미국은 제3국의 미국에 대한 사이버 공격으로 인해 방산업체의 핵심기술이 탈취되고 있다고 분석하였으며 2019년 국방 사업에 참여하는 전세계 30만여개의 글로벌 업체에 대해 일정 수준의 사이버 보안체계 인증을 의무화하기로 하고 CMMC 인증 제도 개발에 착수하였습니다.
CMMC는 미국 국방부가 민감한 정보(FCI, CUI)를 사이버 위협으로부터 보호하기 위해 미국 국방부 계약업체 및 외국의 협력업체에게 요구하는 사이버보안 성숙도 모델 인증입니다.
미국 국방부 사업에서 취급하는 정보와 사업의 중요성에 따라 미국측에서 사이버보안 성숙도 등급(1~3 등급)을 고지하며, 업체는 해당 인증을 취득해야 계약이 가능합니다.
2021년 11월 CMMC 2.0이 발표되면서 연방 규칙에 반영하기 위한 규칙 제정(Rule Making)이 진행 중이며 최종 규칙 제정 목표일은 2025.3월이며 완료되면 CMMC 인증 제도가 법적으로 시행 될 예정입니다.