2025년 초부터 미국 트럼프 2기 행정부의 대규모 예산 삭감이 글로벌 사이버보안 생태계에 직접적인 충격을 주고 있습니다. DOGE(Department of Government Efficiency)가 연방 지출 전반을 압박하면서, 수십 년 동안 전 세계 보안 운영의 기반이 되어온 핵심 인프라들이 흔들리기 시작했습니다. 그 중심에는 CVE 프로그램과 NVD, 그리고 CISA가 있습니다.
https://xcoolcat7.tistory.com/91527
미국 CISA 직원 해고 그리고 재채용 ... 아직 진행 중인 문제
2025년 초 미합중국 정부효율부 (United States Department of Government Efficiency, DOGE)의 칼날은 사이버 보안 분야도 피할 수 없었습니다. AI에 CISA 직원 해고 그리고 재채용에 대해 문의한 했습니다. 재채용
xcoolcat7.tistory.com
2025년 상황과 2026년 현재 상황을 AI를 기반으로 조사했습니다.
사례
도구 지원 중단
CISA의 Threat Hunting 부서는 2025년 3월 말 Censys 사용을 중단했고, Google 소유의 VirusTotal은 2025년 4월 20일부터 사용이 종료된다고 통보했습니다.
CISA warns threat hunting staff of end to Google, Censys contracts as agency cuts set in
“We understand the importance of these tools in our operations and are actively exploring alternative tools to ensure minimal disruption,” said the email sent to several hundred CISA cyber threat hunters.
www.nextgov.com
📉 이후 예산 삭감 진행 상황
트럼프 행정부의 FY2026 예산안: 트럼프 행정부의 FY2026 예산안은 CISA 인력을 3,292명에서 2,324명으로, 약 1,000명 가까이 줄이는 내용을 담고 있습니다. Election Security Program은 완전 폐지, Cyber Defense Education and Training은 $45M 삭감이 포함되어 있습니다. Nextgov.com
의회의 부분 저항: House 세출 소위원회는 트럼프 행정부가 요구한 $495M 삭감이 아닌 $135M 삭감으로 CISA 예산을 $2.7B으로 조정하는 법안을 8-4로 통과시켰습니다. 민주당 의원들은 이조차도 "국가 안보를 약화시킨다"며 반발했습니다. CyberScoop
2025 예산 전용: 트럼프 행정부는 CISA의 2025년 예산에서 $144M을 ICE(이민세관집행국) 운영 예산으로 전용하는 계획도 추진했습니다. Federal News Network
🔍 2026년 현재 전반적 상황
FY2025에 3,641명 풀타임 인원과 $3.0B 예산이었던 CISA는, FY2026 기준으로 2,324명과 $2.4B으로 줄어드는 방향으로 진행 중입니다. CISA가 운영을 완전히 멈춘 것은 아니어서 2026년 2월에도 엣지 디바이스 보안 강화 지침을 발령하긴 했지만, 예산·인력 감소로 인해 동시다발적 위기 대응 능력에 여유가 없어지고 있다는 우려가 나옵니다.
MITRE CVE 운영 중단 위기
2025년 MITRE CVE 운영 중단 위기가 있었습니다. 현재는 운영되고 있습니다.
https://xcoolcat7.tistory.com/91561
CVE 운영 중단 위기 1년 후 - 운영 불안정성 여전
MITRE 기관은 미국 국토안보부(DHS) 산하 CISA 와의 계약을 통해 CVE 운영 예산을 받았습니다.2025년 4월 16일 이후 정부 계약이 갱신되지 않아 만료될 예정이었습니다. https://www.linkedin.com/feed/update/urn:li
xcoolcat7.tistory.com
NVD(국가 취약점 데이터베이스) 관리 문제
NIST는 2025년 한 해에만 약 42,000건의 CVE를 분석(enrichment)했는데, 이는 전년 대비 45% 증가한 수치다. 그러나 2020년부터 2025년 사이 CVE 제출 건수가 263% 급증하면서 이 속도조차 부족한 상황이 되었습니다.
특히 AI 기반 취약점 탐지 도구의 확산이 이 급증을 더욱 가속화하고 있습니다. GitHub의 경우 최근 90일간 수신된 취약점 보고 건수가 그 이전 90일 대비 224% 증가했다고 밝혔다. Cybersecurity Dive
NIST의 대응: 우선순위 기반 분석 체계로 전환
2026년 4월 15일부터 NIST는 NVD에 등록된 모든 CVE 중 일부에 대해서만 CVSS, CPE 등 상세 메타데이터 분석(enrichment)을 제공하는 방식으로 전환했습니다. Dark Reading
우선 분석 대상은 CISA의 KEV(Known Exploited Vulnerabilities) 목록에 포함된 취약점, 연방 정부 소프트웨어에서 발견된 취약점, EO 14028(사이버보안 개선 행정명령)에서 정의한 핵심 소프트웨어의 취약점 세 가지입니다. 이 기준을 충족하지 못하는 CVE는 NVD에 등록은 되지만 "Not Scheduled"로 분류돼 즉각적인 분석을 받지 못한다. Dark Reading
약 29,000건의 백로그 CVE가 "Not Scheduled"로 재분류됐으며, 향후 새로 유입되는 CVE 중 우선 분석 대상은 전체의 15~20% 수준에 불과할 것으로 예상됩니다. Lab Space
현장에서의 영향
CVSS 점수, CPE 식별자, CWE 분류가 없으면 SIEM이나 취약점 스캐너에서 자동 우선순위 판단이 불가능해집니다. 결국 분석가들이 수동으로 개별 취약점을 조사해야 하는 부담이 늘어나고, 중소 보안팀은 사실상 이 공백을 메울 역량이 없습니다.
CISA의 구조적 약화
DOGE發 대규모 인력 감축
2025년 2월, DOGE는 CISA의 레드팀 전체와 지원 인력 100명 이상을 포함한 계약을 일괄 종료했다. 이후 같은 주 수요일에는 별도의 미션 크리티컬 레드팀 계약도 추가로 종료됐다. CSO Online
2025년 초 3,700명이었던 CISA 직원 수는 2,200~2,600명 수준으로 감소했다. Magazine
예산 삭감의 규모
트럼프 행정부는 CISA 예산을 4억 9,100만 달러, 약 17% 삭감하고 1,000명 이상의 인력을 줄이는 안을 의회에 제출했다. 핵심 임무를 연방 네트워크 방어와 주요 인프라 보안 강화에 집중한다는 명분이었다. Magazine
실질적 결과
거의 1년이 지난 시점에서, 공공부문 리더와 보안 전문가들은 예산 삭감과 기관 약화가 정부의 핵심 사이버 커뮤니케이션 체계를 훼손하고 있다고 진단한다. 사이버 위협 정보를 기업들이 사이버 공격에 대비하고 대응할 수 있도록 공유하는 메커니즘이 행정부 삭감과 워싱턴의 정치적 교착 상태로 인해 훼손됐다는 것이다. CNBC
Cyberspace Solarium Commission의 Mark Montgomery는 "주요 인프라의 사이버보안 방어를 주와 산업계에 이전하면서, 정작 그들이 그 일을 해낼 수 있도록 지원할 자원을 동시에 삭감하고 있다"고 비판했다. CNBC
결과적으로
2025년 처음 예산 삭감 기사를 보고 해당 기사를 1년 동안 보관하다 최근 상황을 살펴봤습니다.
여전히 예산 삭감으로 업무가 제한되는 듯 합니다.
'정보보안 (Infosec) > 업계 소식' 카테고리의 다른 글
| CVE 운영 중단 위기 1년 후 - 운영 불안정성 여전 (0) | 2026.03.02 |
|---|---|
| 클로드 코드 시큐리티 (Claude Code Security) 발표 - 정보보안 업체 주가 하락 그리고 개인적 전망 (0) | 2026.02.24 |
| 바이러스토털 가격 인상 - 기여자에 대한 할인 (0) | 2025.11.25 |
| 데이비드 할리 (David Harley) 씨를 추모하며 (0) | 2025.11.11 |
| 미국 CISA 직원 해고 그리고 재채용 ... 아직 진행 중인 문제 (0) | 2025.09.16 |