CMMC 평가에서 증거 표본추출 표준화의 필요성

초록

본 연구는 CMMC 인증 평가자 17명을 대상으로 설문조사를 실시해 증거 표본추출 실무의 일관성 부족을 확인하고, 위험·복잡도·판단에 기반한 비공식적 접근이 주류임을 밝혀냈다. 표준화된 가이드라인에 대한 요구는 높지만, 고정 비율 적용은 반대되는 경향이 나타났다.

상세 분석

이 논문은 CMMC(Level 2) 평가에서 ‘증거 표본추출(evidence sampling)’이라는 핵심 절차가 명확히 정의되지 않아 평가자마다 서로 다른 방법론을 적용하고 있음을 실증적으로 입증한다. 설문 설계는 배경·경험, 의사결정 요인, 시나리오 기반 적용, 일관성 인식 등 네 가지 축으로 구성돼 정량·정성 데이터를 혼합 분석하였다. 결과는 다음과 같이 요약된다. 첫째, 71 %의 응답자는 소속 C3PAO가 표본추출 방법론을 제공하지 않으며, 44 %는 전혀 가이드라인이 없다고 답했다. 이는 현재 CMMC 프레임워크가 통제 요구사항은 명시하지만, 이를 검증하기 위한 표본 설계 원칙은 거의 제시하지 않음을 의미한다. 둘째, 표본추출에 영향을 미치는 주요 요인으로 ‘환경 규모·복잡성(82 %)’, ‘평가자 경험·판단(76 %)’, ‘위험·통제 중요도(71 %)’가 꼽혔으며, 통계적·수학적 모델을 활용한다는 응답은 겨우 12 %에 불과했다. 이는 감사·감사학에서 강조하는 ‘대표성(representativeness)’과 ‘위험 기반 샘플링(risk‑based sampling)’이 실제 현장에서는 이론적 수준에 머물고 있음을 보여준다. 셋째, 시나리오 질문에서 제시된 표본 비율은 1 %에서 100 %까지 광범위하게 분산돼, 동일 상황에서도 평가자 간 판단 차이가 크다는 점을 확인했다. 특히 고위험 통제 영역에 대해 ‘상황에 따라 다름(depends)’이라고 답한 비율이 47 %에 달했으며, 이는 고정 비율보다는 표본의 질·다양성을 중시하는 경향을 반영한다. 넷째, ‘표본추출 일관성 부족’은 ‘자주’(18 %) 혹은 ‘가끔’(53 %) 발생한다는 응답이 다수였으며, 이는 평가 결과의 신뢰성과 인증의 일관성을 저해할 위험이 있다. 마지막으로, 응답자들은 표준화된 가이드라인을 강력히 요구하지만, ‘고정 비율’ 같은 경직된 규정은 반대하는 이중적 입장을 보였다. 이는 실무적 유연성을 보장하면서도 최소한의 절차적 일관성을 제공할 수 있는 ‘위험‑기반 표본추출 프레임워크’가 필요함을 시사한다. 전반적으로 이 연구는 CMMC 평가에서 증거 표본추출이 현재는 ‘주관적 판단’에 크게 의존하고 있음을 밝히며, 향후 정책 입안자와 표준화 기구가 과학적·위험 기반 모델을 도입해 평가 신뢰성을 제고해야 함을 강조한다.