트럼프 행정부의 예산 삭감과 연방기관 기능 축소가 미국 기업과 공공 부문의 사이버공격 대비·대응 역량을 약화시키고 있다는 경고가 잇따르고 있다. 인공지능(AI) 기반 위협이 기하급수적으로 증가하는 가운데, 정부-민간 간 정보 공유와 조정이라는 핵심 안전망이 흔들리고 있다는 지적이다.
2025년 11월 7일, CNBC뉴스의 보도에 따르면, 양당 합의로 구성된 미국 사이버스페이스 솔라리움 위원회(Cyberspace Solarium Commission)의 목표를 기준으로 한 최신 이행 평가에서, 미국은 강력한 사이버 방어 체계 구축을 위한 82개 목표 달성 진척도가 후퇴한 것으로 나타났다. 사이버솔라리움의 전무이사인 마크 몽고메리(퇴역 해군 소장)는 이번 결과에 대해 “놀랍고 실망스러웠다”고 밝혔다.
이 위원회 목표에는 핵심 인프라 기업에 대한 복잡한 규제 간소화, FBI 및 정보기관 내 사이버 역량 확대, K-12(초·중·고) 수준의 사이버보안 교육 강화 등이 포함돼 있다. 몽고메리는 사이버보안·인프라안전국(CISA) 예산 축소와 더불어, 과거 DOGE원문 표기의 조치로 국무부·국립과학재단(NSF)·표준기술연구소(NIST)·상무부 등 주요 부처에 광범위한 영향이 있었다는 점을 주요 원인으로 꼽았다. 한편, 기업이 반독점·책임 우려 없이 사이버보안 정보를 공유할 수 있게 했던 관련 법률이 9월 30일 실효된 점도 대응력 저하의 배경으로 지목됐다.
행정부 입장과 평가의 괴리
이번 평가는 재단(FDD) 산하로 활동 중인 사이버솔라리움의 보고서이며, 트럼프 행정부가 공개적으로 표방한 사이버방어 강화 약속에도 불구하고 나온 결과다. CISA 대변인은 이메일 성명을 통해 “트럼프 대통령과 크리시트 노엠(Krisit Noem) 국토안보부 장관의 리더십 아래, CISA는 매일의 작전 협업, 정보 공유 가속, 국가 전역의 사이버보안 및 핵심 인프라 방어 강화를 통해 핵심 임무를 충실히 수행하고 있다”고 밝혔다. 그러나 몽고메리는 “지난 8개월간 정부의 사이버보안 노력에 대해 우리는 더 비관적으로 보고 있다”며 행정부의 자기평가와 온도 차를 드러냈다.
최근 국가 연계형 공격이 급증하는 상황에서, 연방 정부의 소극화는 우려를 키우고 있다. 11월 6일에는 의회예산국(CBO)이 외국의 국가행위자로 추정되는 주체로부터 해킹 공격을 받은 것으로 전해졌다. 의회 인준 절차도 지연되고 있다. 여름 청문회 이후 CISA 국장 지명자 숀 플랑키(Sean Plankey)의 상원 인준이 아직 이뤄지지 않았다. 결과적으로, 연방 차원의 사이버보안 개입·조정 기능이 약화되고 있다는 평가가 나온다.
카롤 하우스(Carole House) 전 백악관 국가안보회의(NSC) 특별보좌관은 “우리는 주와 산업에 사이버보안 1차 조정 책임을 전가하면서, 동시에 그들이 그 역할을 수행하도록 돕는 자원은 깎고 있다”고 지적했다. 그는 “주·지방정부 사이버보안에 대한 연방 보조금과 핵심 파트너십이 삭감됐고, 사이버보안 정보공유법(CISA Act) 보호장치도 10월에 만료됐다”고 덧붙였다. “사다리를 걷어차면서 조정을 떠넘기고 있다”는 것이다.
현장 기능 약화: ‘천 개의 종이 자상’
몽고메리는 2023년 발견된 볼트 타이푼(Volt Typhoon) 사례를 언급했다. 이는 중화인민공화국과 연계된 공격자로, 통신·수자원·교통·에너지 등 핵심 인프라 기업에 침투한 것으로 알려졌다. 그는 이 활동을 “전장 준비(operational preparation of the battlefield)”일 수 있다고 평가했다. 발견 당시, CISA는 기업들이 적용해야 할 패치와 대응 단계를 권고했지만, 모든 침투가 탐지된 것은 아니며 현재도 새로운 공격이 이어질 가능성이 있다는 것이다. 그러나 이러한 정보를 공유하는 메커니즘이 행정부의 예산 삭감과 워싱턴 D.C.의 정치적 교착으로 약화됐다고 그는 지적했다.
몽고메리는 “이런 유형의 위협을 탐지하는 유일한 길은 정부의 지원”이라며 “공유할 수 있는 특징 신호가 있다”고 말했다. 실제로, 미국의 핵심 인프라가 대기업부터 중소사업자에 이르기까지 민간이 보유·운영하는 구조이기 때문에, 지난 행정부들에 걸쳐 구축된 공공-민간 협력 모델은 복잡하지만 필수적인 방어 체계로 기능해 왔다. 공공 부문의 지원 약화는 위험 관리의 부담을 기업 측에 더 크게 전가하고 있다.
특히 행정부는 CIPAC(Critical Infrastructure Partnership Advisory Council)을 해체했다. 이 협의체는 연방정부와 핵심 인프라 소유자 간 정보 공유를 가능케 했는데, 상수도부터 금융, 전력망, 의료에 이르기까지 산업별 산업협의회 운영의 기반이 됐다. 해체 이후, 국방 산업 기반 기업들이 정보를 교환하던 협의회 등 다수가 이전과 같은 방식으로 작동하지 못하고 있다는 지적이다. 몽고메리는 기업들 간 자체 교류는 이어지고 있으나, 자유롭고 체계적인 공유는 위축됐다고 평가했다.
산업별 대응도 제각각이다. 전력 산업의 정보공유 기구인 E-ISAC은 운영 중이지만, 선거 인프라 정보공유·분석센터(EI-ISAC)는 재원이 축소됐다. Abnormal AI의 이반 라이저(Evan Reiser) CEO는 “가장 큰 퇴행은 기술이 아니라 조정”이라며, “신호가 기관·벤더 사일로에 갇혀 있고, 고품질 원격측정(텔레메트리)를 실시간 공유하지 못하면 방어자들은 눈을 가린 채 싸우게 된다”고 지적했다.
AI 확산, 방어력 삭감의 위험을 증폭
굿윈(Goodwin) 로펌의 파트너이자 사이버보안·컴플라이언스, AI 전략·거버넌스 전문가인 케이틀린 베탄코트(Kaitlin Betancourt)는 “현재 직면한 사이버보안 위험은 급격히 상승했다”며 “자원 축소는 우리가 가야 할 방향의 정반대”라고 지적했다. 사이버범죄 조직은 피해자 프로파일링부터 자동화된 서비스 제공, 가짜 신원 생성에 이르기까지 조직 운영 전반에 AI를 심층 적용하고 있다.
지난 여름 말에는 생성형 AI 기업 앤트로픽(Anthropic)이, 범죄자들이 자사의 클로드(Claude) 챗봇을 악용해 17개 조직을 상대로 산업별로 정교하게 맞춤화된 심리적 협박을 가하며 $75,000~$500,000의 금전을 요구한 사건이 있었다. 앤트로픽은 해당 공격을 차단했다고 밝혔다. 대다수 사이버공격은 이메일과 스프레드시트 같은 레거시 시스템에서, 사람을 노리는 정교한 사회공학적 수법을 통해 시작된다.
소프트웨어 보안 ‘자기 증명(Attestation)’과 관련한 정책 환경도 변했다. 바이든 행정부는 대형 소프트웨어 기업이 CISA에 안전한 소프트웨어 개발·공급을 증명하도록 요구하고, 유효성 검증에 실패하면 법무부에 회부하는 장치를 두었다. 그러나 6월 트럼프 대통령은 오바마·바이든 행정부의 사이버보안 관련 행정명령을 개정하면서, 자기 증명의 요구사항은 유지하되, 국가 사이버 책임자가 실패 사례를 법무부에 회부하도록 권고하던 문구를 삭제했다. 2월 법무부가 사이버보안 기준 준수 관련 집행 조치를 취한 전례가 있었음에도EDCA 사건, 집행력 약화에 대한 우려가 커졌다.
베탄코트와 동료들은 분석 메모에서 “트럼프 행정명령은 소프트웨어 공급망 보안의 중요성을 유지하면서도, 특히 안전한 소프트웨어 개발 자기 증명과 관련된 처방적 지침과 집행 메커니즘을 축소한다”고 평가했다.
국가안보와 경제에 미치는 파장
사이버범죄 세력의 목표는 데이터 탈취 또는 랜섬웨어 등으로 시스템을 마비시키는 금전 갈취가 일반적이지만, 경우에 따라 중국·북한·이란 등 국가 연계 조직이 미국을 전략적으로 약화하거나, 자금 조달을 목적으로 개입한다. 실제로 2월에는 북한 후원을 받는 해커가 본사를 두지 않은 암호화폐 거래소 바이낸스(Binance)로부터 $15억 상당의 이더리움을 탈취한 사건이 발생했다. 당국은 이 자금이 세탁돼 북한의 미사일 프로그램에 사용될 가능성을 의심하고 있다.
또한 지정학적 경쟁국이 미국의 경제를 체계적으로 교란하되, 전통적 전쟁 문턱을 넘지 않는 방식의 지속적 저강도 사이버 공세를 펼칠 수 있다. 미국도 공격적 사이버 역량을 강화하고 있다는 당국자 발언이 공개적으로 나온 바 있으나, 구체적 내용은 명확치 않다. 전문가들은 공격과 방어를 모두 강화해야 한다고 보며, 특히 방어 측면은 민간의 정보에 입각한 투자를 전제로 한다고 강조한다.
의회와 군의 공백도 지적된다. 네브래스카주 2지구의 공화당 도ン 베이컨(Don Bacon) 하원의원은 이메일 성명을 통해 “사이버사령부와 국가안보국(NSA) 최고 지도부가 8개월째 공석인 점을 매우 우려한다. 이는 관성·방향성 결여로 이어진다”고 밝혔다. 그는 또한 “이번 행정부가 CISA의 예산과 인력을 크게 삭감했는데, CISA는 민간과 인프라 방어 최전선에서 활동한다”고 우려했다.
전문가 해설: 무엇이 가장 위험한가
취재를 종합하면, 가장 즉각적인 위험은 조정 실패다. 정보 공유 체계의 행정적 기반(CIPAC 해체, 법률·보호장치 만료)과 조정 주체의 리더십 공백(CISA 국장 미인준, 군·정보기관 수장 공석)이 겹치며, 산업 간 신호를 통합해 공격의 전조를 파악해야 하는 기능이 연쇄적으로 약화됐다. AI가 위협의 속도와 규모를 증폭시키는 만큼, 실시간 고품질 텔레메트리를 여러 주체가 동시에 바라보고 같은 그림을 그리는 구조가 관건인데, 현재는 사일로화가 심화되고 있다.
둘째, 집행의 신뢰성이 흔들리고 있다. 자기 증명이라는 소프트웨어 보안의 핵심 축은 유지됐지만, 검증 실패 시 후속 조치에 대한 명확한 공포가 희석되면서, 대형 벤더의 내부 보안 투자에 역인센티브가 발생할 소지가 있다. 이는 궁극적으로 민간 공급망 전반의 취약지대를 넓힐 위험이 있다.
셋째, 연방 보조금 및 파트너십 축소는 주·지방정부와 중소 인프라 사업자의 방어 능력을 빠르게 갉아먹는다. 공격자는 가장 약한 고리를 노린다. 전력부문(E-ISAC)이 비교적 견조해도, 선거 인프라처럼 정책적 민감도가 높은 영역의 정보공유 채널이 위축되면, 사회적 신뢰까지 손상될 수 있다.
용어·기구 설명
CISA: Cybersecurity and Infrastructure Security Agency, 국토안보부 산하의 사이버·인프라 보호 전담 기관이다. 사이버스페이스 솔라리움 위원회: 의회 주도로 구성된 양당 합의 기구로, 미국의 사이버 전략·거버넌스 강화를 위한 82개 목표를 제시했다. CIPAC: 핵심 인프라 파트너십 자문위원회로, 정부-민간 간 정보 공유와 정책 자문 통로였다. E-ISAC: 전력 산업의 정보공유·분석센터로, 전력망 보안 정보를 산업 전반에 배포한다. DOGE: 기사 원문에 그대로 등장하는 약칭으로, 맥락상 과거의 광범위한 조직·예산 조정 조치를 지칭하나, 상세한 확장형은 명시돼 있지 않다.
현실적 시사점
전문가들의 일관된 메시지는 명확하다. 첫째, 정보 공유의 제도적 복구가 급선무다. 법적 보호장치 만료와 협의체 해체로 생긴 공백은 실시간 위협 인텔 교환에 치명적이다. 둘째, 리더십 공백 해소가 필요하다. 인준 지연과 공석이 지속되면, 우선순위 설정과 집행이 지체된다. 셋째, 민간의 자율적 투자만으로는 국가급 위협을 감당하기 어렵다. 공공의 조정·표준·집행이 결합돼야 공급망 전반의 최소 방어선이 유지된다.
몽고메리는 “우리는 회복할 수 있다고 본다”면서도 “더 이상의 삭감은 불가”라고 못 박았다.
영상 관련: 니콜 펄로스(Nicole Perlroth)는 중국이 미래 분쟁에 대비해 미국 핵심 인프라에 사전 배치하고 있다고 분석했다. 이는 전장 준비의 대표적 사례로, 평시 침투·위치 선점 후 분쟁 시점 동시다발 타격으로 전환할 수 있다는 우려를 반영한다.
결론
정리하면, 예산 삭감·기관 약화·법·제도 공백·리더십 부재는 서로 맞물려 사이버 방어의 체계적 기능 저하를 낳고 있다. AI로 가속되는 위협 환경에서, 이는 단순히 IT 문제가 아니라 국가안보와 경제 안정성의 문제다. 현재의 경향이 지속된다면, 미국 사회는 산업 전반의 복원력 약화와 대형 사고 빈도·영향력 확대라는 비용의 외부화를 감내하게 될 가능성이 있다. 정책의 복구와 집행력 강화 없이는, 기업과 지방정부가 감당할 위험이 계속 누적될 것이다.
