미국 사이버 전략, 39페이지에서 7페이지로

들어가며

구독자님, 안녕하세요. 이란-미국-이스라엘 전쟁이 점점 오리무중이 되고 있습니다. 이 메일을 쓰는 시점인 3월 23일 기준으로 트럼프가 분명 48시간 내에 이란을 초토화 시키겠다고 했다가 24시간도 안되어서 5일간 공격 유예를 선언 하고, 미국 내 문제에 집중하겠다는 글을 자신의 SNS에 업로드하는 그는 무엇일까 고민하며, 오늘의 뉴스레터를 적어봅니다.

지난 3월 6일 금요일, 백악관에서 문서 하나가 공개됐어요. 제목은 "트럼프 대통령의 미국을 위한 사이버 전략(President Trump's Cyber Strategy for America)". 그런데 이 문서, 단 7페이지예요. 3년 전 바이든 행정부가 발표한 같은 성격의 문서가 39페이지였거든요. 분량이 5배 넘게 줄었어요.

분량만 줄었으면 "간결해졌구나" 하고 넘어갈 수 있어요. 그런데 메시지는 오히려 훨씬 공격적이에요. "사이버 영역에 한정하지 않겠다"는 선언까지 들어가 있어요. 사이버 공격을 받으면 물리적 보복까지 할 수 있다는 뜻이죠. 그러니까... 제목은 사이버인데... 사실상 이건 공격 선언문에 가까워요.

그런데 저는 이 전략 문서보다 그 뒤에서 벌어지고 있는 일이 더 눈에 들어왔어요. 이 야심찬 전략을 실행해야 할 핵심 기관인 CISA^[1]​의 예산과 인력이 대폭 삭감되고 있거든요. 공격력은 키우면서 방패는 줄이는 격이에요. 이 모순을 어떻게 봐야 할지, 그리고 이게 한국에 어떤 의미인지를 오늘 풀어보려고 해요.

20년간의 변화 — 방어에서 공격으로

이 전략이 왜 중요한지를 이해하려면 미국 사이버 전략의 흐름을 먼저 짚어볼 필요가 있어요.

미국이 처음 국가 사이버 전략을 만든 건 2003년, 부시 행정부 때예요. 당시 핵심은 "정부와 민간이 자율적으로 협력하자"는 수준이었어요. 지금 기준으로 보면 꽤 느슨했죠. 2018년 트럼프 1기 때 큰 전환이 왔어요. 40페이지짜리 전략 문서에서 디펜드 포워드(Defend Forward)^[2]​라는 개념이 처음 등장했어요. 적의 네트워크에 먼저 들어가서 공격을 사전에 차단하겠다는 발상이었죠.

2023년 바이든 행정부는 39페이지에 5대 기둥, 구체적 이행 목표까지 꼼꼼하게 담았어요. 방향은 달랐어요. 소프트웨어를 만드는 기업에 보안 책임을 더 지우겠다는 규제 강화 노선이었죠.

그리고 2026년 3월, 트럼프 2기 전략이 나왔어요. 역대 가장 짧은 사이버 전략 문서예요. 실질적인 본문은 5페이지 남짓이에요. 그런데 기둥은 6개나 세웠어요. 핵심 철학의 차이가 명확해요. 바이든은 "규제를 강화해서 민간 책임을 높이자"였고, 트럼프는 "규제는 줄이고 민간 자율성을 높이되, 공격은 더 세게 가자"예요. 방어의 책임을 규제로 부과하느냐, 정부가 공격적 억지력으로 보호하느냐 — 근본적으로 다른 접근이에요.

이런 전략 전환이 나온 배경에는 현실이 있어요. FBI 인터넷 범죄 신고센터(IC3) 기준으로 2024년 한 해 동안 약 86만 건이 신고됐고, 피해액이 166억 달러(약 24조 원)에 달해요. 전년 대비 33% 증가한 수치예요. 중국의 볼트 타이푼(Volt Typhoon)이라는 해킹 그룹이 미국 전력망, 통신망, 수도 시설 같은 핵심 인프라에 침투해 있다는 사실도 확인된 상태고요.

6대 기둥 — 무엇이 새롭고, 무엇이 위험한가

이번 전략의 톤을 결정짓는 건 1번 기둥인 "적의 행동을 형성하라(Shape Adversary Behavior)"예요. 여기서 "사이버 영역에 한정하지 않겠다"고 선언했어요. 이란 핵 인프라에 대한 사이버 공격, 베네수엘라 마두로 체포 작전에서의 사이버 역할을 전략 문서에 직접 언급했어요. 국가 전략 문서에서 구체적 작전 사례를 거론하는 건 굉장히 이례적이에요. "우리는 이런 역량이 있고, 실제로 쓰고 있다"는 시위인 거죠.

더 주목할 부분은 민간 부문에 적 네트워크 교란 인센티브를 제공하겠다는 내용이에요. 지금까지 사이버 공격 대응은 정부 몫이었는데, 민간 기업들한테도 참여 동기를 주겠다는 거예요. 사실상 사이버전의 민영화 가능성을 열어둔 셈이에요. 민간 기업이 다른 나라의 네트워크를 건드리기 시작하면, 이게 국가 행위인지 민간 행위인지 경계가 모호해져요. 국제법적 논쟁이 불가피한 지점이에요.

기술 측면에서도 새로운 요소가 있어요. 에이전틱 AI^[3]​를 사이버 방어와 공격 양면에 활용하겠다고 명시했어요. 네트워크 이상 탐지, 허니팟^[4]​ 자동 생성, 취약점 자동 패치까지 AI가 수행하게 된다는 건데요. AI 보안을 국가 전략의 핵심 축으로 올린 건 이번이 처음이에요. 물론 공격자 쪽도 마찬가지예요. SoSafe의 2025년 조사에 따르면 글로벌 조직의 87%가 이미 AI 기반 공격을 경험했다고 해요. AI 대 AI의 군비경쟁이 이미 시작된 거예요.

그리고 이전 전략에는 아예 없었던 암호화폐와 블록체인이 보호 대상으로 처음 명시됐어요. 2025년 2월 북한 라자루스 그룹이 바이비트(Bybit) 거래소에서 약 15억 달러(약 2.2조 원) 상당의 이더리움을 탈취한 사건이 직접적 배경이에요. 역대 최대 규모의 암호화폐 해킹이었죠. 동시에 믹서^[5]​나 프라이버시 코인에 대한 규제 강화 시그널도 들어가 있어요.

포스트양자 암호(PQC)^[6]​ 전환도 포함됐어요. 양자 컴퓨터가 실용화되면 현재 암호 체계가 무력화될 수 있거든요. 미래의 만능열쇠에 대비해 자물쇠를 미리 교체하자는 거예요.

전략은 야심차고, 방패는 줄어들고 있다

전략만 놓고 보면 역대 가장 공격적이에요. 그런데 이걸 실행해야 하는 조직에서 벌어지고 있는 일은 정반대예요. CISA의 상황을 보면요. 행정부의 FY2026 예산안 기준으로 약 4억 9,500만 달러(약 17%) 삭감이 제안됐어요. 인력은 3,732명에서 2,649명으로 약 29% 감축 제안이 나왔고, 실제로는 자발적 퇴직과 조기 은퇴가 겹치면서 이미 약 2,200~2,600명 수준까지 줄어든 것으로 추정돼요. 원래 인원의 3분의 1이 사라진 거예요.

구체적으로 어떤 프로그램이 영향을 받았냐면요. 국가위험관리센터(NRMC) 예산이 73% 삭감 제안됐고, 이해관계자 협력부서는 62% 삭감, 사이버 방어 교육훈련 프로그램은 4,500만 달러가 깎였어요. 선거 보안 프로그램은 아예 폐지됐어요. 더 중요한 건 CISA 국장 인준도 아직 이뤄지지 않았다는 거예요. 사령탑 없이 조직이 축소되고 있는 상황이에요.

전문가들의 반응은 꽤 직설적이에요. 사이버 위협 동맹(CTA) CEO 마이클 대니얼은 이 예산 삭감이 "사이버 사고 대응력을 약화시킬 것"이라고 명확하게 지적했어요. CSIS의 제임스 루이스는 "CISA에는 메스가 필요했을 수 있다. 하지만 해머로 수술하면 안 된다"고 표현했어요. 이 우려가 초당파적이라는 점이 의미심장해요. 공화당 소속 하원 국토안보소위 사이버보안 위원장인 앤드류 가바리노(Andrew Garbarino) 의원까지 "사이버 위협이 커지는 시기에 인력을 줄이면 CISA의 임무 수행이 어려워질 수 있다"고 우려를 표명했어요.

물론 행정부 쪽 논리도 있어요. 숀 케언크로스 국가사이버국장은 이 전략이 의도적으로 간결하게 설계됐으며, 구체적인 이행 계획이 후속으로 나올 것이라고 설명했어요. CISA 축소 역시 "임무 범위를 재조정하는 것"이라는 입장이에요. 불필요한 부분을 줄이고 핵심에 집중하겠다는 논리예요. 이 말이 맞을 수도 있어요. 다만 문제는 지금이 사이버 위협이 줄어드는 시기가 아니라 급격히 늘어나는 시기라는 점이에요. 후속 이행 문서가 나와야 진짜 판단이 가능하겠지만, 현재로서는 전략의 야망과 실행 현실 사이의 거리가 꽤 멀어 보여요.

한국에 미치는 영향 — 보호 우산이 줄어들고 있다

이 전략 문서에 한 가지 놓치기 쉬운 문장이 있어요. "동맹국과의 비용 분담이 공정해야 한다"는 내용이에요. 이건 한국을 포함한 동맹국들에게 더 많은 사이버 방어 책임과 비용을 요구하겠다는 시그널이에요. 그리고 이건 트럼프 행정부가 1기, 2기 떄도 계속 말해온 국방비 부담과도 이어지는 개념이기도 해요.

지금까지 CISA는 국제적으로 사이버 위협 정보 공유의 허브 역할을 해왔어요. 한국 KISA^[7]​와도 협력 체계가 있었고요. CISA가 약해지면 이 글로벌 정보 공유 생태계 자체가 약해지는 거예요.

한국 자체의 상황을 보면 더 우려스러워요. 2025년은 한국 사이버 보안의 치명적 취약점이 드러난 해였어요. 가장 큰 충격은 SKT 유심 해킹이었죠. 정부 최종 조사 결과, 서버 28대에서 악성코드 33종이 발견됐고 유심정보 25종 약 2,696만 건이 유출됐어요. 한국 인구의 절반에 가까운 규모예요. 최초 침투 시점은 무려 2021년 8월로, 약 4년간 해커가 시스템 안에 있었던 거예요. 글로벌 보안 컨설팅 기업 CMA는 이 사건을 2025년 7대 주요 사이버 공격 중 하나로 선정했어요.

SKT만의 문제가 아니었어요. KT는 2024년 발생한 해킹 침해 사실을 1년 6개월간 숨겼다가 2025년 하반기에야 신고했고, LG유플러스에서도 해킹 정황이 확인됐어요. 통신 3사가 연쇄적으로 보안 침해를 겪은 거예요. 이건 특정 기업의 문제가 아니라 시스템적인 문제예요.

한국도 손놓고 있었던 건 아니에요. 2024년 국가 사이버안보 전략을 수립하고 범정부 사이버안보 협의회를 발족했어요. 하지만 현실은 전략의 야망을 아직 따라가지 못하고 있어요. 미국의 방어 인프라가 축소된다는 건 결국 한국의 독자적 역량이 더 중요해진다는 뜻이에요.

오스왈드의 시선

솔직히 이야기하면, 저는 이 전략 문서를 보면서 "문서 자체보다 문서 밖의 맥락이 더 중요하다"는 생각이 들었어요. 전략 문서의 품질은 분량이 아니라 실행 가능성으로 판단해야 해요. 7페이지든 70페이지든, 핵심은 "이걸 누가, 어떤 자원으로, 언제까지 실행하느냐"예요. 그런데 이 전략은 가장 공격적인 비전을 제시하면서, 실행 조직의 역량은 줄이고 있어요. 전략과 실행 사이에 이런 간극이 벌어지면, 데이터 전문가로서 경험적으로 말씀드릴 수 있는 건 — 그 간극을 가장 먼저 테스트하는 건 적이라는 거예요.

제가 가장 주목하는 건 사이버전의 민영화 가능성이에요. 민간 기업에 적 네트워크 교란 인센티브를 준다는 건, 전쟁과 비즈니스의 경계가 더 모호해진다는 뜻이에요. 이 방향이 실현되면 사이버 공간의 질서가 근본적으로 달라질 수 있어요. 미국이 이렇게 나오면 중국도, 러시아도 같은 논리로 민간의 사이버 공격 역량을 키울 명분을 얻게 되거든요. 사이버 군비경쟁이 국가 차원을 넘어 민간 차원으로 확산되는 시나리오예요. (ex. 팔란티어, 안두릴 등)

한국의 입장에서 한 가지 확실한 건 있어요. 미국의 보호 우산에 기대는 시대가 줄어들고 있다는 거예요. 2025년 통신 3사 사태에서 봤듯이 민간 기업들의 보안 역량이 근본적으로 올라가야 해요. 제로 트러스트^[8]​ 아키텍처를 더 이상 "검토 중"이 아니라 "도입 중"으로 바꿔야 할 시점이라고 생각해요.

마치며

첫째, 미국은 사이버 공간에서 "공격자"로서의 정체성을 공식화했어요. 이건 글로벌 사이버 질서에 장기적 영향을 미칠 거예요. 둘째, 야심찬 전략과 CISA 축소 사이의 간극이 핵심 쟁점이에요. 후속 이행 문서가 나와야 진짜 평가가 가능해요. 셋째, 한국은 독자적 사이버 방어 역량 강화를 더 서둘러야 해요. 미국 방어 인프라 축소는 곧 한국의 몫이 커진다는 뜻이에요.

이번 전략 문서의 핵심 질문을 독자분들에게도 던져볼게요. 방패를 줄이고 칼을 키우는 전략이, 실제로 사이버 공간을 더 안전하게 만들 수 있을까요? 이 주제를 더 깊이 들여다보고 싶으시면, 아래 참고자료의 원문 전략 문서(7페이지니까 금방 읽으실 수 있어요)부터 시작해 보시길 추천해요.

참고자료 & 더 읽기

핵심 출처

배경 지식

필자 안광섭은 세종대학교 경영학과 교수이자 OBF(Oswarld Boutique Consulting Firm) 리드 컨설턴트이다. 대학에서 경영데이터 관리, 비즈니스 애널리틱스 등 데이터 분석을 가르치는 한편, 현장에서는 GTM 전략과 인공지능 전략 컨설팅을 이끌며 기술과 비즈니스의 접점을 설계하고 있다. AI 대화 시스템의 기억 아키텍처(HEMA) 연구로 학술 논문을 발표했으며, 매일 글로벌 AI 논문을 큐레이션하는 Daily Arxiv 프로젝트를 운영하고 있다. 고려대학교 KBMA와 기술경영전문대 석사과정을 졸업했다. 지은 책으로 《생각을 맡기는 사람들: 호모 브레인리스》가 있다.