트럼프가 7월 4일 서명한 대규모 세제 개편 법안에는 주목할 만한 사이버 예산 항목이 포함됐다. 대표적인 것은 미국 사이버사령부(US Cyber Command)의 AI 관련 사업에 사용할 2억 5,000만 달러(약 3,431억 원)의 예산이다.

트럼프 행정부의 다음이자 더 중요한 과제는 백악관이 제안한 2026회계연도(FY2026) 임의 지출 예산안을 하원과 상원에서 통과시키는 것이다. 이 예산 심의는 연방 정부의 2025회계연도(FY2025) 예산 집행이 끝나는 9월 30일 이전에 완료해야 한다.

올해 트럼프의 예산안은 어느 백악관에서도 전례가 없던 내용으로, 민간 부처 전반의 사이버보안 예산 감축을 요구하고 있다. 구체적으로 2024년 대비 12억 3,000만 달러(약 1조 6,900억 원), 약 10% 규모의 2026년 사이버 예산이 줄어들게 된다.

잘 알려지지 않은 사실도 있다. 트럼프 행정부 자료에 따르면 백악관은 이미 2025회계연도 동안 3억 달러(약 4,100억 원) 규모의 정부 사이버보안 예산을 삭감한 것으로 나타났다. 여기에 더해 내년에는 사이버 지출을 추가로 7% 더 줄일 계획이다.

사이버 위협 연합(Cyber Threat Alliance)의 CEO 마이클 다니엘은 필자와의 인텁뮤에서 “극히 전례 없는 일이다. 주요 기업이 이런 식으로 행동한 사례도 본 적이 없다. 어느 분야든 사이버보안 지출을 줄여야 한다고 주장하는 것은 어렵다”라고 말했다.

트럼프 행정부가 여러 차례 언급해온 바와 같이, 현재는 범죄 조직과 적대 국가로부터의 사이버보안 위협이 증가하는 상황이다. 이런 시기에 예산을 삭감하겠다는 계획은 더욱 이해하기 어렵다는 지적이 나온다.

미국 민주주의수호재단(Foundation for the Defense of Democracies) 산하 사이버·기술혁신센터(Center on Cyber and Technology Innovation)의 선임 국장 마크 몽고메리는 “이번 예산안은 사이버보안을 진지하게 생각하지 않는다는 것을 보여준다. 미국 행정부는 말로는 강경한 입장을 보이지만 실제 자원은 빈약하다. 이번 자원 축소를 정당화할 만한 위협 변화는 전혀 없었다”라고 지적했다.

사이버보안 지출 증가 추세에 제동 거는 트럼프

2017년부터 2024년까지 미국 정부 민간 부처들은 매년 전년보다 더 많은 금액을 사이버보안에 지출했다.

Cynthia Brumfield / CSO

(이 표는 백악관이 제공한 2017년, 2018년, 2019년, 2020년, 2021년, 2022년, 2023년 자료를 기반으로 작성됐다. 2024년, 2025년, 2026년 수치는 트럼프 행정부 산하 관리예산실(Office of Management and Budget, OMB)이 2024년과 2025년 수치를 조정한 결과를 반영했다.)

트럼프 행정부의 사이버보안 예산 삭감은 연방 기관 전체에 균등하게 적용되지 않는다. 실제로 행정부가 공개한 교차표에 따르면 일부 민간 부처는 오히려 사이버보안 예산이 증액된 것으로 나타났다. 다음 표에서 그 내용을 확인할 수 있다.

Cynthia Brumfield / CSO

다른 정부 기관은 상당한 사이버보안 예산 삭감을 겪고 있으며, 일부는 사이버보안 예산이 전액 삭제될 예정이라고 아래 표에 명시돼 있다.

Cynthia Brumfield / CSO

사이버보안 예산 증감의 배경에 대한 추가 설명이나 구체적인 분석이 없어, 이번 조치가 실제로 타당한 재정 수요나 효율성 개선을 반영한 것인지는 판단하기 어렵다.

전직 정부 사이버보안 책임자이자 현직 CISO인 아멜리 코란은 이번 행정부 예산안이 헤리티지 재단(Heritage Foundation)의 ‘프로젝트 2025(Project 2025)’의 영향을 받았다고 분석했다. 이 프로젝트는 트럼프가 현재까지 간헐적으로 따르는 것으로 알려진 행정 청사진이다. 과학 전반에 회의적인 시각을 가지고 있으며, 미국과학재단(National Science Foundation, NSF)이 제안한 일부 상업용 기술 혁신을 “잘못된 조언”이라고 평가한다.

코란은 필자와의 인터뷰에서 “NSF 같은 곳의 예산이 완전히 삭감되는 상황을 보면, 해당 분야에 단 한 푼도 쓰지 않겠다는 신호를 보내는 셈이다. 정부 차원에서 그 기관 자체를 원하지 않는다는 메시지로 보인다”라고 말했다.

다만 이번 행정부가 사이버보안 예산을 산출할 때 심층적인 고민이나 분석을 거치지 않았을 가능성도 제기된다. 사이버 위협 연합의 다니엘은 “이번 행정부가 삭감을 진행해 온 방식을 보면, ‘전략적’이나 ‘심사숙고했다’는 표현은 쓰기 어렵다”라고 지적했다.

이어 “이번 조치는 ‘연방 정부가 하는 일을 그냥 줄이고 싶다’는 철학적 접근과 맞닿아 있다. 여기에 더 큰 전략적 계획이 있다고 보는 것은 잘못된 해석이다. 사이버보안 전문가들이 충분히 오래 자리를 지키며 예산을 주도한 적이 없었기 때문”이라고 말했다.

뉴욕시 사이버사령부에서 사이버 리스크 국장을 지낸 뉴욕대학교 국제문제센터(Center for Global Affairs) 교수 무니시 월터-푸리는 보다 넓은 관점에서 이번 예산안이 행정부가 사이버보안 위험 관리에 두는 우선순위를 반영한다고 봤다.

월터-푸리는 “조직이 스스로의 위험을 어떻게 인식하는지 알고 싶다면 자원을 어디에 배분하는지를 보면 된다. 이 관점에서 보면 단순히 사이버보안 예산을 줄인다는 문제를 넘어서, 연방 정부의 위험 관리 체계에서 사이버보안을 어떻게 바라보는지를 읽을 수 있다”라고 설명했다.

사이버보안 예산 삭감의 잠재적 영향

명확한 사이버보안 전략이 부재한 상황에서 이번 예산안이 연방 정부의 보안 태세에 어떤 영향을 미칠지는 불확실한 상태다.

다니엘은 “미국의 사이버 위험이 눈에 띄게 증가하고 있다는 데는 의문의 여지가 없다. 적대 국가는 현재 미국 정부 내부에서 벌어지는 일을 보고 기뻐할 것이다. 사이버보안 예산 삭감은 그런 상황을 더욱 부추길 뿐이다”라고 말했다.

월터-푸리는 정부의 사이버보안 지출이 줄어들수록 위협 세력이 미국을 공격 대상으로 삼을 가능성이 높아진다고 지적했다. 월터-푸리는“이런 변화는 적대 세력의 우선순위에 영향을 미쳐 예산이나 인력 부족이 알려진 조직을 더 집중적으로 공격하도록 만들 수 있다”라고 우려했다.

몽고메리는 소폭의 예산 삭감을 겪는 기관조차 그 여파가 다른 이해관계자에게 상당할 수 있다고 우려했다. 정부뿐 아니라 민간 부문에도 사이버보안 자원을 제공한 NSF의 사이버보안 예산 전액 삭감을 언급하며 “NSF의 서비스 장학금(Scholarship for Service) 프로그램이 걱정된다. 그 프로그램이야말로 유능한 인재를 사이버보안 분야로 채용하는 방식이다”라고 언급했다.

또한 몽고메리는 상무부(Commerce Department) 산하 기관인 국립표준기술연구소(National Institute of Standards and Technology, NIST)의 미래에도 우려를 표했다. 상무부는 2026년 예산에서 14% 삭감을 앞두고 있으며, 트럼프 행정부는 NIST가 “급진적 기후 의제”를 추진했다며 별도로 3억 2,500만 달러의 예산 삭감을 제안한 상태다.

몽고메리는 “NIST는 바이든 행정부 시절에도 이미 자원이 부족했다. 아직 구체적인 사실은 나오지 않았지만, NIST 사이버보안 부서의 상황이 우려된다”라고 말했다.

마지막으로 연방 정부의 사이버보안 예산 삭감은 연방 지원금에 의존하는 주·지방정부 및 기타 기관에도 문제가 될 수 있다. 다니엘은 “교차표의 핵심은 연방 네트워크 자체의 사이버보안 지출뿐 아니라, 주·지방정부를 지원하는 지원금· 대외 지원 프로그램 예산까지 포함하고 있다는 점이다”라고 설명했다.

코란은 “이번 조치는 연방 지원금을 받는 기관에도 연쇄적인 영향을 미칠 것이다. 특히 주·지방정부 프로그램에 배정된 사이버보안 예산이 큰 타격을 입게 될 것”이라고 언급했다.

상황 반전 가능성도

미 의회의 상임위원회가 각자 맡은 분야별로 예산안을 통과시키기 시작하면서 트럼프 행정부가 제안한 일부 삭감안이 뒤집힐 가능성도 있다. 예를 들어, 하원 국토안보위원회는 6월 3일 세출 법안을 통과시키며 사이버보안·인프라보안국(Cybersecurity and Infrastructure Security Agency, CISA)에 27억 4,000만 달러를 배정했다. 이는 2025년 CISA 예산에서 1억 4,600만 달러, 약 5% 삭감된 수준으로, 트럼프가 추진했던 5억 달러 삭감안보다는 훨씬 낮은 규모다.

그러나 다니엘은 위원회 중심의 단편적 접근 방식으로 인해 많은 기관의 예산 삭감이 그대로 통과될 수 있다는 점을 우려했다. 다니엘은 “하원 국토안보위원회가 CISA 예산 일부를 되살린 건 놀랍지 않다. 사이버보안은 비교적 초당적 사안이기 때문이다. 문제는 상무·법무·과학위원회가 NSF 예산을 복원할지다. 결국 정치적 성향과 이해관계가 사이버 문제에 얹히면, 사이버보안 예산을 전략적으로 관리하는 접근법은 점점 더 산산조각 날 것”이라고 설명했다.

이 문제를 풀어나가는 데 도움이 될 만한 방법으로는 최근 정식 임명된 숀 카이른크로스 국가사이버국 국장과, 아직 인준이 완료되지 않은 지명자 숀 플랭키 CISA 국장이 예산 논의에 직접 참여해 의견을 내고 목소리를 보태는 방안이 거론된다.

몽고메리는 “장기적으로 이 문제가 해결되려면 예산 책정 과정에서 효과적으로 목소리를 낼 역량 있는 관료가 필요하다. 카이른크로스와 플랭키가 바로 그런 유형의 리더다”라고 말했다.

다니엘 역시 이에 동의하면서도 두 리더 모두 한계에 부딪힐 것이라 내다봤다. “전체적으로 지출이 줄어들고 행정부가 사이버보안 분야를 주요 타깃으로 삼는다면, 예산을 지켜내기란 쉽지 않을 것”이라고 언급했다.

무엇보다 몽고메리는 사이버보안 커뮤니티가 이번 예산 삭감을 그냥 넘어가서는 안 된다며 “사이버보안에 충분히 투자하지 않으면 누군가는 반드시 문제를 지적해야 한다. 자원은 곧 정책이다. 필요한 자원을 투입하지 않거나, 자원을 제대로 배분하지 못하면, 결국 정책은 실패로 이어진다”라고 강조했다.
dl-itworldkorea@foundryco.com