밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주]
제47대 미국 대통령으로 도널트 트럼프 당선인이 취임한 가운데 미국 사이버 보안 정책·산업 변화 주목도가 높아지고 있다.
21일 업계에 따르면 트럼프 2기 정부는 바이든 행정부보다 사이버 보안 정책을 개방적으로 이어갈 것으로 예측되고 있다. 다만 중국과 이란, 러시아발 사이버 공격 대응에 있어선 초당적 행보를 이어갈 것이란 의견이 나왔다. 트럼프 대통령과 대립각을 유지했던 사이버보안 및 인프라 보안국(CISA) 권한은 축소될 것으로 예상되면서 미국 인프라 보안 안전성 우려는 커졌다.
국내에선 보안 기업이 무역 관세 영향을 받아 어려움에 처할 수 있다는 추측이 나왔다. 트럼프 대통령이 모든 수입품에 대한 관세를 대폭 올리겠다는 공약을 내세워서다. 그러나 미국이 중국과 러시아 견제로 인해 해당 국가 보안 제품 구입을 줄일 경우 이 자리를 한국 기업이 채울 수 있다는 가능성도 제기됐다.
바이든 정부가 던지고 간 보안 과제…"핵심은 유지될 수도"
조 바이든 전 대통령은 임기 종료 4일 전 사이버 보안에 대한 행정명령을 발표했다. 미국 정부와 거래하는 소프트웨어(SW) 기업들에게 새로운 보안 기준을 부과하는 정책이다.
가장 대표 명령은 미국 정부에 SW를 판매하는 기업들이 제품 안전성을 서류로 증명해야 한다는 것이다. 사이버 보안 및 인프라 보안국(CISA)이 이를 90일 내 검증해야 한다. 해당 정보는 미국 정부 웹사이트에 게시된다. 정부는 SW 기업에 제품 정보 공개를 추가 요구할 수도 있다.
또 인터넷 연결 기기 평가를 돕는 '미국 사이버 신뢰 표시(U.S. Cyber Trust Mark)' 라벨 정책도 추가했다. 미국 정부는 2027년부터 해당 라벨을 부착한 제품만 구매한다고 명시했다.
업계에선 트럼프 대통령이 바이든 행정부 기조를 이어받을지는 미지수라는 분위기다. 보안 관계자들은 트럼프 행정부가 바이든 행정 명령보다 개방적인 접근 방식을 추진할 것으로 봤다. 다만 중국과 이란, 러시아발 사이버 공격에 대해선 초당적 입장을 취할 것으로 전망했다.
버그크라우드 케이시 엘리스 최고경영자(CEO)는 "트럼프 행정부는 개방적인 사이버 정책을 내놓을 것"이라며 "사이버 공격으로 인한 냉전 2기가 진행 중이라는 인식이 더 명확히 드러날 것"이라고 평가했다.
미국 일리노이대 어바나-샴페인 캠서스 존 밤버넥 컴퓨터과학과·정보과학대학 교수는 "기업에 대한 규제 집행도 줄어들 것"이라며 "정보보호 최고책임자(CISO)의 책임론도 줄어들 것"이라고 예상했다.
다만 중국과 이란, 러시아발 사이버 공격에 대해선 초당적 협력을 추진할 것이라는 전망이 이어졌다. 엘리스 CEO는 "러시아, 이란, 특히 중국에 대항하기 위한 사이버 공격·억제력과 관련해 더 직접적인 논의가 있을 것으로 예상된다"며 "이는 국가안보국(NSA)과 사이버사령부의 구조 변경뿐 아니라 민간 부문을 포함한 선제적 방어·방해 작업이 포함될 수 있다"고 말했다.
이에 파이낸셜타임스(FT)는 "사이버 보안은 전통적으로 초당적 이슈"라며 "양당 모두 국가를 적대적 위협으로부터 보호해야 할 중요성을 인식하고 있다"고 분석했다.
미국 백악관 앤 뉴버거 국가안보부 사이버 보안·신기술 부보좌관은 "차기 사이버 보안팀이 구성되는 대로 트럼프 행정부와 논의를 기꺼이 할 것"이라고 밝혔다.
CISA 역할 축소 가능성…"보수 비판 이어진 탓"
CISA 역할이 트럼프 행정부에서 축소될 가능성이 제기되고 있다. 2020년 대선 당시 트럼프 행정부의 부정선거 주장을 반박하면서 보수 진영 비판을 받아서다.
CISA는 2018년 트럼프 대통령의 첫 행정부 때 설립됐다. 이 기관은 미국 주요 인프라를 사이버 공격으로부터 방어하고 연방 정부와 민간 부문 간 협력을 통해 국가 보안 태세 강화를 목표를 갖고 있다.
CISA는 설립 후 공동 사이버 방어 협력체(JCDC)와 알려진 취약점 목록(KEV) 프로그램을 도입해 미국 사이버 보안 능력을 향상시켰다는 평을 받고 있다. 또 연방 정부의 취약점 공개 프로그램을 통해 연구자들이 정부 시스템의 결함을 신속히 보고하고 문제를 해결할 수 있는 체계를 구축했다.
그러나 이 기관은 2020년 대선을 기점으로 정치적 논란에 휘말렸다. 당시 크리스 크렙스 국장이 트럼프 행정부의 대선 부정선거 주장을 반박해서다. 크렙스 국장은 트럼프 대통령과의 갈등 끝에 됐지만 언론에 지속 출연해 트럼프 캠페인 주장에 반박하는 등 정치적 목소리를 높였다.
후임으로 임명된 젠 이스터리 국장은 정치적 논란을 피하고 CISA의 본래 임무에 집중하며 기관 안정화를 시도했다. 하지만 보수 진영의 비판에서 자유롭지 못한 것으로 전해졌다. 이스터리 국장도 지난해 초 사임했다.
최근 상원 국토안보·정부업무위원회를 이끌게 될 랜드 폴 상원의원은 CISA의 허위정보 조사 권한을 박탈하겠다는 의사를 표했다. 또 외국발 정부 관련된 업무를 제한하겠다고 발표했다. 이에 CISA 활동 범위가 크게 축소될 가능성이 제기되고 있다.
다수 외신은 CISA의 역할 축소는 미국 사이버 보안 정책과 인프라 안전성 전반에 중대한 영향을 미칠 수 있을 것이라고 진단했다. 파이낸셜타임스는 "국가 인프라와 주요 시스템의 보안 태세가 약화할 가능성이 있다"며 "공공·민간 협력을 통해 구축된 보안 체계와 신뢰도가 훼손될 위험도 있다"고 분석했다.
'관세 폭탄'에 국내 물리보안 수출 영향..."중국·러시아 빈차리 채워야"
트럼프 대통령이 무역 관세를 대폭 올리겠다는 공약에 따라 국내 보안업계는 대응 마련이 시급하다는 목소리가 나왔다. 미국 우선주의를 내세우는 트럼프 정부가 자국 보안제품 적용 확대 전략을 채택할 수 있을 거라는 우려 때문이다.
한 국내 보안업계 관계자는 "하드웨어 장비를 수출하는 물리보안 업체나 어플라이언스 기반 정보보호 기업이 이에 영향받을 것"이라고 설명했다.
실제 지난해 발간된 국내 정보보호산업 실태조사 보고서에 따르면 2023년 기준 정보보안의 경우 수출 비중 49.7%가 일본에서 발생한다. 물리보안 수출 비중 49.7%가 미국에서 나온다. 미국에 수출되는 국내 정보보안 수출액 비중은 5.5%에 그친다.
업계 관계자는 "무역 관세가 대폭 상승하면 국내에선 미국에 보안 장비를 수출하는 업체가 가장 큰 타격을 입을 수 있을 것"이라며 "이는 한국 보안 업체에겐 위기이자 기회로, 트럼프 정부가 관세 상승과 더불어 중국, 러시아산 정보보안 제품·장비 사용 비중을 줄일 수 있을 것이란 전망이 나왔기 때문"이라고 말했다.
앞서 2017년 트럼프 정부는 카스퍼스키가 러시아 정부와의 연관성에 대한 우려로 미국 정부 기관에서의 제품과 서비스 사용이 금지된 바 있다. 카스퍼스키는 미국 지사를 지난해 최종 철수했다.
다른 국내 보안업계 관계자는 "보안 시장에서 러시아, 중국산 보안 제품이 설 자리를 잃을 것"이라며 "그 자리를 누군가 채워야 하는 필요성이 생길 수 있을 것"이라고 말했다. 이어 "이를 국내 보안 기업이 채울 수 있어 현재 분위기가 국내에 긍정적으로 작용할 수 있다"고 강조했다.
관련기사
- [트럼프 취임] 美 정권 교체 앞두고 AI 행정명령 폐지 예고…안전성 공백 '우려'2025.01.21
- [트럼프 취임] AI 독주 노린 美, 빅테크 주도권 강화…글로벌 시장엔 위협2025.01.21
- [트럼프 취임] 미국 親가상자산 정책, 시장 성장 이끌까2025.01.21
- 트럼프 취임…연설·행정명령에 가상자산 언급 없었다2025.01.21
미국 내 지사를 설립한 한국 정보보안 기업도 시장 변화에 대비할 필요가 있다고 말했다. 우선적으로 국내 보안 기업들은 미국 내 협력사와 파트너십을 강화해야 할 필요가 있다고 당부했다.
업체 관계자는 "자회사 설립 등으로 대응 전략을 구사해야 한다"며 "현지화 전략을 통해 새로운 기회가 열릴 수 있다고 본다"고 내다봤다.
