한화·LIG, 美 무기 수출 위해 보안 인증 딴다…자문사들 '촉각'
입력 2026.05.12 07:00
인베스트조선 유료서비스 2026년 05월 11일 07:00 게재

美 방산 공급망 진입 요건 된 CMMC
LIG RFI 발송·한화에어로 입찰 막바지
KAI·HD현대重은 이미 자문사 선정해
회계법인·로펌, 협력사 확산 가능성 주목

  • 미국 국방부가 방산 조달 계약에 사이버보안 성숙도 모델 인증(CMMC, Cybersecurity Maturity Model Certification)을 단계적으로 적용하면서 한국 방산업체들의 대응도 빨라지고 있다. 미국 방산 공급망 진입을 추진하는 국내 기업들은 인증 취득을 위한 자문사 선정 작업에 나선 것으로 파악된다.

    CMMC는 미국 국방부 계약 과정에서 다뤄지는 민감 정보를 보호하기 위한 사이버보안 인증 제도다. 주계약자뿐 아니라 부품·소재·소프트웨어 등을 공급하는 협력업체까지 적용 대상에 포함될 수 있다. 미국 방산시장에 들어가려는 기업 입장에선 CMMC 취득이 사실상 필수 요건으로 자리 잡고 있다.

    회계법인과 일부 로펌은 관련 시장을 선점하기 위해 물밑 준비를 마쳤다. 삼정KPMG는 전담 서비스팀을 공식 출범시켜 컨설팅 역량을 확대했다. 삼일회계법인은 PwC US와의 협업을 기반으로 CMMC 대응 서비스를 마련했다. 김앤장 역시 자문 수요를 염두에 두고 관련 업무를 진행 중인 것으로 파악된다.

    한국 방산업체들은 미국 진출을 시도하고 있다. 한화에어로스페이스는 K9 자주포를 기반으로 미 육군의 자주포 현대화 사업에 참여하려 준비 중이다. LIG디펜스앤에어로스페이스(LIG D&A)는 유도로켓 '비궁' 수출을 타진 중이다. KAI도 록히드마틴과 미국 군용기 시장 진입을 추진해 왔다. 최근 관련 사업 입찰에는 참여하지 않았지만 미국 시장 진출은 지속 시도할 수 있다는 관측이 나온다. 조선 3사 역시 미 해군 함정 MRO를 발판으로 군함 수주 기회를 모색하고 있다.

    미국향 사업이 늘며 국내 대형 방산 업체들은 CMMC 인증을 받기 위한 준비에 들어갔다. 현재 국내 방산 기업들이 취득을 추진하는 것은 CMMC 2단계 인증이다. 수출 품목의 보안성에 따라 1~3단계로 나뉜다. 2단계부터는 미 국방부가 지정한 제 3자 심사기관(C3PAO)의 공식 심사를 받아야 한다. 

  • (그래픽=윤수민 기자) 이미지 크게보기
    (그래픽=윤수민 기자)

    LIG D&A는 최근 자문사 선정 절차를 시작했다. 관련업계에 따르면 LIG D&A는 CMMC 대응을 위해 일부 자문사에 정보요청서(RFI)를 발송한 것으로 파악된다. 삼일PwC, 삼정KPMG, 김앤장 등이 후보군으로 거론된다. LIG D&A는 비궁의 미국 수출 가능성을 타진해 온 만큼 미국 방산 공급망 진입을 위한 대응 필요성이 크단 평가다.

    방산 기업이 RFI를 통해 요구사항을 제시하면 컨설팅펌은 제공 가능한 서비스를 작성해 제출한다. 기업은 이를 바탕으로 후보군을 추린 뒤 RFP 발송, 제안서 접수, 제안서 발표 등을 거쳐 최종 자문사를 선정한다.

    한화에어로스페이스도 자문사 선정을 위한 입찰 절차를 진행 중이다. 현재 제안서 발표를 마치고 최종 결과 발표를 앞둔 것으로 알려졌다. 이번 절차에는 삼일PwC와 삼정KPMG, 김앤장 등이 참여한 것으로 전해진다. 자문업계는 한화에어로 수임 결과에 촉각을 세우고 있다. 향후 한화오션, 한화시스템 등 한화그룹 내 다른 방산 계열사 일감으로 이어질 가능성이 있어서다.

    이미 자문사 선정을 마치고 실사와 컨설팅을 진행 중인 회사도 있다. KAI는 지난해 입찰 절차를 시작해 올해 초 삼정KPMG를 자문사로 선정하고 CMMC 대응 작업에 들어간 것으로 파악된다. HD현대중공업도 올해 1분기 삼일PwC를 자문사로 선정해 인증 준비를 진행 중이다.

    삼성중공업, 대한항공, 기아 등도 CMMC 인증 취득을 추진하고 있는 것으로 알려졌다. 이들 중 일부 기업은 글로벌 회계법인이나 대형 로펌이 아닌 로컬 자문사를 통해 대응 중인 것으로 전해진다.

    CMMC 인증은 단기간에 끝나는 작업이 아니다. 업체별 보안 수준과 준비 상황에 따라 차이는 있지만 통상적으로 보안 인프라를 설계하고 내부 체계에 반영한 뒤, 미국 측 인증 절차를 거치기까지 1년 이상 소요되는 것으로 알려졌다. 

    자문사들의 대응은 확대되는 분위기다. 법무법인 광장은 데이터소프트나우와 CMMC 인증 컨설팅 및 컴플라이언스 지원을 위한 업무협약을 맺었다. 율촌도 통합보안센터를 중심으로 CMMC 대응 업무를 수행하고 있는 것으로 알려졌다. 초기에는 대형 체계업체 중심으로 인증 대응이 이뤄지고 있지만, 향후 협력업체들까지 포함될 가능성이 커 자문 수요가 추가로 늘어날 것이란 관측이 나온다.

    한 자문업계 관계자는 "지난해부터 CMMC 관련 대응을 준비해 왔고, 최근 들어 실제 수임으로 이어지고 있다"며 "아직 국내에서 인증을 취득한 사례는 없지만, 국내 기업들의 미국 방산시장 진출을 지원할 수 있도록 준비하고 있다"고 말했다.