비궁 美서 명중률 100%···LIG D&A 방산 진출에 '공급망 보안' 과제

방산 전시회 참가와 현지법인 설립으로 진출 박차CMMC Level 2 적용 가능성, 거래 조건 부상기술 자료·운용 데이터의 안전한 관리 요구

그래픽=이찬희 기자

LIG넥스원의 자회사 LIG 디펜스&에어로스페이스(LIG D&A)가 유도로켓 '비궁'을 앞세워 미국 해양 방산 시장 공략에 속도를 내고 있다. 비궁은 미국 현지 성능 평가에서 높은 명중률을 입증했으며, 회사 역시 방산 전시회 참가와 현지 법인 설립 등을 통해 미국 시장 진출 기반 확대에 나선 상태다.

다만 실제 후속 사업 수주까지는 무기체계 성능뿐만 아니라 미국 조달 규정 준수와 공급망 보안 대응 역량 등이 주요 변수로 작용할 수 있다는 분석이 나온다.

21일 방산업계에 따르면 LIG D&A는 지난달 미국 메릴랜드주에서 열린 해양 방산 전시회 'Sea-Air-Space 2026'(SAS 2026)에 참가해 비궁과 130㎜ 함대함 유도로켓 '비룡', 근접방어무기체계(CIWS-Ⅱ), 자폭용 무인수상정 등을 선보였다.

비궁은 2024년 미국 하와이 인근 해상에서 진행된 해외비교시험(FCT) 최종 시험 발사에서 6발 모두 표적에 명중했으며, 2019년부터 이어진 FCT 전 과정에서도 100% 명중률을 기록했다. 회사는 이를 기반으로 미국 해양 방산 시장 진입을 위한 마케팅을 본격화한다는 방침이다.

다만 성능 검증이 곧바로 수주로 이어지는 구조는 아니다. 미국 국방 조달은 무기 성능과 가격뿐 아니라 조달 규정, 현지 공급망, 정보보호 체계까지 함께 평가한다. 방산 계약업체가 군 관련 정보를 다룰 경우, 이를 어떤 방식으로 저장하고 전송하며 협력사까지 같은 기준으로 관리할 수 있는지가 검증 대상이 된다.

이 지점에서 사이버보안 성숙도 모델 인증(CMMC)이 변수로 지목되고 있다. CMMC는 미국 국방부 계약업체와 하청업체가 연방계약정보(FCI)와 통제가 필요한 비기밀정보(CUI)를 다룰 때 요구되는 사이버보안 수준을 평가하는 제도다. 미국 방산 조달 시장에 진입하려는 업체 입장에서는 단순 보안 인증이 아니라 계약 참여 조건에 가까운 제도로 볼 수 있다.

CMMC는 취급 정보의 민감도에 따라 요구 수준이 달라진다. Level 1은 FCI를 취급하는 기업에 적용되는 기본 단계다. 반면 Level 2는 CUI를 다루는 기업이 대상이며, 미국 국립표준기술연구소(NIST) SP 800-171에 기반한 110개 보안 요구사항을 충족해야 한다. 유도무기, 함정, 전투기 등 무기체계의 도면과 운용 정보, 성능 요구자료, 정비 데이터는 CUI로 분류될 가능성이 크다.

문제는 비궁과 같은 유도무기 사업이 Level 2 적용 가능성이 큰 영역이라는 점이다. LIG D&A가 비궁을 단품 수출에 그치지 않고 CIWS-Ⅱ, 무인수상정, 함정 방어체계와 연계한 해양 통합 솔루션으로 확대하려면 더 많은 기술 자료와 운용 정보가 오갈 수밖에 없다. 이 경우 본사 시스템뿐만 아니라 부품, 소프트웨어, 정비를 맡는 협력사 전산망까지 보안 요건을 맞춰야 한다.

미국 국방부는 지난해 11월부터 CMMC 1단계 시행에 들어갔고, 오는 11월부터는 적용 대상 사업에서 Level 2 제3자 인증 요구가 본격화된다.

LIG D&A 입장에서는 비궁의 명중률이나 해상 운용성만큼 설계자료, 운용 데이터, 정비 정보, 협력사 전산망을 어떻게 관리하느냐가 미국 수주전의 비가격 경쟁력이 되는 구조다.

회사는 이미 미국 현지법인을 설립하고 현지 파트너십 강화와 기술 교류, 판매 거점 및 생산시설 확보를 통한 미국 내 공급망 구축을 추진하겠다고 밝힌 바 있다. 이는 미국 시장 공략의 출발점이지만, 조달시장에 편입되려면 현지화 전략과 함께 CMMC 대응 체계를 얼마나 빨리 갖추는지가 중요해질 수 있다.

일본의 움직임도 국내 방산업체에는 비교 대상이다. 일본은 미·일 방산협력체인 DICAS를 통해 미사일 공동생산, 함정 수리, 항공기 정비, 공급망 회복력 분야의 협력 채널을 넓히고 있다.

지난달 열린 DICAS 2.0 회의에서는 AMRAAM 부품 공동생산 가능성, SM-3 Block IIA 생산 확대, PAC-3 MSE 생산 효율화, 미 해군 함정 정비 협력 등이 논의됐다. 미국 방산 공급망 안으로 들어가기 위한 제도적 접점을 먼저 넓히려는 흐름이다.

사이버보안 대응에서도 일본은 속도를 내고 있다. 일본 방위성은 2023년 이후 신규 계약부터 방위산업 사이버보안 기준을 적용하고 있다. 적용 대상은 방위성과 직접 계약한 원청에 그치지 않고 보호 대상 정보를 취급하는 하청업체까지 포함된다. 미국 CMMC와 동일한 제도는 아니지만, NIST SP 800-171을 참고해 공급망 전반의 보안 수준을 끌어올린다는 점에서 유사한 방향이다.

방산 전문가들은 국내 대형 방산업체보다 협력사 대응이 더 큰 부담이 될 수 있다고 보고 있다.

최기일 상지대학교 군사학과 교수는 "대형 방산업체는 CMMC 대응 여력이 있지만 문제는 부체계 업체와 중소 협력사"라며 "CMMC는 컨설팅, 시스템 구축, 검증과 실사를 거쳐야 해 비용과 시간이 모두 드는 만큼 협력사 보안 체계가 미국 수주전의 병목이 될 수 있다"고 지적했다.

이어 "한국 방산업체가 CMMC와 현지 공급망 대응을 늦추면 비궁처럼 성능을 입증한 무기체계도 실제 계약 단계에서 기회비용이 커질 수 있다"고 말했다.