 단어들이 다른 산업에서도 들리기 시작했다는 걸 느낄 겁니다.

유럽의 CRA(Cyber Resilience Act), 그리고 미국의 CMMC(Cybersecurity Maturity Model Certification). 이름도 출발점도 다르지만, 이 규제들이 공통으로 묻는 질문은 하나입니다.

세 규제가 공통으로 던지는 질문

"당신 조직은 제품 보안을
지속적으로 운영할 능력이 있는가?"

보안 기능을 넣었는가? (X)
보안을 계속 유지·관리·대응할 수 있는 조직인가? (O)

CSMS가 자동차에서 시작한 흐름이
CRA로 유럽 전체 디지털 제품으로 확산되고,
CMMC로 미국 방산·제조 공급망까지 들어오고 있습니다.

세 규제는 이름은 달라도 같은 방향을 가리킵니다.

---

흐름의 시작 — CSMS와 R155

자동차 업계는 일찍부터 "연결된 제품"이 됐습니다. OTA, 원격 진단, 클라우드 연결이 들어오면서 공격 표면이 생겼고, 실제 공격이 현실이 됐습니다.

그 결과 UNECE R155가 등장했습니다. 핵심은 기술 요구사항이 아니었습니다. CSMS(Cybersecurity Management System) — 보안을 운영하는 체계 자체를 요구했습니다.

보안 운영 체계 요구의 확산 흐름

자동차 · 2020~

R155 / CSMS

연결 차량
보안 운영 체계

→

EU · 2024~

CRA

디지털 제품
전반 확산

→

미국 · 확산 중

CMMC

방산·제조
공급망 인증

→

전 산업

보안 운영
능력 = 자격

시장 참여
조건화

CSMS가 요구하는 것은 Secure Boot 같은 기능이 아닙니다. 취약점 관리, Incident 대응, 공급망 추적, OTA 보안, 양산 이후 지속 모니터링 — 보안을 운영하는 프로세스와 조직 체계입니다.

자동차 업계는 이 개념을 가장 먼저, 가장 강하게 경험한 산업입니다.
그래서 CRA와 CMMC가 자동차 엔지니어에게 낯설지 않게 느껴지는 이유가 있습니다.

---

유럽의 대답 — CRA

EU는 CRA를 통해 CSMS의 개념을 자동차 밖으로 꺼냈습니다. 적용 대상은 연결 기능이 있는 디지털 제품 전반입니다. IoT, 네트워크 장비, 소비자 전자제품, 산업제어 시스템 모두 해당됩니다.

CRA가 요구하는 것들 — Secure by Design, Vulnerability Management, SBOM, Incident 보고, Lifecycle 보안 유지 — 은 CSMS를 경험한 사람에게 전부 익숙한 내용입니다. 자동차에서 먼저 경험한 것들이 다른 산업의 의무가 된 겁니다.

---

미국의 대답 — CMMC, 그리고 공급망 인증

CMMC는 CRA와 출발점이 다릅니다. 미국 국방부(DoD)가 방산 공급망 보안 수준을 검증하기 위해 만든 인증 체계입니다. 하지만 지금은 방산을 넘어 제조·항공·MRO(Maintenance, Repair, Overhaul) 공급망 전반으로 확산되고 있습니다.

CMMC의 핵심 개념은 하나입니다. "공급망에 참여하려면, 최소 수준 이상의 보안 운영 체계를 증명하라."

CMMC 레벨 구조

LEVEL 1

Foundational

기본 계약사

• 기본 사이버보안 위생
• 접근 통제
• 미디어 보호
• 물리적 보호
• 시스템 및 통신 보호
• 식별 및 인증

검증: 자체 평가(연간)

LEVEL 2

Advanced

CUI 취급 계약사

• NIST SP 800-171 110개 항목
• Incident 대응 체계
• 위험 평가
• 보안 평가
• 공급망 관리
• 취약점 관리

검증: 제3자 인증기관(C3PAO) 심사

LEVEL 3

Expert

핵심 방산 계약사

• NIST SP 800-172 기반
• 고도화된 위협 대응
• 지속적 모니터링
• 고급 Incident 대응
• 내부자 위협 관리
• 사이버 복원력

검증: 정부 주도 심사(DCSA)

Level이 올라갈수록 요구 수준이 높아지고, 검증 방식도 자체 평가에서 제3자 인증, 정부 심사로 강해집니다. 그리고 Level 2 이상의 계약에 참여하려면 인증이 없으면 자격 자체가 없습니다.

⚠️ CMMC는 선택이 아닙니다.

미국 DoD 계약에 참여하는 공급사는 계약 조건으로 CMMC 인증을 요구받습니다. 인증 없이는 입찰 자체가 불가능해집니다. 자동차 업계로 치면 R155 없이 유럽 시장에 차를 팔 수 없는 것과 같습니다.

---

CMMC와 CSMS — 놀라울 정도로 닮았다

자동차 CSMS와 CMMC를 나란히 놓으면 구조가 거의 같습니다.

🚗 자동차 CSMS (R155)

• 사이버보안 관리 체계 운영
• 취약점 관리 프로세스
• Incident 대응 및 보고
• 공급망 보안 관리
• OTA·양산 이후 지속 관리
• 정기 Audit 대응
• 조직 프로세스 중심

🇺🇸 CMMC (DoD 공급망)

• 조직 보안 운영 체계 인증
• 취약점 관리 (NIST 기반)
• Incident 대응 및 보고
• 공급망 보안 관리
• 지속적 운영 증명
• 제3자 또는 정부 심사
• 조직 프로세스 중심

✅ 자동차 업계 엔지니어에게 CMMC가 익숙하게 느껴지는 이유:
CSMS를 구축하고 OEM Audit을 경험해본 조직이라면, CMMC가 요구하는 구조가 이미 절반은 갖춰진 상태일 수 있습니다.

---

CMMC가 공급망에 미치는 영향

CMMC의 파급력은 직접 계약사에서 끝나지 않습니다. 공급망 전체로 내려옵니다.

CMMC 공급망 파급 구조

1

DoD가 Prime Contractor에게 CMMC 요구 — 계약 조건으로 명시됩니다. Level 2 이상 계약은 C3PAO 심사 통과가 필수입니다.

2

Prime Contractor가 Subcontractor에게 동일 요구 — 계약 흐름을 따라 보안 요구사항이 하위 공급사까지 내려옵니다. Tier-1이 Tier-2에게 CMMC를 요구하는 구조입니다.

3

자동차 공급망과 겹치는 기업들이 영향권에 들어온다 — 방산·항공 부품을 동시에 공급하는 제조사, 자동차와 방산 모두에 SW를 납품하는 기업들은 두 규제를 동시에 대응해야 합니다.

4

SBOM 요구가 공급망 전체로 확산 — 어떤 SW 컴포넌트가 어디에 들어갔는지 추적 가능해야 합니다. Log4Shell 같은 오픈소스 취약점 대응의 전제 조건입니다.

공급망 보안 요구의 전파 경로

DoD / OEM

CMMC / R155
요구

→

Prime / Tier-1

인증 취득
+ 하위 요구

→

Subcontractor / Tier-2

동일 요구
수용

→

부품·SW 공급사

SBOM +
취약점 추적

→

오픈소스

버전·취약점
관리

CMMC도 R155·ISO 21434와 마찬가지로 공급망 전체를 통해 보안 요구가 내려옵니다.
자동차 공급망과 방산 공급망이 겹치는 기업은 두 규제를 동시에 대응해야 하는 상황이 됩니다.

---

세 규제가 공통으로 요구하는 것 — 운영 능력

CSMS, CRA, CMMC. 출발점은 달라도 결국 같은 것을 봅니다.

운영 능력	예전 방식 → 지금 요구	세 규제 공통 여부
취약점 대응	발견하면 그때 처리 PSIRT 운영 + 정해진 시간 내 패치	✅ 공통
Incident 대응	사고 나면 수습 사전 계획 + 당국 보고 의무	✅ 공통
공급망 관리	납품사 믿고 사용 SBOM + 취약점 추적 + Audit	✅ 공통
Lifecycle 관리	출하 후 보안 종료 EOL까지 보안 유지 의무	✅ 공통
Audit 대응	기능 체크리스트 제출 운영 프로세스 + Evidence 증명	✅ 공통
조직 체계	개발팀이 보안 담당 전사적 보안 관리 체계	✅ 공통

---

현업에서는 이렇게 느낀다

현업 경험 4가지

자동차와 방산 양쪽에 납품하는 기업이 가장 먼저 영향을 받는다 — R155·CSMS와 CMMC를 동시에 대응해야 하는 상황이 현실화되고 있습니다. 두 규제 구조가 비슷하다는 게 그나마 다행입니다.

CMMC는 Tier-1에서 끝나지 않는다 — 공급망을 따라 Tier-2·3까지 요구가 내려옵니다. 자동차 공급망과 구조가 같습니다. OEM이 Tier-1에게 요구하면 Tier-1이 Tier-2에게 요구하는 방식입니다.

CSMS 구축 경험이 CMMC 대응에 유리하게 작용한다 — 취약점 관리, Incident 대응, 공급망 Audit, 조직 프로세스 — CSMS로 이미 갖춘 구조가 CMMC 요구사항과 상당 부분 겹칩니다.

결국 핵심은 "보안 기능"보다 "지속 운영 가능성"이다 — 세 규제 모두 한 번 인증받고 끝나는 게 아닙니다. 지속적으로 운영하고, 변화에 대응하고, 증명할 수 있는 구조를 요구합니다.

---

마무리

CSMS는 자동차에서 시작됐지만,
CRA와 CMMC는 그 개념이 산업 전체로 확산되고 있다는 증거입니다.

보안 운영 능력은 이제 시장 참여의 조건이 되고 있습니다.

세 규제의 공통점은 하나입니다. 보안 기능의 유무가 아니라, 보안을 지속적으로 운영할 수 있는 조직인가를 본다는 것.

자동차 업계는 그 흐름을 R155·CSMS로 가장 먼저 경험했습니다. 그리고 지금 같은 요구가 CRA로 유럽 전체 디지털 제품에, CMMC로 미국 방산·제조 공급망에 들어오고 있습니다.

핵심 요약

1

CSMS → CRA → CMMC는 같은 방향의 확산 — 보안 운영 체계 요구가 자동차에서 유럽 전체, 미국 공급망으로 퍼지고 있습니다

2

CMMC는 Level 1~3 구조로 공급망 참여 자격을 인증 — Level 2 이상은 제3자 기관 심사가 필수, 인증 없이는 DoD 계약 불가합니다

3

CMMC는 공급망 전체로 내려온다 — Prime에서 Subcontractor까지, 자동차 공급망과 같은 구조로 요구가 전파됩니다

4

CSMS 경험이 CMMC 대응에 유리하다 — 취약점 관리, Incident 대응, 공급망 Audit — 구조가 거의 같습니다

5

보안 운영 능력이 시장 참여 조건이 됐다 — 기능 인증을 넘어 운영 체계 자체가 자격 요건으로 바뀌고 있습니다

CSMS CRA CMMC R155 ISO21434 ProductCybersecurity SBOM 공급망보안 차량사이버보안 PSIRT