`보안 롤모델` CISA, 전방위 압박에 진통…"기업 역할 중요"

실시간
뉴스

보안

'보안 롤모델' CISA, 전방위 압박에 진통…"기업 역할 중요"

디지털데일리 발행일 2025-05-07 14:35:27

김보민 기자

URL복사

시큐어 바이 디자인(Secure by Design) 선언 [ⓒCISA 영상 캡처]

[디지털데일리 김보민기자] 미국 사이버보안 및 인프라 보안국(이하 CISA)을 대상으로 전방위 압박이 거세지고 있다. 미국 트럼프 2기 행정부가 출범한 이후, 예산 삭감부터 조직 축소까지 불안이 이어지는 모습이다.

CISA는 국내 보안 판도의 모범(롤 모델)으로 여겨지는 조직인 만큼, 업계도 상황을 예의주시하고 있다. 소프트웨어(SW) 설계 단계부터 보안 개념을 적용하는 '시큐어 바이 디자인' 등 기존 프로젝트가 지속 추진되기 위해 민간 기업의 힘이 필요하다는 의견도 나온다.

7일 보안업계에 따르면, 지난달 29일부터 이달 1일(현지시간)까지 미국 샌프란시스코에서 열린 글로벌 보안 행사 'RSAC 2025'의 주요 화두 중 하나는 CISA였다. 크리스티 놈(Kristi Noem) 미 국토안보부 장관은 RSAC 기조연설을 통해 "CISA는 다시 본연의 임무에 집중해야 한다"며 "CISA는 중요한 일을 하는 경우가 많지만, 설립 목적과 전혀 다른 분야에 개입하는 경우도 있다"고 지적했다.

CISA는 국가 중요 시설은 물론, 사회 기반 시설, 사이버 인프라를 물리적 및 사이버 위협으로부터 보호하는 역할을 수행하는 기관이다. 미국 국토안보부 산하에 위치해 연방기관, 주 및 지방정부, 민간 부문 간 네트워크를 구축하는 핵심축 역할을 하는 것이 특징이다. 공통취약점및노출(CVE) 프로그램을 지원하는 주무기관이기도 하다.

그러나 트럼프 2기 행정부는 올 1월 취임 후 CISA를 향한 압박을 이어가고 있다. 트럼프 정부는 캠프 시절부터 CISA의 허위정보 대응 활동을 문제 삼아왔다. 공화당 의원들 또한 CISA의 활동 규모와 상관 없이 '정부의 과도한 개입'이라는 의견을 드러내, 자칫 CISA 조직 자체가 와해되는 것이 아니냐는 관측도 제기된 바 있다. 그 결과 올 초부터 예산 삭감과 인력 해고 등의 조처가 이어지고 있다. 더레코드 등 외신 보도에 따르면, 올해 1300개 일자리가 감축될 가능성도 있다.

노엠 장관의 이번 발언은 전방위적 압박이 가해지고 있는 가운데 나와 주목을 받고 있다. 노엠 장관은 "CISA는 진실부(Ministry of Truth)가 아닌, 국가를 보호하는 사이버보안 기관"이라며 "본래 목적을 강화할 수 있도록 하겠다"고 말했다.

CISA가 공화당의 비판을 받은 것이 어제오늘 일이 아닌 만큼, 보안업계에서도 상황을 주시하는 분위기다. 국내 보안업계도 마찬가지다. 국내 보안 판도는 CISA 등 주요국 기관의 흐름을 따라간다는 특징이 있는데, 본격 논의가 시작된 '제로트러스트'와 '소프트웨어(SW) 공급망'도 마찬가지다. 지난해 12월 공개된 제로트러스트 가이드라인 2.0은 CISA가 2023년 4월 발표한 성숙도 모델 2.0을 착안했고, 같은 해 5월 발표된 SW 공급망 보안 가이드라인도 미 행정명령과 CISA에 대한 내용을 담고 있다.

일각에서는 CISA에 대한 압박이 이어질 경우, 기존에 추진하던 프로젝트가 지연되거나 추진력이 약해질 수 있다는 의견도 나온다. '시큐어 바이 디자인'이 대표적이다. 이 원칙은 SW 설게 단계부터 보안 체계를 갖추는 것으로, 해당 개념이 적용된 제품의 경우 추가 비용 없이 다중요소인증(MFA)과 단일로그인(SSO) 등 주요 기능이 기본적으로 구현될 것으로 알려졌다.

보안업계 관계자는 "이번 RSAC에서는 CISA의 미래를 둘러싼 불확실성과, 민간 부문이 어떤 대응과 준비를 해야할지에 대한 이야기가 나왔다"며 "CISA의 자원이 부족해진다면 기업 또한 이에 적응해야 한다는 의견이 많았다"고 말했다. 이어 "기업이 더욱 적극적으로 나서야 할 것"이라고 강조했다. 시큐어 바이 디자인과 같이, 흐름을 거스를 수 없는 보안 패러다임을 이어가려면 기업의 역할이 커져야 한다는 의견이다.