지난 16일 조 바이든 미국 대통령이 퇴임을 목전에 두고 광범위한 국가 사이버 보안 관련 행정명령에 서명했다. 해당 명령은 연방정부 소프트웨어 공급업체에 더 안전한 제품 개발을 요구하고, 연방통신망을 외국 정보수집자로부터 보호하며, 랜섬웨어 조직에 강력한 제재를 내리고, AI와 양자내성암호로 사이버 보안 역량을 강화하는 등 포괄적인 내용을 담았다. 이 행정명령은 미국 연방정부 담당기관에 여러 새로운 사업을 수행할 것을 포함해 곧 출범할 도널드 트럼프 행정부에서 유지될 지 주목된다.
바이든 대통령은 이날 ‘국가 사이버 보안 혁신 강화 및 촉진에 관한 행정 명령’에 서명했다.
이 행정명령은 러시아, 중국 등지에서 국가 지원을 받은 해커가 조직적으로 미국 정부와 민간 인프라를 겨냥한 공격을 시도하는 것을 방어하기 위해서 시행됐다.
2021년 5월 12일 행정 명령 14028(국가 사이버 보안 개선)에서 지시한 기본 단계와 국가 사이버 보안 전략에 자세히 설명된 이니셔티브를 바탕으로, 디지털 인프라 방어, 디지털 도메인에 가장 중요한 서비스 및 역량 확보, 중화인민공화국을 포함한 주요 위협에 대처할 역량 구축에 중점을 두고 국가 사이버 보안을 개선하기 위한 추가 조치를 명령했다.
소프트웨어와 클라우드 서비스 공급자에 대한 책임을 개선하고, 연방 통신 및 ID 관리시스템 보안을 강화하고, 행정부 및 기관과 민간부문에서 사이버보안을 위한 혁신적 개발과 신기술 사용을 촉진한다.
해당 명령에서 가장 주목되는 부분은 소프트웨어 공급망 보안을 강화하는 내용이다. 이에 따라 연방정부에 소프트웨어를 판매하는 소프트웨어 회사에게 안전하게 소프트웨어를 개발하는 관행을 따른다는 증거를 CISA에 제출해야 한다. 이를 위해 CISA는 180일동안 해당 증거를 증명하는 인증 프로그램을 개발한다.
이 명령은 또 미국 국립표준기술원(NIST)에 패치와 소프트웨어 업데이트를 안전하게 배포하는 방법에 대한 지침을 제공하도록 하고, CISA 등 정부기관장이 오픈소스 소프트웨어 패치에 대한 권장사항과 오픈소스 프로젝트에 참여하기 위한 모범 사례를 발표하도록 했다.
외국의 사이버 공격으로부터 연방 네트워크와 시스템을 보호하는 명령도 눈에 띈다. 명령에서 기관은 WebAuthn 같은 피싱 방지 인증 표준을 사용해야 한다. 또 국방부와 국토안보부에 FCEB 기관 전망에서 위협을 사냥하고 식별하는 CISA 역량을 강화하게 하고, 위협 정보를 즉시 공유하는 절차를 수립하라고 명령했다.
또한 이 명령은 AI 기술을 적극 채택해 연방정부 사이버보안 역량을 강화할 것을 지시했다. 사이버방어를 위한 첨단 모델을 구축하는 새 DOD 프로그램을 의무화하고, AI 지원 사이버보안에 대한 연구를 실시할 것을 명령했다.
정부의 클라우드 서비스 보안에 대해서도 명령 90일 이내 연방 위험 및 승인 관리 프로그램(FedRAMP)을 개선하도록 했다.
연방 우주시스템에 필요한 사이버보안 역량 강화를 위한 투자를 할 것과 전송 암호화를 정부 간 통신에서 활성화할 것, 양자컴퓨터에 대비한 양자내성암호 도입을 준비할 것 등의 내용도 담겼다.
정권 교체를 불과 며칠 앞두고 정부 사이버보안 강화를 위한 거의 모든 내용을 담은 행정명령의 발동에 여러 반응이 나왔다. 특히 조 바이든 행정부가 곧 취임할 도널드 트럼프 측에 딜레아의 숙제를 던졌다는 반응이 눈에 띈다.
도널드 트럼프는 바이든 행정부의 여러 행정명령을 취임 직후 철회할 것이라고 밝혀왔다. 이 기조를 유지한다면 바이든의 사이버보안 행정명령은 철회될 가능성이 높다.
하지만 도널드 트럼프는 사이버보안, 우주, AI 등의 강화에 목소리를 내온 입장이다. 자칫 자신의 입장을 바꿔야 하는 상황인 것이다.
한편으로 일론 머스크가 이끌 정부효율부의 공격 대상인 CISA 같은 기관의 역할과 권한을 두고도 선택의 고민에 빠뜨리게 된다. 이 행정명령이 CISA에 많은 새 사업을 진행하도록 하기 때문이다. 일론 머스크가 사이버보안 관련 기관의 예산을 서서히 줄여 국가 보안 역량을 약화시킬 것이란 우려도 나오고 있다. 일론 머스크 자신이 경영하는 스페이스X, 뉴럴링크 등과 연관되기도 해 이해충돌 논란이 예상되고 있다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network
![[임현철의 유럽 관세 이야기] 사전관세평가결정 ⑩](https://www.tfmedia.co.kr/data/photos/20250104/art_17373348887019_820dba.jpg)
![북한 軍계급 체계는…국군 ‘장교’에 해당하는 ‘군관’ 계급 총 15종[이현호 기자의 밀리터리!톡]](https://newsimg.sedaily.com/2025/01/20/2GNRLHJ1EY_9.jpg)
