바이든 행정부, 사이버 보안 정책 방향 전환: 자가 증명 요구 삭제와 SSDF 준수 의무의 모호성

최근 미국 바이든 행정부가 국가 사이버 보안 강화를 위한 중대한 정책 변화를 발표했습니다. 특히 주목할 만한 점은, 트럼프 행정부와는 상이한 기조를 보여온 바이든 행정부가 그동안 추진해왔던 공급망 보안 정책의 핵심 요소였던 '자가 증명서(attestation forms) 수집 요구'를 전격적으로 삭제하는 행정 명령을 내렸다는 것입니다.

이는 지난 2025년 1월 16일에 발표된 행정 명령 14144호 "국가 사이버 보안의 강화 및 혁신 촉진" 및 2015년 4월 1일에 발표된 행정 명령 13694호 "중대한 악의적 사이버 활동에 관여하는 특정 인물의 재산 동결"에 대한 개정 조치입니다.

주요 변화 내용:

• 자가 증명서 수집 요구 삭제: CISA(Cybersecurity and Infrastructure Security Agency)가 중앙에서 기업의 자가 증명서를 수집하고 분석하려던 계획이 모두 중단되었습니다. 이는 기업들에게 상당한 규제 완화로 작용할 수 있습니다.
• CISA의 역할 재조정: 자가 증명서 수집 기능이 사라짐에 따라 CISA의 역할과 기능에 대한 재조정이 불가피해졌습니다. 이는 바이든 행정부의 사이버 보안 전략 전반에 대한 재검토가 이루어지고 있음을 시사합니다.
• SSDF(Secure Software Development Framework) 준수 의무의 모호성: 흥미로운 점은 기업의 SSDF 준수 의무가 명시적으로 삭제되지는 않았다는 것입니다. 기존 정책 기조를 유지하면서도 자가 증명서 요구를 철회한 배경에 대한 명확한 설명이 부족하여, 향후 SSDF 준수 의무가 어떻게 추진될지 불확실성이 남아있습니다.
• NIST의 역할 강화: 새로운 행정 명령은 NIST(국립표준기술연구소)의 역할을 더욱 강조하고 있습니다. 2025년 8월 1일까지 NIST는 산업 컨소시엄과 협력하여 SSDF 기반의 안전한 소프트웨어 개발, 보안 및 운영 관행 구현에 대한 지침을 개발해야 합니다. 또한, 2025년 9월 2일까지 NIST Special Publication 800-53을 업데이트하여 패치 및 업데이트를 안전하고 안정적으로 배포하는 방법에 대한 지침을 제공해야 합니다.
• 양자 내성 암호(PQC) 전환 준비: 양자 컴퓨터의 위협에 대비하기 위한 PQC 전환 준비도 강조되었습니다. 2025년 12월 1일까지 CISA는 PQC를 지원하는 제품 카테고리 목록을 발표하고 정기적으로 업데이트해야 합니다.
• AI 활용 사이버 방어 촉진: 인공지능(AI)을 활용한 사이버 방어 역량 강화에도 중점을 둡니다. 2025년 11월 1일까지 관련 기관들은 사이버 방어 연구를 위한 기존 데이터셋을 학계에 최대한 접근 가능하게 해야 하며, AI 소프트웨어 취약점 관리 및 침해 대응 메커니즘을 통합해야 합니다.

  

분석 및 전망:

이번 행정 명령은 바이든 행정부의 사이버 보안 정책이 변화의 기로에 서 있음을 보여줍니다. 트럼프 행정부가 CISA 예산 삭감 등 사이버 보안에 대한 소극적인 태도를 보인 것과 달리, 바이든 행정부는 초기부터 공급망 보안 강화에 적극적인 의지를 보여왔습니다. 그러나 이번 자가 증명서 요구 삭제는 이러한 초기 정책 기조와는 다소 거리가 있는 조치로 해석될 수 있습니다.

일각에서는 기업들의 규제 부담을 완화하고, 자율적인 사이버 보안 강화를 유도하려는 의도가 내포되어 있을 수 있다는 분석도 나옵니다. 하지만 SSDF 준수 의무가 여전히 유효하다는 점에서, 정부의 감독 방식이 어떻게 변화할지, 그리고 기업들이 변화된 정책 환경에 어떻게 대응할지에 대한 의문이 제기됩니다.

향후 바이든 행정부가 사이버 보안 정책의 모호성을 해소하고, 국가 전체의 사이버 회복탄력성을 어떻게 강화해 나갈지 귀추가 주목됩니다. 특히, NIST의 역할 강화와 AI 및 PQC와 같은 신기술 도입에 대한 강조는 미래 사이버 보안 전략의 중요한 축이 될 것으로 예상됩니다. 기업들은 이러한 정책 변화를 면밀히 주시하고, 유연하게 대응하여 강화된 사이버 위협에 대비해야 할 것입니다.