한국인터넷진흥원

< 해외 인터넷 정보보호 법제동향 (2025년 9월) >

o 미국 국방부(DoD)가 방위산업 공급망 전반에 걸쳐 사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification) 프로그램을 계약 요구사항에 도입하는
   국방부 조달 규정 부칙(DFARS) 개정에 관한 최종규칙*을 확정 (’25.9.10.)
  * Defense Federal Acquisition Regulation Supplement: Assessing Contractor Implementation of Cybersecurity Requirements (DFARS Case 2019-D041)
- 연방규정집 제48편(연방 조달규정 체계) 제204부(행정·정보 문제), 제212부(상용 제품 및 서비스의 조달), 제217부(특별 계약방법) 및 제252부(권유 및 계약 조항)를 개정

o 국방부는 방위산업 계약업체 및 하청업체와 공유하는 연방계약정보(Federal Contract Information, FCI)와 통제된 비기밀 정보(Controlled Unclassified Information, CUI)를 보호하기 위하여,
   ①사이버보안 성숙도 모델 인증(CMMC) 프로그램 수립 및 ②정부 계약 요구사항에 CMMC 프로그램 도입을 추진

o 동 국방부 조달 규정 부칙(DFARS)은 CMMC 상태, CMMC 고유식별자 등 관련 용어를 정의하고, CMMC 관련 계약 담당자의 CMMC 준수 확인 의무, CMMC의 단계적 구현 등을 규정