AI와 양자암호 후퇴...민관 협력 보안체계 일부 유지
정권 따라 흔들리는 사이버보안 전략
2025년 6월 7일, 도널드 트럼프 미국 대통령이 6일(현지시간), 오바마·바이든 행정부 시절 수립된 주요 사이버보안 정책을 전면 수정·철회하는 행정명령에 서명했다.
이번 조치는 2015년 오바마 대통령이 발효한 사이버 제재 명령(행정명령 13694)과 2025년 1월, 바이든 대통령 임기 종료 직전에 발표된 사이버보안 강화 지침(행정명령 14144)을 동시에 겨냥하고 있다.
트럼프 행정부는 기존 정책이 비현실적인 규제와 과도한 정부 개입을 초래했다고 판단하며, 이를 보안의 본질적 강화와 자율적 대응 중심으로 재편하겠다는 전략을 내세웠다.
이번 행정명령은 미국의 사이버보안 전략에 있어 중대한 방향 전환으로 평가된다.
디지털 신분증 조항 삭제… 보안 아닌 ‘이민 프레임’으로 이동한 논쟁
트럼프 행정부는 바이든 대통령이 임기 말 서명한 사이버보안 행정명령 14144호 중 ‘디지털 신분증 활용 권장’ 조항을 핵심적으로 철회했다. 이 조항은 공공복지 서비스를 신청할 때, 디지털 형태의 신분증(ID) 을 인정할 수 있도록 기관에 권고하는 내용이었다. 트럼프 행정부는 이를 “사이버보안 정책에 정치적 의제를 끼워 넣은 사례”로 규정하고, 해당 문구를 완전히 삭제했다.
백악관은 그 이유로 “디지털 신분증 허용이 불법 이민자들이 공공 복지에 접근하는 통로로 악용될 수 있다”는 점을 강조했다. 이는 사이버보안의 기술적 접근보다 이민 통제와 복지 남용 방지라는 정치적 논리를 우선시한 해석이다.
하지만 이 같은 조치에 대해 사이버보안 전문가들은 우려를 표했다.
사이버·기술혁신센터(FDD)의 마크 몽고메리(Mark Montgomery)는 Politico와의 인터뷰에서, “디지털 ID 관련 지침을 철회하는 데 집착하는 것은, 검증된 사이버보안 혜택보다 논란이 많은 이민 정책 혜택을 우선시하는 것이다.”이라고 비판했다.
“the fixation on revoking digital ID mandates is prioritizing questionable immigration benefits over proven cybersecurity benefits.”
디지털 신분증 관련 조항을 제거한 것이 보안 혁신보다 이민 문제를 정치적으로 활용하려는 움직임이며, 사이버보안의 실질적 이득을 희생시킨 셈이라고 지적한 것이다.
즉, 기술 기반의 신원 확인을 통해 사이버 공간의 보안성과 효율을 높이려는 방향 대신, 행정명령이 이민 통제 수단으로 재해석되며 논란이 커진 상황이다.
AI 사이버보안 전략 전면 수정… “검열 아닌, 취약점 대응 중심”으로
트럼프 대통령은 이번 행정명령을 통해 AI 기술을 사이버보안에 적용하는 기존 정책 방향도 대폭 수정했다.
바이든 행정부는 AI를 활용해 전력망과 같은 국가 중요 기반시설의 보안 자동화, 국방부의 AI 기반 위협 탐지 체계, 그리고 AI 보안 기술 연구에 대한 연방 자금 지원 확대 등을 명문화한 바 있다. 그러나 트럼프 행정부는 해당 조항들을 모두 삭제하며, 보안 전략의 방향을 다시 원점으로 되돌렸다.
백악관은 이같은 결정의 배경으로 “AI 기술이 정부 차원의 검열 도구로 전용될 수 있다는 우려”를 제기했다. 이번 조치는 사이버보안 전략의 초점을 "검열"이 아닌, "취약점 식별 및 대응"으로 전환하는 것이라고 강조했다.
이는 트럼프 대통령의 실리콘밸리 지지 기반, 특히 기술 자율성을 강조하는 보수 성향 테크 기업인들과 정치 후원자들이 꾸준히 제기해 온 ‘AI 감시·검열’ 비판과도 일맥상통한다.
결과적으로, AI 기술을 활용한 정부 주도형 보안 자동화 전략은 뒷걸음질치게 되었으며, AI는 앞으로 민간 중심의 위협 탐지 및 취약점 대응 도구로 한정된 역할을 맡게 될 가능성이 커졌다.
이는 AI를 국가안보 수단으로 활용하려는 기존 기조와는 뚜렷한 차이를 보여주는 대목이다.
양자암호 도입 기한 후퇴… 보안 인증 의무도 ‘실효성 논란’ 속 삭제
트럼프 행정부는 이번 행정명령을 통해 ‘양자암호(Post-Quantum Cryptography, PQC)’의 조기 도입을 권고한 기존 기한을 사실상 무력화했다.
바이든 정부는 양자컴퓨팅이 기존 공개키 암호체계를 무력화할 수 있다는 점을 들어, 연방기관이 가능한 한 빠르게 PQC 기술을 도입해야 한다고 명시한 바 있다.
그러나 트럼프 대통령은 이러한 조치가 “아직 충분히 성숙하지 않은 기술을 성급히 강제하려는 시도”라며, 적용 시점을 “가능한 한 빠르게”가 아닌 “현실적으로 가능한 시점에”으로 바꿨다. 이에 따라, PQC 전환의 속도는 기관 자율성에 맡겨진 형태로 완화됐다.
또한 연방정부가 발주하는 보안 소프트웨어에 대해 공급업체가 보안성을 사전에 증명해야 한다는 의무조항도 삭제됐다.
트럼프 행정부는 이를 “검증되지 않은 소프트웨어 회계 절차이며, 실질적 보안투자보다 서류 검토에만 집중하는 불합리한 규제”로 규정했다.
다만, 이러한 완전한 철회 대신 미국 표준기술연구소(NIST) 를 중심으로 새로운 민관 컨소시엄을 구성하고, 보안 소프트웨어 개발 프레임워크(SSDF) 를 재정비하겠다는 방침을 함께 내놓았다.
즉, 일률적인 강제 규제 대신 산업계의 자율적 가이드라인 제정을 통해 사이버보안을 강화하겠다는 것이다.
이러한 조치는 정부 보안 정책이 ‘의무 조항’에서 ‘협업 기반 지침’으로 무게중심을 옮긴 것으로 해석되며, 기술 업계와 보수 진영의 규제 완화 요구를 일정 부분 반영한 결과로 보인다.
오바마의 ‘사이버공격 제재 명령’도 수정… “국내 정치 악용 방지” 명분 내세워
트럼프 행정부는 이번 행정명령을 통해 버락 오바마 대통령이 2015년에 발효한 사이버공격 제재 정책(행정명령 13694호) 도 일부 내용을 철회했다. 원래 이 명령은 국가 안보, 경제 질서, 정보시스템을 위협하는 사이버 행위자에 대해 미국 정부가 국적에 관계없이 제재를 부과할 수 있도록 허용한 것이 핵심이었다.
하지만 트럼프 대통령은 이 조항을 수정해, 사이버공격에 대한 제재 대상을 ‘외국인’으로 한정했다. 즉, 미국 내 개인이나 단체가 연루된 사이버 행위에 대해서는, 특별한 경우를 제외하고는 연방정부가 경제 제재를 부과할 수 없도록 제한한 것이다.
백악관은 이에 대해 “국내 정치적 반대 세력이나 선거 관련 활동에 대해 이 제재 조항이 과도하게 사용되거나 남용되는 것을 방지하려는 조치”라고 설명했다. 행정명령에는 “선거 관련 행위는 이 제재의 대상이 아니다”라는 문구가 명시되었다.
일각에서는 이 같은 조치가 정치적 편향성을 방지하기 위한 조치로 평가되지만, 동시에 사이버보안 전문가들은 국내 사이버 위협에 대한 대응력 저하를 우려하고 있다. 특히, 미국 내 정치 세력 간의 사이버전 가능성이 높아지는 상황에서 제재 범위를 축소하는 것은 오히려 국가 내부의 사이버 리스크를 간과하는 결과로 이어질 수 있다는 지적도 제기된다.
결국 이번 수정은 사이버 보안의 법 집행 도구였던 제재 명령이, 정치적 중립성 논란과 연결되며 새로운 논쟁 지점을 만들고 있다.
AI와 양자암호는 후퇴했지만… 민관 협력 기반 보안 체계는 일부 유지
트럼프 행정부의 이번 행정명령은 다수의 조항을 삭제했지만, 일부 사이버보안 강화를 위한 민관 협력 체계는 유지되거나 재정비하는 방식으로 조정됐다.
특히 미국 표준기술연구소(NIST), 국토안보부(DHS), 국방부(DOD) 등 주요 연방기관에는 다음과 같은 구체적인 일정이 부여됐다.
- 2025년 8월 1일까지: NIST는 산업계와 공동으로 보안 소프트웨어 개발 및 운영에 관한 협의체를 구성해야 하며, 이를 통해 NIST의 보안 프레임워크(SSDF) 를 기반으로 한 실무 가이드라인을 마련해야 한다.
- 2025년 11월 1일까지: 국방부, 국토안보부, 정보기관 등은 AI 시스템의 보안 침해 탐지, 대응, 사고 추적 및 보고 체계를 기존 사이버보안 시스템에 통합해야 한다. 이는 향후 AI 기반 위협에 대한 조직적 대응 능력을 높이기 위한 조치다.
- 2030년 1월 2일까지: 모든 연방기관은 양자컴퓨터 위협에 대비하기 위해 TLS 1.3 이상 또는 후속 버전의 보안 프로토콜을 도입해야 한다. 이는 양자암호(Post-Quantum Cryptography) 시대를 대비한 핵심 인프라 전환으로, 실제 시행 시점을 명확히 못박은 첫 사례다.
또한 연방정부는 사이버보안 지침과 정책을 기계가 읽고 처리할 수 있는 형식(machine-readable) 으로 전환하는 ‘규칙의 코드화(Rules-as-Code)’ 시범사업도 추진한다. 여기에 더해, 사물인터넷(IoT) 소비재에 보안 신뢰성을 인증하는 ‘사이버 신뢰 마크(Cyber Trust Mark)’ 부여 제도도 시범 운영될 예정이다.
이처럼 AI 및 양자암호와 관련한 의무 조항은 일부 후퇴했지만, 민관 협력 기반의 보안 정책 체계는 일정 부분 유지되며, 기술 업계와의 공동 대응을 강조하는 구조로 재조정된 모습이다.
정권 따라 흔들리는 사이버보안 전략
이번 트럼프 행정부의 행정명령은 사이버보안 분야에서의 정책 연속성을 크게 약화시키며, 기술 발전과 정치적 이해관계의 충돌을 다시 한 번 드러낸 결정으로 평가된다.
AI 방어 시스템, 양자암호 대응 전략, 디지털 신분 인증 등 미래 보안을 위한 핵심 기술들이 정권 교체라는 정치적 이벤트에 따라 일방적으로 철회되거나 수정된 것이다.
사이버보안 전문가들은 이러한 현상이 기술 전략이 아닌 정치적 프레임 경쟁에 휘말리고 있다는 점에서 심각하다고 경고한다. 미국이 직면한 사이버 위협은 날로 정교해지고 있으며, 중국·러시아·이란·북한 등으로부터의 지속적인 공격은 국가적 연속성과 초당적 대응이 절실한 영역임에도 불구하고, 실제 정책 집행은 정치적 이념에 따라 좌우되고 있다는 것이다.
결국 미국의 사이버보안 전략은 다시금 정권에 따른 ‘정책 리셋’ 상태에 빠져들었다.
기술의 진보 속도는 점점 빨라지는데, 이에 걸맞은 지속 가능하고 일관된 국가 전략이 마련될 수 있을지는 여전히 불확실하다.
지금 미국 사이버보안의 가장 큰 위협은, 어쩌면 기술의 부족이 아니라 정치의 개입일지도 모른다.
[저작권자ⓒ META-X. 무단전재-재배포 금지]
