미국의 사이버보안 전략에 대한 전면적인 방향 전환으로, 도널드 트럼프 대통령은 새로운 행정명령(Executive Order, EO)에 서명했습니다. 이번 행정명령은 민주당 전임 행정부의 핵심 사이버 정책 요소들을 해체하고, 외국 위협 억제, 기술력 통제, 디지털 신원체계 축소를 중심으로 한 자신만의 새로운 프레임워크를 도입하는 것을 목표로 하고 있습니다.

이 조치는 백악관이 사이버보안 및 인프라 보안국(CISA)의 예산과 인력을 대폭 축소하겠다는 방안을 발표한 지 불과 며칠 만에 이루어졌습니다. 이에 대해 전직 CISA 관계자들과 비판론자들은, 미국의 사이버 방어 역량이 심각하게 약화될 것이라고 경고하고 있습니다.

이번 트럼프 대통령의 행정명령인 『국가 사이버보안을 강화하기 위한 특정 조치 지속(Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity)』는 2025년 1월 바이든 행정부가 발표한 『국가 사이버보안의 혁신과 강화 촉진』 행정명령 이후, 미국 사이버보안 정책에 있어 가장 중대한 재조정으로 평가받고 있습니다.

트럼프 행정부의 사이버보안 정책 전환에서 가장 중심적인 변화는, 바이든 행정부 시절 도입된 디지털 신원(Digital Identity) 관련 정책들을 전면 폐지한 것입니다. 바이든 행정부의 행정명령은 연방 기관들이 공공 복지 프로그램에 접근할 수 있도록 디지털 신분증을 인정하도록 장려하고, 각 주 정부가 보안성 높은 모바일 운전면허증(mDL)을 개발할 수 있도록 연방 보조금을 지원하는 내용이 포함되어 있었습니다.

또한, 바이든의 EO는 감시 방지 기능을 강화한 디지털 신원 연방 기준 마련을 위한 토대를 제시하기도 했습니다. 그러나 트럼프 대통령의 새로운 행정명령은 이러한 조항들을 전면 삭제하면서, 이러한 정책들이 “불법 이민자들이 공공 혜택을 부정하게 이용할 수 있도록 만들고”, “복지 사기(entitlement fraud) 및 기타 악용을 조장했다”고 주장하고 있습니다.

이에 대해 트럼프 행정명령에 비판적인 인사들, 예를 들어 민주주의 수호재단(Foundation for Defense of Democracies) 산하 사이버·기술혁신센터의 마크 몽고메리(Mark Montgomery) 선임 국장은 “디지털 신원 정책 철회는 입증된 사이버보안 전략보다 이민 정치에 우선순위를 둔 조치”라고 비판했습니다. 또한 디지털 신원 기술 지지자들은, 이번 정책 철회로 인해 미국이 사기 및 온라인 신원 도용 위협에 더욱 취약해졌으며, 이에 대한 대체 수단도 마련되지 않았다고 경고하고 있습니다.

몽고메리는 “디지털 신원(Digital ID) 의무 조항을 철회하는 데 집착하는 것은, 입증된 사이버보안 효과보다 논란 많은 이미 혜택 문제를 우선시하는 행위입니다.”라고 말했다.

Better Identity Coalition 협회 조정관 제레미 그랜트(Jeremy Grant)는 “[바이든 행정부의] 1월 행정명령 어디에도 정부가 이민자를 포함한 누구에게든 디지털 신분증을 발급하라고 강제하는 내용은 없었습니다.”라고 전했다.

그러나 트럼프 행정부는 이러한 비판에도 기존 입장을 고수하고 있습니다. 2025년 6월 6일 백악관이 발표한 정책 개요서(Fact Sheet)에서는, 퇴임을 앞둔 바이든 행정부가 “문제 많고 논란의 여지가 있는 사안을 사이버보안 정책에 은밀히 끼워 넣었다”고 주장하며, 디지털 신원 프로그램이 부적격 수혜자의 접근을 확대하고, 사이버보안을 사회정책의 수단으로 전략시킬 위험이 있었다고 비판했습니다. 트럼프 대통령의 이번 행정명령은 보안성이 확보된 디지털 신원체계를 대체할 어떠한 새로운 방안도 제시하지 않고 있습니다.

디지털 신원(Digital ID)을 넘어, 트럼프 대통령의 이번 행정명령은 바이든 행정부의 행정명령 14144 및 오바마 행정부 시절의 행정명령 13694의 주요 조항들을 삭제하거나 수정하고 있습니다. 트럼프 행정부는 이들 조항이 과도한 개입(overreach)이며, 이념적으로 편향되어 있다고 주장합니다. 대표적으로, 이번 명령은 연방 계약을 체결하는 소프트웨어 공급업체가 보안 개발 관행을 준수하고 있음을 입증해야 한다는 의무 조항을 폐지했습니다. 대신, 미국 국가표준기술연구소(NIST)는 민간 부문과의 공공·민간 협력 컨소시엄을 구성해, NIST의 “보안 소프트웨어 개발 프레임워크(Secure Software Development Framework)” 적용 사례를 시연하도록 지시받았습니다. 이 초기 결과는 2025년 12월 1일까지 발표될 예정입니다.

이는 SolarWinds 해킹 사건 이후, 인증(attestation)과 인증서 기반의 소프트웨어 보안 준수를 강조했던 바이든식 컴플라이언스 모델에서 근본적으로 방향을 전환한 것입니다. 트럼프 행정부는 이와 같은 조치들을 “입증되지 않았으며, 실질적인 보안 투자보다 체크리스트 형식의 형식적 절차만 강조하는 비효율적이고 부담스러운 소프트웨어 회계 관행”이라고 비판했습니다.

또한 트럼프 대통령의 행정명령은 AI 중심 사이버보안 전략도 수정하고 있습니다. 바이든 대통령의 지침은 연방 기관들이 보안성이 강화된 AI 시스템을 연구하고, AI를 활용해 핵심 인프라를 보호하는 방향으로 장려했으나, 트럼프의 명령은 이와 같은 조항들을 전면 삭제하고, 연방 기관의 AI 사용을 “AI 관련 취약점 식별 및 관리”에 초점을 맞추도록 전환시켰습니다. 이에 따라, 모든 연방 기관들은 이제부터 AI 보안 결함을 기존의 전통적인 사이버 위협과 동일하게 취급하고, 정부 네트워크 전반에 걸쳐 침해 지표(Indicators of Compromise, IoC)를 공유해야 하는 의무를 지니게 됩니다.

사이버아크(CyberArk)의 혁신 부문 수석 부사장인 케빈 보첵(Kevin Bocek)은 AI 기반 사이버보안은 여전히 막대한 잠재력을 지니고 있다가 평가했습니다. 보첵은 트럼프 대통령의 행정명령에 포함된 예측적 방어(predictive defense) 관련 문구를 긍정적으로 평가하며, AI 자체를 보호하는 것이 기계 신원(Machine Identity)의 급증 상황에서 최우선 과제로 남아야 한다고 강조했습니다.

보첵은 다음과 같이 말했습니다. “올바른 AI 개발은 예측 방어, 대규모 위협 탐지, 그리고 급속히 확장되고 있는 기계 신원 생태계를 보호하는 핵심 도구입니다. 하지만 우리는 AI 자체를 안전하게 보호하는 것 또한 반드시 병행해야 합니다.”

트럼프 대통령의 행정명령은 또한 미국의 ‘양자 이후 암호(Post-Quantum Cryptography, PQC)’ 전략도 재검토하고 있습니다. 바이든 행정부의 명령은 연방 기관들이 가능한 한 조속히 양자 저항성 암호 기술을 도입할 것을 요구했지만, 트럼프의 지침은 이와 같은 긴급성을 제거했습니다. 대신, 트럼프 대통령은 국가안보국(NSA)과 예산관리국(OMB)에 대해 올해 12월까지 PQC 관련 가이드라인을 발표하고, 2030년까지 전면 도입을 목표로 추진할 것을 지시했습니다.

바이든 및 오바마 행정부 시절의 사이버보안 지침 중 일부 기술적 요소는 트럼프 행정부에서도 유지됩니다. 대표적으로는 국경 게이트웨이 프로토콜(Border Gateway Protocol, BGP)의 라우팅 보안 강화, 그리고 사물인터넷(IoT) 기기에 대한 사이버보안 표준 적용이 포함됩니다. 2027년 1월부터는 정부가 구매하는 모든 스마트 기기에 ‘사이버 신뢰 마크(Cyber Trust Mark)’ 라벨 부착이 의무화되며, 이는 해당 제품이 기본 보안 요건을 충족했다는 사실을 인증하는 역할을 합니다. 이 IoT 라벨링 제도는 원래 바이든 행정부 하에서 도입된 것으로, 트럼프 행정부가 이를 전면 수용한 것입니다.

또한, 트럼프 대통령의 행정명령은 정책 현대화(policy modernization)에 중점을 두고 있습니다. 이에 따라 예산관리국(OMB)은 향후 3년 내에 연방 IT 시스템 운영의 근간이 되는 A-130 서클러(Circular A-130)를 개정해야 합니다. 동시에 각 연방 기관들은 ‘규칙을 코드화하는’ 파일럿 프로그램(Rules-as-Code)을 시작해야 하며, 이는 정책과 규정을 기계가 읽을 수 있는 형식(machine-readable format)으로 변환하여 더 효율적인 적용과 감독을 가능하게 하는 목적을 지닙니다.

한편, 트럼프 대통령의 행정명령 중 가장 정치적으로 민감한 변화 중 하나는 사이버 제재(cyber sanctions)의 범위 축소입니다. 이번 명령은 오바마 행정부 시절 도입된 사이버 제재 프레임워크를 폐지했으며, 그 대신 “외국의 악의적 행위자(foreign malicious actors)”에 한정하여 제재를 부과하도록 규정하고 있습니다. 이번 행정명령에 첨부된 정책 개요서에서는, 이러한 개정이 정치적 목적에 따라 사이버 제재 도구가 국내 반대 세력을 겨냥해 남용되는 것을 방지하고, 사이버 제제가 선거 관련 활동에는 적용되지 않음을 명확히 하기 위한 조치라고 설명하고 있습니다.

이 조항은 국내 위협과 정치적 동기에 따른 사이버 공격이 증가하는 상황에서, 사이버 제재의 억제 효과를 약화시킬 수 있다는 우려 속에 사이버보안 전문가들의 강한 비판을 받고 있습니다. 트럼프 대통령의 이번 행정명령은, 자신의 정치적 진영 내부에서 오랫동안 제기되어온 감시 및 사이버 수사에 대한 불만-특히 선거 캠프 인사들을 대상으로 한감시 의혹-을 반영하고 있습니다.

이러한 조치는 오바마 행정부의 행정명령 13694와 본질적으로 다른 방향을 보여줍니다. 오바마의 명령은 미국 선거에 영향을 미친 행위자를 포함해, 악의적인 사이버 활동에 연루된 외국 및 국내 인물 모두를 제재 대상으로 규정한 바 있습니다. 하지만 이번 트럼프 행정명령에서는 ‘선거 개입(election interference)’ 관련 조항이 완전히 제외되어, 2016년과 같은 외국 정부의 선거 개입 역시 제재 대상에서 제외되는 것으로 해석될 수 있어, 국가 주도의 선거 간섭에 대한 법적 대응에 혼란을 초래할 수 있다는 우려도 제기됩니다.

반면, 지지자들은 이번 조치에 대해 사이버 제재 도구가 국내 정치적 반대자에게 오남용되는 것을 방지하고, 선거 활동은 사이버 단속의 대상에서 분리하려는 의도라고 주장하고 있습니다.

바이든 행정부 시절의 여러 사이버보안 명령이 철회되었음에도 불구하고, 트럼프 행정부는 일부 전략적 사이버 이니셔티브를 유지하거나 확대하고 있습니다. 여기에는 CISA(사이버보안 및 인프라 보안국)의 민간 연방 네트워크 방어 역할 강화, 그리고 연방 기관 전반에 걸친 암호화 현대화 촉진 등이 포함됩니다. 이번 행정명령은 최신 암호화 프로토콜의 채택을 지시하고, 핵심 디지털 인프라를 보호하기 위한 연방 부처 간 협력 강화를 명령하고 있습니다.

백악관은 이번 조치를 두고, 이념적 프레임워크가 아닌, 실제 기술적 과제를 중심으로 사이버보안을 재정렬(reorientation)하는 것이라고 정당화하고 있습니다. 사이버보안은 중립적 전문성에 기반을 두고, 적대세력으로부터 실질적인 보호를 제공하는 실행 가능성 중심의 영역으로 복원되어야 한다는 것입니다. 트럼프 대통령은 이번 행정명령에 부속된 성명을 통해, 이번 조치가 “정치적 편향을 제거하고 기술적·조직적 전문성을 회복하기 위한 광범위한 행정 철학의 일환”이라고 설명했습니다.

그러나 이번 명령이 야기한 정치적 파장은 상당합니다. 디지털 신원을 이민 단속과 연계하고, AI 정책을 ‘검열 반대’ 관점에서 재구성하며, 사이버보안 규제 준수를 ‘행정 과잉’으로 재정하는 방식은, 기술 정책을 정파적 수단으로 활용하는 기존 패턴을 그대로 답습하고 있다는 것이 전문가들의 지적입니다. 행정부는 이를 불필요한 관료주의를 제거하는 조치로 주장하고 있지만, 비판론자들은 급변하는 위협 환경에 대응하기 위해 설계된 선제적 보호 장치들이 해체되고 있다고 우려합니다.

트럼프 대통령 하에서의 사이버보안 정책 변화는, 미 연방 사이버보안 정책의 방향성 전체가 근본적으로 전환되고 있음을 반영합니다. 행정부는 기관 임무의 간소화와 초점 재정립을 강조하지만, 이로 인해 발생한 집중화, 인력 이탈, 프로그램 축소는 국가의 사이버 위협 대응 역량에 대한 심각한 우려를 불러일으키고 있습니다. 향후 몇 달은 이러한 변화가 미칠 영향을 평가하고, 미국의 사이버보안 인프라가 나아갈 방향을 결정짓는 중대한 시기가 될 것입니다.