본문
트럼프 2기 행정부는 2025.6월 ‘행정명령 제143061호(국가 사이버보안 강화를 위한 선별된 노력 유지)’를 발표하였습니다. 제14306호는 사이버보안 분야에서 연방정부 시스템 효율성 제고 및 적대국에 대한 견제 필요성에 대한 정책 방향과 기조를 반영하여 국가 사이버보안 강화를 위한 행정명령으로 오바마 행정부와 바이든 행정부에서 발표한 사이버 보안 행정명령(제13694호, 제14144호)을 수정하여 외국의 사이버위협에 대한 자국 보호를 강화하고 연방 사이버보안 정책 전반을 간소화하였습니다.
1. 배경
2. 트럼프 2기 행정부의 사이버보안 정책 주요 내용(제14306호)
가. 위협 인식의 대상 명확화
나. 기술적 현대화의 가속화
다. 규제 접근법의 변화
3. 시사점
1. 배경
트럼프 2기 행정부는 2025년 행정명령 14148호를 통해 바이든 정부가 추진했던 규제 중심의 정책을 철회하였고, 사이버보안 측면에서 25년 6월 6일 행정명령 제14306호를 발표하며 오바마 및 바이든 전 행정부의 사이버보안 관련된 행정명령(제13694호, 제14144호)를 일부 수정하여 정부 효율성 강조, 인공지능과 소프트웨어 공급망 보안강화, 양자기술 등의 보안성 및 차세대 기술 도입을 추진하는 기반을 마련하였습니다.
2. 트럼프 2기 행정부의 사이버보안 정책 주요 내용(제14306호)
가. 위협 인식의 대상 명확화
사이버 위협이 되는 국가를 확대하였고 더욱 강한 보안 조치가 필요함을 선언하였습니다. 기존에는 사이버 활동을 수행하는 국가로 ‘중국’이 지정되었으나, 제14306호에서는 사이버 위협을 행사하는 국가에 러시아, 이란, 북한 등으로 확대하였고, 미국의 주요 서비스 제공의 방해로 미국인의 보안과 프라이버시를 침해하는 행위의 대응을 위해, 국가 사이버보안 강화 목적에 맞는 추가 조치 필요성을 제시하였습니다.
적용대상도 명확히 하였습니다. 즉, 오바마 행정부의 행정명령 제13694호 에서 ‘미국 국가안보, 외교, 경제 건전성 또는 재정 안전성에 중대한 위협을 초래하는 직 간접적으로 책임이 있는 모든사람’으로 규정된 것에서 ‘모든사람’을 삭제하고 ‘모든 외국인’으로 수정하여 해외 사이버 위협 행위자를 명확히 하였습니다.
이러한 위협 인식의 대상을 특정 국가를 추가 확대하면서도, 모든 외국인을 그 대상을 지정하였는 바, 해외에 있는 사이버 위협으로 부터의 대응방식의 변화를 예상해 볼 수 있습니다.
나. 기술적 현대화의 가속화
차세대 기술인 양자컴퓨터 및 양자 내성 암호(Post-Quantum Cryptography, PQC) 기술의 도입을 가속화합니다. 행정명령은 2030년까지 모든 연방 기관이 Transport Layer Security(TLS) 프로토콜 버전 1.3 이상을 지원하도록 의무화했습니다. 이는 양자 컴퓨팅 시대에 대비한 선제적 조치로, 현재 사용되는 암호화 기술이 양자 컴퓨터에 의해 무력화될 가능성에 대비하기 위함으로 해석됩니다.
인공지능 기술의 활용도 강화됩니다. 행정명령은 AI가 "취약점을 신속히 식별하고, 위협 탐지 기술의 규모를 확대하며, 사이버 방어를 자동화할 수 있는 잠재력을 가지고 있다"고 명시했습니다. 이에 따라 사이버 방어 연구를 위한 기존 데이터셋을 학계에 공개하고, AI 소프트웨어의 취약점 관리를 기존 취약점 관리 체계에 통합하여 관리하도록 하였습니다.
소프트웨어 보안 분야에서도 국립표준기술연구소(NIST)를 중심으로 한 산업계 컨소시엄을 구성하여 보안 소프트웨어 개발 가이드라인인 NIST 800-218과 정보보안 및 프라이버시 보호 표준 가이드라인인 NIST 800-53을 업데이트하고, 보안 패치 배포에 대한 지침을 개선하도록 했습니다. 이는 소프트웨어 공급망 보안을 강화하고 민간의 참여를 독려하는 의도로 해석됩니다.
다. 규제 접근법의 변화
트럼프 2기 행정부는 바이든 행정부가 도입했던 규제들인 ID/액세스 관리 방안, 피싱 방지 표준 사용, 이메일 송수신시 암호화 프로토콜 활용, 연방정부 네트워크 경계 경로 프로토콜(Border Gateway Protocol, BGP)운영 방식등을 삭제하여 연방정부 및 기관에 부과된 세부적인 지침 발행 의무 부담을 줄였습니다.
소프트웨어 공급망 보안 측면에서 소프트웨어 공급업체에 다양한 요구사항을 삭제하고 연방기관에 소프트웨어 공급망 보안을 지시하는 OMB 각서 M-22-18의 수정조치를 삭제하여, 효율적이면서도 연방정부의 규제 중심에서 기업 중심의 보안 체계로 변화시켰습니다.
대신 민간 기업과의 협력을 강화하는 방향으로 정책이 조정되었습니다. NIST 국가사이버보안센터에 산업계 컨소시엄을 설립하고, 연방조달규정(FAR)을 개정하여 소비자 IoT 제품에 대한 미국 사이버 신뢰 마크 라벨링을 요구하는 등 민관 협력을 통한 보안 강화 방안을 제시했습니다.
이러한 변화들은 트럼프 행정부가 추구하는 '규제 완화를 통한 시장 주도형 혁신을 강화하는 방향'과 일치하면서도, 동시에 국가안보 차원에서 사이버 위협에 대한 강력한 대응 의지를 보여주는 것으로 평가됩니다. 특히 중국 등 적성국에 대한 명확한 위협 인식과 첨단 기술을 통한 대응 역량 강화는 향후 글로벌 사이버 안보 환경에 상당한 영향을 미칠 것으로 예상됩니다.
3. 시사점
트럼프 2기 행정부에서 25년 6월 행정명령 제14306호를 발표하여 과거 오바마, 바이든 행정부에서 추진했던 여러 사이버보안 분야의 정책이 변경됨에 따라 우리나라 정부와 기업도 준비가 필요합니다.
기술 경쟁력 확보 측면에서 양자 컴퓨팅 시대에 대비한 암호 기술 개발, AI 기반 보안 솔루션 고도화 등 첨단 기술 영역에서의 경쟁력 확보가 중요합니다. 특히 미국이 2030년까지 양자 내성 암호 기술 도입을 가속화하고 있는 만큼, 양자컴퓨터, 양자암호통신, 양자 내성암호등의 양자관련 기술에 관심을 가져야 합니다.
트럼프 행정부가 소프트웨어 공급망 보안에 대한 규제를 완화하고 민간 자율 대응을 유도하고 있지만, 이는 기업들의 책임이 오히려 커진다는 의미로 볼 수 있습니다. 트럼프 2기 행정부에서는 소프트웨어의 안전성 담보를 위한 SSDF(Secure Software Development Framework)의 중요성을 강조하고 있는 만큼 소프트웨어 공급망에 대한 보안과 더불어 소프트웨어 자재 증명서인 SBOM(Software Bill Of Materials)을 중심으로 공급망 보안 검증 체계를 검토할 필요가 있습니다.
트럼프 2기 행정부의 사이버보안 정책 전환은 단순한 정책 변화를 넘어 글로벌 사이버 안보 패러다임이 규제 완화와 자율성 강화, 첨단 기술 투자 확대 등 새로운 방향으로 변화하는 것으로 볼 수 있습니다. 사이버 위협이 갈수록 정교해지고 다양한 산업군을 대상으로 확대되는 상황에서, 변화에 능동적으로 대응하기 위하여 미국을 비롯한 주요국의 사이버보안 정책 변화를 면밀히 분석하고, 실질적인 대응 방안을 마련할 필요가 있습니다.
화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.
- 관련 분야
- #정보보호센터
