美, 35년 만에 군·정보망 보안 전면 개편…K-방산 직격

미국 트럼프 행정부가 군사·정보 분야 핵심 전산망 전체에 구속력 있는 사이버 보안 통제 지침을 발동했다. 트럼프 대통령이 서명한 국가안보시스템(NSS) 현대화를 골자로 한 국가안보대통령각서 제12호(NSPM-12)다. 국가안보 사이버보안의 근간 법령인 NSD-42(1990년) 이후 35년 만에 CNSS 체계를 전면 개편한 것으로, NSPM-12는 미국 전역의 국가안보시스템(NSS)에 대해 NSA 단일 지휘 아래 필수 보안 기준을 강제하고, 이를 연방 공급망 전체로 확산시켜 이른바 '사이버판 국제무기거래규정(ITAR)'으로 작용할 가능성이 높다.
미 연방 공급망에 연결된 한국 방산·기술 수출 기업에 즉각적인 보안 표준 상향 압박이 가해질 전망이다.


16일 백악관 팩트시트에 따르면 NSPM-12는 군사 임무 수행과 기밀 정보를 처리하는 미국 최고 민감도 전산 시스템 전반에 명확한 거버넌스 구조, 권한 체계, 그리고 운영자 책임을 새롭게 확립했다.

핵심은 국가안보시스템위원회(CNSS)의 부활과 권한 강화다. CNSS는 미 연방정부 전체 NSS 사이버보안을 감독하고 모든 소유자 및 운영자에게 구속력 있는 보안 지침을 발령할 권한을 갖는다.
NSPM-12는 기존 사이버 보안 지침을 폐기하고 NSA를 NSS 사이버보안 분야 국가 관리자로 공식 지정한다.

NSA 국장은 이로써 NSS에 들어가는 암호 모듈과 보안 솔루션의 기술 기준을 최종 승인하는 '국가 매니저'로, 필요시 제품 설계 변경을 요구할 수 있는 막강한 권한을 갖는다.

NSS에 탑재되는 상용 보안 제품은 국제공통평가기준 기반 인증제도(NIAP)와 암호모듈 검증 표준(FIPS 140) 등 추가 요건 충족이 사실상 필수가 된다.

각서는 60일 내 CNSS가 NSS 정책 우선순위 로드맵을 발표하고, 90일 내 기밀·일급비밀·TS/SCI 수준별 클라우드 보안 설정 기준 보고서를 발간하도록 명시하고 있다.

이 일정은 미 연방기관 내부 로드맵이지만, 연방 조달·입찰 규격(RFP)에는 이르며나 2027 회계연도부터 본격 반영될 수 있어 K-방산 기업의 선행 투자가 1~2년 내 이뤄져야 한다는 게 업계 관측이다.

미 국방부와 계약을 보유한 한국 방산 기업들은 사이버보안 성숙도 모델 인증(CMMC)에 더해 NSS 수준의 암호화·접근통제 요건까지 갖춰야 할 가능성이 높다.

방산보안 분야 전문가에 따르면 국방부 주도 CMMC가 일반 방산 공급망의 '입장권'이라면, NSS 기준은 미·나토 작전망과 연동되는 기밀 등급 공급망의 'VIP 출입증'에 해당한다고 볼 수 있다.
방위사업청은 올해 초 방산 기업 공문에서 "2026년에는 생성형 AI와 맞춤형 악성코드를 활용한 해킹 공격이 고도화할 것"이라고 경고하며 업무용 컴퓨터에서 생성형 AI 사용 차단을 주문했다.

K-방산 '수주 잭팟' 이면에 보안 리스크 급부상

미국의 이번 조치는 이와 맞물려 K-방산 기업의 보안 대응 부담을 가중시킬 전망이다.

한화에어로스페이스는 올해 영업이익이 지난해 대비 102% 늘어난 3조 4913억 원에 이를 것으로 추정되며, K2 전차를 수출하는 현대로템도 영업이익이 1조 600억 원으로 132% 증가가 예상된다.

한화에어로스페이스는 K9 자주포 미국 수출, 천무 노르웨이·프랑스 수출 등 다양한 파이프라인을 확보했고 현대로템은 K2 전차의 이라크, 루마니아, 폴란드 수출을 추진 중이다.

이 중 미국·나토 연동 공급망 편입이 걸린 계약들에서 NSPM-12 기반 보안 인증이 선결 조건이 될 수 있다는 점이 업계의 새로운 리스크 변수다.

인프라 측면에서 삼성전자·SK하이닉스 HBM이 미 군용 AI 시스템에 탑재될 경우 FIPS 140 검증·NIAP 등급 충족이 사실상의 입장 요건이 된다. NSA 주도 암호화 칩 규격 강화로 제품 설계 변경 비용이 추가될 수 있다는 점은 리스크다.

서비스 면에서는 삼성SDS·SK C&C 등 클라우드·관리형 서비스 제공업체(MSP)가 CNSS의 기밀·일급비밀 수준 클라우드 보안 설정 기준을 충족할 경우 미 연방 시장 진입 기회가 확대된다.

이는 미국의 연방위험·인증관리프로그램(FedRAMP) High·국방부 정보영향등급(IL) 5~6 수준에 상응하는 기준으로, 인증 획득에 통상 18~24개월이 걸리는 만큼 단기 매출 반영은 제한적이다.

솔루션 분야에서는 안랩·SK쉴더스 등 국내 보안 업체가 직접 수혜 구간에 진입한다. 국가정보원이 지난 5월 전면 시행에 들어간 '국가 사이버보안 기본지침'은 정보화 예산 대비 보안 예산 15% 이상 의무화를 규정하고 있다.

단기로는 비용 부담이지만, 미국 NSS 기준에 맞춘 보안 체계를 미리 깔아두는 '프리패스' 역할을 할 수 있다. 다만 국내 기준이 CNSS·NSA 가이드와 기술적으로 얼마나 정렬될지가 실제 효과를 가를 관건이다.

보안 인증 대응은 개별 기업이 각자 나서는 방식보다 방산·반도체·클라우드·보안업체가 컨소시엄을 구성해 미국 NSS 프로젝트를 공략하는 모델이 비용·시간 면에서 유리하다는 게 업계 전문가들의 공통된 시각이다.

NSPM-12 이후 K-방산의 진짜 승부처는 무기 성능이 아니라 미국 사이버 규제 지형 지도화, 국내·미국 기준 정렬, 컨소시엄형 공동 인증 등 세 단계를 얼마나 빨리 밟느냐에서 갈린다.


심완섭 글로벌이코노믹 기자 ciberwld@g-enews.com