미국 국방부의 새로운 사이버보안 규정이 중소 협력업체들에게 높은 준수 비용 부담을 안기면서 일부 업체들이 군수 사업에서 손을 떼는 방안을 검토하고 있는 것으로 나타났다.
로이터통신이 20일(현지시간) 보도한 바에 따르면, 이는 트럼프 행정부가 방산업체들에 생산량 증대와 공급망 다변화를 압박하고 있는 시점에서 생산 차질 위험을 높이고 있다.
국방부가 오랫동안 지연시켜온 사이버보안 성숙도 모델 인증(CMMC)이 지난해 11월부터 시행됐다. 이 제도는 통제된 비분류 정보로 알려진 민감 정보를 보호하기 위한 것이다.
연방 계약 업무를 수행하는 기업들은 현재 3단계 CMMC 중 첫 번째 단계인 사이버보안 자체 평가를 진행하고 있다. 감사를 포함한 더 엄격한 2단계는 오는 11월부터 시작될 예정이다.
준수 여부를 확인하기 위한 감사를 몇 달씩 기다려야 하고, 어떤 정보를 보호해야 하는지에 대한 혼란이 더 높은 기준 충족을 어렵게 만들고 있다고 업계 관계자들은 전했다. 이들은 사안의 민감성을 이유로 익명을 요구했다.
명확한 정의가 없어 협력업체가 전투기 연료펌프의 기술 도면 같은 민감 정보를 다루지 않더라도 원청업체들이 더 높은 수준의 준수를 요구하고 있다고 업계 소식통은 말했다.
중소기업당 수십만 달러에 달하는 추가 비용도 재정이 취약한 일부 협력업체들의 발목을 잡고 있다고 업계 소식통들은 전했다.
미국 항공우주산업협회(AIA)의 마거릿 보트너 국가안보정책 부회장은 "이들 기업 중 일부, 특히 상업 시장에서도 경쟁하는 기업들은 복잡하고 비용이 많이 드는 규제 요건이 누적되면서 방산 시장을 재고하거나 아예 떠나도록 강요받고 있다"고 말했다. 그는 "이는 산업 기반의 건전성과 회복력에 더욱 도전이 되고 있다"고 덧붙였다. AIA 회원사 중 다수는 방산업계에도 납품하고 있다.
2022년 미국 하원 중소기업소위원회 자료에 따르면 항공우주 기업의 88%가 중소기업이다.
미국 내 2개 항공우주 기업과 캐나다 1개 기업은 로이터통신과의 인터뷰에서 각각 감사 등 더 엄격한 CMMC 요건을 준수하지 않겠다는 협력업체를 소수 보유하고 있다고 밝혔다.
미국 기업 중 한 곳의 사장은 협력업체 절반이 준수 여부를 밝히지 않았다고 말했다. 미국 전투기 프로그램의 부품을 단독 공급하는 또 다른 기업의 대표는 자사 협력업체들이 어떻게 할지 확신하지 못하고 있다.
국방부는 논평을 거부했다.
중소 협력업체의 건전성은 수년간의 생산 병목 현상 이후 투자자들이 면밀히 주시하고 있다. 일부는 대형 방산업체들이 무기와 장비를 조립하는 데 필요한 핵심 부품의 유일한 생산업체이기도 하다.
CMMC 준수에 대해 방산업체들에게 자문하는 매카터앤잉글리시의 알렉스 메이저 변호사는 인증 요건이 의도치 않게 방산 공급망 하위 단계의 경쟁을 줄일 수 있다고 말했다.
2019년 도입된 CMMC는 업계의 우려와 혼란으로 인해 국방부와 수년간의 논의를 거쳐야 했고 이에 따라 시행이 지연됐다.
유럽 데이터 프라이버시법 및 기타 지역 사이버 기준도 준수해야 하는 해외 협력업체들에게는 특히 어려운 과제라고 메이저 변호사는 설명했다.
그는 "이들 업체에게 특정 방식으로 데이터를 보관하거나 미국 정부에 따라 통제 정보로 식별하라고 요구하고 있지만, 다른 데이터 프라이버시법은 다를 수 있다"고 말했다.
캐나다 기업의 한 임원은 유럽과 미국 규정을 준수하기 위해 50만 캐나다달러(약 36만5000달러)를 지출해야 할 것이라고 밝혔다.
비영리 항공우주 협력업체 패스파인더 매뉴팩처링의 데이브 트레이더 최고경영자는 자사가 배선 제작 등 제한적인 방산 작업을 하고 있고 보잉으로부터 강한 수요를 보고 있어 준수 비용을 감수할 가치가 있는지 확신하지 못한다고 말했다.