미국 NTE 2026 상세 분석 — CSAP·망 분리·ARIA/SEED 암호화까지 전방위 지적

미국 무역대표부(USTR)가 '2026 NTE(국외무역장벽 보고서)'를 통해 한국의 AI·클라우드 규제를 전방위로 지적함. 공공 ICT 시장이 사실상 외산 차단 구조라는 분석이 담겼으며, CSAP·망 분리·암호화·데이터 현지화 등 구체적 쟁점이 모두 거론됨.

GPU·클라우드 조달 — 국내 기업 전용 입찰

• 2025년 5월 과기부가 발행한 고성능 GPU·클라우드 자원 조달 입찰에서 국내 기업만 참여 가능하도록 제한했던 사례가 확인됨
  • AI 인프라 구축의 핵심인 GPU·클라우드 시장에서 외국 기업을 사실상 배제하는 구조로 작용함
  • 미국 측은 이 조달 방식이 AI 생태계 경쟁을 제한하고, 글로벌 기술 협력 흐름과 어긋난다고 평가함

CSAP·망 분리·데이터 규제

• CSAP(클라우드 보안인증)이 주요 장벽으로 지목됨
  • 데이터 현지화, 국내 인력 운영, 별도 백업 시스템 구축 요구
  • 물리적 망 분리 구조 유지 설계 — 글로벌 CSP가 기존 인프라를 그대로 활용하기 어려움
  • 시장 진입 비용이 대폭 증가하는 구조적 요인으로 작용함
• 개인정보보호위원회 규정도 문제로 지적됨
  • 데이터 국외 이전을 엄격히 제한 → AI 모델 학습·서비스 운영에 필요한 데이터 흐름 제약
  • 데이터 로컬라이제이션 정책이 AI 서비스의 확장성과 글로벌 통합 운영을 어렵게 만든다는 평가

암호화·보안 인증 — 글로벌 표준과 불일치

• 국가정보원이 공공부문 장비에 한국형 암호화 알고리즘(ARIA, SEED) 기반 인증을 요구함
  • 국제적으로 널리 사용되는 AES(Advanced Encryption Standard) 적용은 제한적
  • 해외 기업들은 한국 시장용 별도 제품 라인을 개발해야 하는 부담을 안게 됨
  • 국제 보안 표준과의 정합성을 저해하고, 기술 선택의 자유를 제한한다는 지적

국가핵심기술·위치 데이터 — AI 확장 걸림돌

• 산업부가 반도체·로봇 등 주요 산업 기술을 '국가핵심기술'로 지정, 해당 데이터 처리에 외국 클라우드 사용을 제한함
  • 글로벌 클라우드 인프라를 활용한 대규모 AI 개발에 구조적 제약으로 작용함
• 위치 기반 데이터의 국외 반출도 사실상 불가한 상황
  • 지도·위치 데이터 해외 이전에 대해 승인 사례가 거의 없음
  • 자율주행, 로보틱스, Agentic AI 서비스 구현에 필요한 핵심 데이터 활용이 어려워짐

미국 측 요구와 전망

• CSAP 개편, 암호화 표준 국제화, 데이터 이동성 확대 등 규제 현대화를 지속 요구함
  • 이러한 조치가 글로벌 AI 경쟁 환경에서 한국의 역할을 확대하는 데 필수적이라고 강조함
• AI 인프라·데이터 주권·보안 정책이 맞물린 '디지털 통상' 영역에서 한·미 간 구조적 긴장이 여전히 해소되지 않았다는 신호로 해석됨

---

기술 맥락

CSAP 얘기가 나올 때마다 빠지지 않는 게 물리적 망 분리 요건이에요. AWS나 Azure 같은 글로벌 CSP는 논리적 분리(VPC, 보안 그룹 등)로 멀티테넌시를 구현하는데, 한국 공공부문은 물리적으로 네트워크를 끊어야 하거든요. 이걸 맞추려면 한국 전용 리전을 아예 별도 아키텍처로 구축해야 해서 비용이 크게 올라가요.

ARIA/SEED도 개발자 입장에서는 꽤 실질적인 이슈예요. TLS 핸드셰이크에서 AES 대신 ARIA를 써야 하는 경우가 있고, 하드웨어 가속(AES-NI)을 못 쓰니까 성능 차이가 나거든요. 글로벌 제품에 한국용 암호화 모듈을 따로 넣어야 하는 건 단순 설정 변경이 아니라 별도 인증·테스트가 필요한 작업이에요.

데이터 현지화 쪽도 클라우드 아키텍처에 직접 영향을 줘요. AI 학습 파이프라인에서 데이터가 리전을 넘나들 수 없으면, 분산 학습이나 글로벌 모델 통합이 구조적으로 제한되거든요. 미국이 이 부분을 계속 압박하면 규제가 바뀔 수 있고, 그러면 국내 보안·인프라 설계 기준도 같이 움직일 수밖에 없어요.