미국 연방통신위원회의 사이버보안 도박: 솔트 타이푼 이후 통신 규제 철회가 역효과를 낼 수 있는 이유
미국 연방통신위원회(FCC)가 통신 사업자에 대한 바이든 행정부 시절의 사이버보안 의무 규정을 철회하기로 결정한 것은, 자발적 협력이 강제적인 규정보다 미국의 가장 핵심적인 인프라를 더 잘 보호할 수 있다는 고위험 베팅이다. 이는 최근 역사와 기본적인 게임 이론 모두를 무시하는 판단이다.
브렌던 카 위원장이 주도한 2대1 표결로, 통신 제공업체가 '법 집행을 위한 통신 지원법(CALEA)'에 따라 사이버보안 위험 관리 계획을 이행하고 연간 준수 인증서를 제출해야 하는 요건이 폐지되었다. 이러한 규정들은 중국 정부 지원 캠페인인 '솔트 타이푼(Salt Typhoon)' 사태에서 직접적으로 비롯된 것이었다. 이 사태로 인해 최소 9개의 주요 미국 통신사가 침투당했으며, 당시 대선 후보였던 도널드 트럼프와 J.D. 밴스를 포함한 고위급 인사들의 합법적 감청 시스템과 통신이 침해당했다.
법적 꼼수
FCC가 내세운 근거, 즉 1994년 제정된 합법적 도청법인 CALEA가 광범위한 네트워크 보안을 의무화하도록 확장될 수 없다는 주장은 모순을 드러낸다. CALEA 105조는 통신사가 감청이 오직 안전한 시설 내에서만 이루어지도록 명시적으로 요구한다. 그러나 위원회는 이제 이러한 도청 시스템에 대한 무단 접근을 방지하는 것이 CALEA의 범위 밖에 있다고 주장한다.
이러한 해석은 불편한 현실을 외면한다. 솔트 타이푼은 공격자들이 CALEA가 보호하도록 설계된 바로 그 합법적 감청 인프라를 악용했기 때문에 성공했다. 국가 지원 해킹 단체가 패치되지 않은 라우터를 통해 도청 시스템에 원격으로 접근할 수 있다면, "안전한 시설 보장"과 "네트워크 침해 방지" 사이의 구분은 무의미해진다. 이는 솔트 타이푼이 수년간 지속될 수 있도록 했던 정확한 취약점이었다.
안나 고메즈 위원의 반대 의견은 핵심 쟁점을 꿰뚫는다. "자발적 협력만으로 충분했다면, 우리가 오늘 이 자리에 있지 않았을 것입니다." 솔트 타이푼은 통신사들이 자율 규제에 맡겨졌을 때, 최소한의 역량을 갖춘 위험 관리 프레임워크라면 경고했을 기본적인 보안 허점들(알려진 취약점, 약한 접근 통제 등)을 허용했음을 입증했다.
규제 차익거래 문제
FCC가 자발적 약속으로 선회하면서 위험한 비대칭성이 발생한다. AT&T, 버라이즌과 같은 대형 통신사들은 평판 리스크와 기업 계약으로 인해 강력한 보안 프로그램을 유지할 가능성이 높다. 그러나 마진이 가장 낮고 보안 태세가 가장 취약한 소규모 제공업체와 농촌 지역 인터넷 서비스 제공업체(ISP)들은 고객이 인지할 수 있는 수준 이상으로 투자할 유인이 약화될 것이다.
이는 통신망이 가장 약한 상호 연결 지점만큼만 안전하기 때문에 중요하다. 지역 통신사에서의 침해는 피어링 협약 및 백홀 계약을 통해 연쇄적으로 확산되어 전체 생태계를 위험에 노출시킬 수 있다. 철회된 규정들은 최소한의 기준을 설정했을 테지만, 이 규정들의 부재는 미국 통신 환경을 공격자들이 합리적으로 가장 약한 연결 지점을 노릴 수 있는 계층화된 보안 환경으로 변모시킨다.
한편, 유럽은 정반대 방향으로 나아가고 있다. 현재 시행 중인 NIS2 지침은 통신을 포함한 핵심 분야 전반에 걸쳐 구속력 있는 사이버보안 요건을 설정하며, 이는 GDPR 방식의 집행으로 뒷받침된다. 이러한 규제적 차이는 한 국가 인터넷 트래픽의 95%를 처리하는 인프라를 보호하는 데 있어 자발적 협력과 강제적 표준 중 어느 쪽이 더 효과적인지를 보여주는 자연스러운 실험대가 될 것이다.
투자의 역설
투자자들에게 FCC의 결정은 직관에 반하는 위험 프로필을 제시한다. 당장의 헤드라인은 규제 완화, 즉 규제 준수 비용 절감, FCC의 집행 조치 노출 감소, 통신사들의 단기 마진 개선으로 읽힐 것이다. 이는 통신 주식에 나타나는 모든 완만한 긍정적 반응을 설명한다.
그러나 중기적인 관점에서의 계산은 급격히 부정적으로 기운다. 솔트 타이푼은 이미 통신사들을 치명적인 사이버 실패에 대한 정치적 희생양으로 만들었다. 마리아 캔트웰 상원의원이 "네트워크가 침해당했던 바로 그 통신사들의 강력한 로비" 이후에 규제 철회가 이루어졌다고 비난한 것은, 기업들이 국가 안보보다 이익을 우선시한다는 서사를 강화한다.
확률 가중 결과에 대한 시사점은 극명하다. 만약 자발적 조치가 충분하다는 것이 입증되고 향후 3~5년 동안 큰 사고가 발생하지 않는다면, 통신사들은 규제 관련 간접비용을 약간 절감할 수 있을 것이다. 그러나 만약 또 다른 솔트 타이푼 규모의 침해가 발생한다면(중국 국가안전부와 같은 지속적인 위협 행위자들은 능력과 의도 모두를 입증해왔다), 의회는 방금 철회된 행정 규정보다 훨씬 더 엄격한 법정 요건으로 거의 확실히 대응할 것이다.
이는 비대칭적인 하방 위험을 초래한다. 단기적인 완만한 비용 절감은 이사회 차원의 책임, 경영진 과실에 대한 형사 처벌, 포괄적인 보안 감사를 의무화할 수 있는 입법적 역풍의 위험과 맞바뀌는 것이다. 이러한 제도는 정치적 실패 후에 등장하는 것이지, 그 이전에 나타나는 것이 아니다.
현명한 투자자들은 솔트 타이푼이 미국 통신 인프라 전반에 걸친 시스템적인 기술 부채를 드러냈다는 점을 인식한다. 법적 해석이 바뀌었다고 해서 그 부채가 사라지는 것은 아니다. 통신사들은 FCC의 의무 규정 여부와 관계없이 네트워크 탐지, 제로 트러스트 아키텍처, 그리고 설계 단계부터 보안이 고려된 장비에 계속 투자해야 한다. 이제 이러한 투자는 규제 준수보다는 보험 요건, 고객 계약, 그리고 자기 보존에 의해 추진될 것이다.
이러한 환경에서 진정한 승자는 규제 완화된 통신사가 아니라 통신 전문 사이버보안 업체들이다. 이들은 위협 탐지 플랫폼, 운영 환경을 위한 신원 관리, 합법적 감청 시스템에 대한 사고 대응 서비스를 제공하는 업체들이다. 이러한 역량에 대한 수요는 그것을 다루는 규제 체계가 아니라 위협 자체에서 비롯되기 때문이다.
FCC는 사실상 책임 소재를 강제적인 기준선에서 기업 거버넌스와 시장 규율로 이전시켰다. 역사는 핵심 인프라가 국가 지원 해킹 단체와 맞설 때 이러한 책임 이전이 좋게 끝나는 경우가 거의 없음을 시사한다. 다음 침해 사고가 이번 규제 철회가 실용적인 유연성인지, 아니면 치명적인 오판인지를 결정하게 될 것이다.
본 내용은 투자 조언이 아닙니다.