‘행정 각부 스마트폰서 틱톡 사용 금지’ 美 2023년 예산, 사이버 보안 지출 및 규제 강화

2023년 미국 연방정부 예산안은 틱톡을 비롯한 적대국의 보안 위협, 의료기기 보안 개선 조치 등 사이버 보안 영역을 대거 포괄한다. 
 

12월 23일, 미국 상하원 세출 위원회는 2023 회계연도까지 1조 7천억 달러 규모의 포괄적 지출 법안에 합의했다. 바이든 대통령은 12월 29일 이 법안에 서명했다. 4,155페이지 분량의 이 법안은 이미 합의된 국방비 8,580억 달러와 몇몇 중요한 사이버 보안 항목을 포함한 국방비 8,000억 달러를 추가로 반영한다. 

국토 안보 소위원회 위원장인 크리스 머피(D-CT) 미 상원의원은 "이 법안은 합리적인 타협안이며, 사이버 위협으로부터 자국을 보호하고 해안과 공항을 보호하는 데 필요한 투자다“라고 말했다.

하원 쪽에서는 루실 로이발 알라드 국토안보분과위원장(D-CA)이 "올해 국토안보부 세출법안은 미국의 국내·해상·국경 안보에 역사적 투자인 동시에 중요한 사이버·물리적 인프라를 보호하고 재난 구호를 지원한다"라고 말했다.
 

지출 법안의 주요 사이버 보안 항목 

사이버 보안은 연방정부 법안에서 수십 번 언급된다. 지출 법안의 다음 사이버 보안 조항은 중요성, 관련 금액, 연간 지출 과정에서 처음으로 나타나거나 의원들이 강조하는 대목으로 주목할 만하다.
 
• CISA 자금 지원: 이 법안은 사이버 보안 및 인프라 보안국(CISA)에 29억 달러를 할당한다. 이는 2022 회계연도 수준보다 12% 높은 3억 1,350만 달러, 대통령의 예산 요청보다 높은 3억 9,640만 달러이다. 이 중 주요 사항은 다음과 같다: 

o "SLTT 정부 네트워크을 위한 민간 연방 네트워크 보호"등의 사이버 보안 이니셔티브에 17억 달러 이상 지출 
o 사이버 보안 운영을 더욱 발전시키기 위해 2억 1,420만 달러 지원. 이 중 1,700만 달러는 공동 사이버 방어 협력(JCDC) 프로그램에 할당된다. 
o '다주 정보 및 분석 센터(Multi-State and Information and Analysis Center)'에 1,600만 달러 추가 지원해 총 센터에 총 4,300만 달러 지원. 
o 연방, SLTT 및 중요 인프라 네트워크 전반에 걸쳐 "위협 발굴 및 대응 기능(threat hunting and response capabilities)"을 제공하는 데 4,600만 달러 지원
o "긴급 통신 준비(emergency communications prepardness)"에 1,700만 달러
o "지역 운영 능력 향상(increasing regional operations capabilities)"에 3,200만 달러 추가

• 2023년 우크라이나 추가 세출법. 포괄적 지출 패키지의 일부로 포함된 이 법안은 러시아와 다른 악의적인 행위자들의 사이버 보안 위협을 해결하기 위해 5천만 달러를 할당한다.

• 인사 관리국: 이 지출 패키지는 인사 관리국의 "사이버 보안 및 고용 이니셔티브”에 4억 2천 2백만 달러를 제공하며, 총 4,920만 달러에 달한다. 

• 미국 국립 과학 재단(National Science Foundation) 자금 지원: 이 법안은 국립과학재단의 사이버콥스(CyberCorps) 프로그램에 작년보다 6백만 달러 증가한 6천 9백만 달러를 제공한다. 이 프로그램은 학생들이 졸업 후 사이버 보안 분야에서 정부를 위해 일하기로 동의하면 장학금을 제공한다.

• 재무부 보안 자금 지원: 재무부 사이버 보안 강화를 위한 급여 및 비용에 추가 자금 1억 달러를 할당한다.

• 국가 사이버 책임자 사무실(Office of the National Cyber Director): 이 법안은 국가 사이버 책임자 사무실에 2,192만 6,000달러의 자금을 제공한다.

• 미국 비밀임무국(US Secret Service) 자금 지원: 이 법안은 비밀 임무국이 사이버 범죄와 인터넷 범죄를 조사하고 퇴치하는 방법을 배우기 위한 국가 훈련 센터 역할을 하는 국립 컴퓨터 포렌식 연구소를 계속 운영하도록 2,300만 달러를 할당하고 재승인한다.

• 상무부(Commerce Department) 자금 지원: 법률은 상무부의 기술 현대화 및 사이버 보안 위험 완화 프로그램을 위해 특별히 3,500만 달러를 할당한다.

• 국토안보부(DHS) 자금 지원: DHS 인텔리전스 및 사이버 보안 다양성 펠로우십 프로그램에 3백만 달러를 할당한다.
 

행정 각부 공무원 스마트폰에서 틱톡 금지 

이 밖에도 새 지출 법안은 행정 각부(미국 대통령실, 독립기관과 함께 미국 헌법 제2조에 따른 미국 연방정부의 행정부(The Executive branch)를 이루는 기관) 스마트폰에 틱톡(TikTok) 앱 사용을 금지한다. 

틱톡의 모기업 바이트댄스가 틱톡을 둘러싼 국가 안보 우려를 완화하고자 미국 외국투자위원회(CFIUS)와 타협안을 마련하기 위해 노력하고 있는 와중에 결정된 사안이다. 

법안이 제정되자마자 미 하원 행정부 최고책임자는 하원의원과 공무원의 스마트폰에서 틱톡 사용을 곧바로 금지했다.

틱톡 대변인은 "행정부가 국가 안보 검토를 마무리 짓지 않은 상황에서 정부 스마트폰에 틱톡을 금지하려는 결정을 내린 것에 유감을 표한다. 국가안보 이익 증진에 아무런 도움이 되지 않는 정치적 결정이다”라고 말했다. 그는 “CFIUS가 검토 중인 협정은 연방과 주 차원에서 제기된 모든 보안 우려를 의미 있게 다룰 것이다”라고 덧붙였다. 
 

중국, 북한 및 이란발 장비 구매 제한

법안은 어떤 정부 기관도 자금을 중국 기술기업 화웨이나 ZTE로부터 통신장비를 구매하는데 사용할 수 없도록 규정하고 있다. 

또한 정부 기관 중국이 개발한 생명공학, 디지털, 통신 및 사이버를 포함한 기술을 위해 자금을 사용할 수 없다고 명시한다. 

FBI나 기타 적절한 연방 기관이 이러한 기관의 인수와 관련된 사이버 스파이 또는 파괴 행위의 위험을 평가하지 않는 한, 어떤 기관도 중국, 이란, 북한 또는 러시아가 소유, 지시 또는 보조금을 지급하는 기관에 자금을 지출할 수 없다.
 

사이버 공격 보고서 의무화 

이 법안에는 2025년과 2027년에 연방거래위원회(FTC)가 중국, 북한, 이란 또는 러시아의 랜섬웨어 사건 또는 기타 사이버 공격의 수와 유형을 설명하는 보고서를 의회에 제출하도록 하는 랜섬웨어 법이 포함되어 있다. 또한 FTC가 이러한 사건과 관련된 소송 정보를 공유하고 디지털 위협 행위자에 대한 미국 기관의 복원력을 강화하기 위한 새로운 법률과 비즈니스 관행을 권고할 것을 요청한다.
 

의료기기 사이버 보안 보장

마지막으로, 이 법안은 의료기기 제조업체가 특정 사이버 보안 기준을 충족하도록 연방 식품, 의약품 및 화장품법을 개정한다. 이에 따라 식품의약품안전처 장은 시장에 출시된 의료 기기의 사이버보안 취약점과 악용을 모니터링, 식별, 해결하기 위한 계획서를 제출해야 한다. 

제조업체는 또한 장치 및 관련 시스템이 안전한지 확인하고 시판 후에도 소프트웨어 및 펌웨어 업데이트 및 패치를 출시해야 한다. 또한 장치에 사용되는 모든 기성품, 오픈소스 및 중요 구성요소를 포함하는 소프트웨어 BOM(Bill of Materials)을 FDA 사무총장에게 제공해야 한다.

법안은 또한 FDA가 180일 이내 및 이후 매년 의료기기의 사이버보안 개선에 관한 추가적인 자원과 정보를 제공하도록 요구하고 있다. 여기에는 의료기기 제공자, 의료시스템 및 기기 제조업체의 사이버취약점 식별 및 해결에 관한 정보가 포함된다. 1년 이내에 정부회계책임국(GAO)은 취약성을 해결하는 데 있어 의료 제공자, 의료 시스템, 환자 및 기기 제조업체가 직면한 과제와 연방 기관이 기기의 사이버 보안을 개선하기 위해 규제를 강화할 방법에 대한 보고서를 발행해야 한다. ciokr@idg.co.kr