📌 TL;DR
주정부가 PRC 해커를 막으라고요? 이건 진짜 말도 안 돼요.
지난주, 트럼프 행정부는 새로운 행정명령 하나를 발표했습니다.
제목은 「국가 대비 효율화 달성(Achieving Efficiency Through State and Local Preparedness)」.
언뜻 보면 멋있어 보이죠? 하지만 보안 전문가들은 “말뿐인 효율화,실상은 책임 떠넘기기”라며 강하게 비판하고 있습니다. 😠
이번 포스팅에서는 이 행정명령의 내용과, 전문가들이 우려하는 이유,
그리고 TPRM(Third-Party Risk Management)와 공급망 보안 관점에서 어떤 영향을 미치는지까지 꼼꼼히 짚어보겠습니다.
📜 행정명령의 핵심 내용
이 행정명령의 골자는 간단합니다:
사이버 공격, 자연재해, 우주 기상 등 각종 리스크 대응을 주정부, 지방정부, 개인이 주도하라는 것.
행정명령 본문은 다음과 같이 말합니다:
“준비 태세는 주, 지역, 개인 수준에서 가장 효과적으로 운영될 수 있으며, 연방정부는 이를 뒷받침하는 지원자 역할을 해야 한다.”
즉, 연방정부는 빠지고, 책임은 각자 알아서 지라는 메시지죠.
⚠️ 전문가들의 반응: "이건 진짜 위험하다"
사이버 보안 커뮤니티는 이 행정명령에 대해 전례 없이 거센 반응을 보이고 있어요.
🧨 “이건 국가 안보 방기다”
보안 전문가 Joe Slowik은 이렇게 말했습니다:
“미사일 방어도 주정부에 넘길 건가요? 그게 말이 안 된다고 느껴진다면, 사이버 공격도 마찬가지입니다.”
즉, 국가급 위협에 대한 대응을 주정부에 맡기는 건 말도 안 되는 일이라는 거죠.
💸 연방 지원 축소 = 세금 부담 경감?
행정명령은 “세금 부담을 줄이겠다”고 주장하지만, 전문가들은 오히려 지방 정부의 부담이 커질 것이라고 경고합니다.
“연방의 사이버 지원을 줄인다고 세금이 줄어들지는 않습니다.
대신 그 비용을 지방 정부와 시민이 부담하게 될 겁니다.”
— Tim Harper, Center for Democracy & Technology
예를 들어, 연방 사이버 정보 공유 센터 EI-ISAC와 MS-ISAC는 예산이 삭감돼 이미 운영 중단 또는 축소된 상황이에요.
이런 서비스 없이는 지방 선거 시스템, 학교, 병원, 경찰서 등 핵심 인프라가 훨씬 취약해질 수밖에 없습니다.
🔍 현실적인 문제: PRC나 러시아 해커를 누가 막죠?
전직 CISA 부국장 Nitin Natarajan은 이렇게 말했어요:
“지방정부의 사이버 보안 참여 확대는 의미가 있지만, 작은 시골 마을이 중국 정부 해커를 막을 수 있을까요?
이건 실패를 전제로 한 전략입니다.”
즉, 사이버 위협의 규모와 지역 역량 사이에 엄청난 격차가 있다는 점을 간과하면 안 된다는 겁니다.
🧩 그나마 긍정적인 측면도?
일부 전문가는 이 조치가 주정부의 혁신을 자극할 수도 있다고 말합니다.
“일부 주는 이미 '전체 주 사이버 전략(whole-of-state cybersecurity strategy)'을 세워 민간과 대학,
지역사회와 협력하고 있어요.”
— Erik Avakian, 전 펜실베이니아 주 CISO
그는 이런 주들이 연방 예산 없이도 잘 버틸 가능성이 높다고 평가합니다.
특히 2021년 인프라 법안에서 지원한 1조 원 규모의 주정부 사이버 보조금 프로그램이 그런 전략의 기반이 되었죠.
🔐 공급망 보안(TPRM) 관점에서의 위험
이번 행정명령은 단순히 주정부 보안 문제가 아닙니다. 공급망 보안에도 중대한 영향을 미칩니다.
왜냐고요?
- 주정부와 지방정부는 수많은 민간 서비스와 IT 벤더를 통해 운영되고 있습니다.
- 연방 기준과 정보 공유가 줄어들면, 벤더와의 위험 평가 및 대응이 일관되지 못하게 됩니다.
- 공통된 취약점이나 공격자 인프라를 조기 탐지할 방법이 사라지게 됩니다.
결국 TPRM 시스템은 무너지고, 사이버 공격자는 더 쉬운 표적을 찾게 되겠죠.
🧠 결론: 연방 없이 사이버 보안은 불가능하다
정리하자면:
- 사이버 위협은 국가급 위협입니다.
- 주정부와 시골 카운티에 국가 안보를 떠넘기는 건 무책임한 일입니다.
- 연방정부가 사이버 정보, 위협 인텔, 교육, 정책 프레임워크를 주도해야 합니다.
- 특히 공급망 보안과 TPRM은 연방 차원의 조정과 지원 없이는 작동하지 않습니다.
📌 앞으로 각 주 정부와 기업들이 취해야 할 전략:
- FIDO2 기반 인증 등 강력한 사이버 방어 도입
- 주간/지역 기반 정보 공유 조직 강화
- 공급망 보안 점검 주기 단축 및 가시성 확대
- 사이버 위협 대응 매뉴얼과 훈련 강화
- 정치적 결정에 휘둘리지 않는 장기 보안 투자 지속
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🇯🇵 일본, 사이버 적극 방어법 통과…이제는 공격도 한다? (1) | 2025.04.02 |
|---|---|
| 💔 사랑을 미끼로 한 82억 원대 암호화폐 사기, FBI가 되찾았다! (0) | 2025.04.01 |
| 🇮🇷 중동을 감시하는 이란의 사이버 스파이, APT34의 정체는? 🕵️♂️🔥 (1) | 2025.03.30 |
| 📱💳 중국발 신종 '태그 결제 사기', 미국에서 적발! 🔐 (2) | 2025.03.27 |
| 🧬 유전자 정보 유출될까? 23andMe 파산 소식에 커지는 보안 우려 😨 (0) | 2025.03.26 |