2020년 7월 8일, 미국 에너지부(“DOE”)는 정보 요청서(“RFI”)를 발표하며, 2020년 5월 1일 트럼프 대통령이 발령한 행정명령 13920호 (제목: “미국 대량 전력 시스템 보안”, 이하 “행정명령”)에 대한 공개 의견을 8월 7일까지 접수할 것을 요청했습니다. 이 행정명령은 미국 전력망 인프라 위협과 관련하여 "국가 비상사태"를 선포하고, "외국 적대세력"에 의해 조작되거나 악용될 수 있는 대량 전력 시스템("BPS") 전기 장비에 대한 광범위한 금지 조치를 시행합니다. 이 행정명령과 정보요청서는 9월까지 미국 에너지부(DOE)가 규정을 제정하기 위한 규제 절차를 공식적으로 시작하는 것으로, '블랙리스트' 및 '사전 승인된' 외국 장비 공급업체 목록과 미국 정부가 개별 상업 거래를 평가하고 승인 또는 차단하기 위한 기준을 포함할 가능성이 높습니다.
국가 안보 상황 및 금지
상세 내용을 많이 제시하지 않은 채, 이 행정명령은 기존의 국가안보 권한을 근거로 삼아 미국이 "외국 적대세력이 소유하거나 통제하거나 관할권 또는 지휘하에 있는 자에 의해 설계, 개발, 제조 또는 공급된" BPS 전기 장비의 "제한 없는 취득 또는 사용"으로부터 수많은 국가안보 위협에 직면해 있다고 판단한다. 이 정보요청서(RFI)는 중국과 러시아가 '트로이 목마' 시나리오에 활용될 수 있는 첨단 '사이버 프로그램' 및 악성코드 능력을 보유한 것으로 명시적으로 지목합니다. 예를 들어, 장비에 백도어 제어 기능이나 기타 취약점이 내장되어 외국 세력이 이를 악용해 정전이나 군사 및 기타 국가안보 통신을 포함한 더 표적화된 교란을 통해 미국의 이익을 훼손할 수 있습니다. 이번 행정명령은 미국 정부가 국제비상경제권한법(IEEPA)에 따른 권한을 활용해 핵심 인프라 관련 국토 안보 위험을 해결한 첫 사례입니다.
과거에 보다 세부적인 규정을 제정하기 전에 발효된 IEEPA 행정명령과 마찬가지로, 본 행정명령은 미국 에너지부 장관(이하 "장관")이 (다른 연방 기관과 협의하여) 해당 거래가 다음 사항에 해당한다고 판단한 경우, 누구든지 BPS 전기 장비의 "취득, 수입, 이전 또는 설치"를 광범위하게 금지한다:
- 2020년 5월 1일 이후에 "시작된" 경우;
- 외국(또는 그 국민)이 어떠한 권리(해당 장비 공급 계약상의 권리를 통한 것을 포함)를 보유한 모든 재산에 관해;
- "외국 적대 세력이 소유하거나 통제하거나 그 관할권 또는 지휘 하에 있는 자에 의해 설계, 개발, 제조 또는 공급된 대용량 전력 시스템 전기 장비"를 포함하며;
- 국가의 물리적 또는 경제적 안녕에 용납할 수 없는 위험을 초래한다.
정의 및 적용 대상 장비
행정명령은 외국 적대세력으로 분류되는 대상에 대한 세부 사항을 거의 명시하지 않았으나, 정보요청서(RFI)에 따르면 현재 해당 목록에는 다음 국가 정부들이 포함됨을 명확히 하고 있다: 중화인민공화국, 쿠바 공화국, 이란 이슬람 공화국, 조선민주주의인민공화국, 러시아 연방, 볼리바르 베네수엘라 공화국.
이 행정명령에 따라 "대규모 전력 시스템"이란 "(i) 상호 연결된 전기 에너지 송전 네트워크(또는 그 일부)의 운영에 필요한 시설 및 제어 시스템; 그리고 (ii) 송전 신뢰성 유지를 위해 필요한 발전 시설의 전기 에너지"를 의미하며, 69kV 이상의 송전선을 포함하되 "전기 에너지의 지역 배전에 사용되는 시설"은 제외한다.
"대용량 전력 시스템 전기 장비"는 "대용량 전력 시스템 변전소, 제어실 또는 발전소에서 사용되는 품목으로, 리액터, 커패시터, 변전소 변압기, 전류 커플링 커패시터, 대형 발전기, 백업 발전기, 변전소 전압 조정기, 분로 커패시터 장비, 자동 회로 재폐로기, 계기용 변압기, 커플링 용량 전압 변압기, 보호 계전기, 계량 장비, 고전압 회로 차단기, 발전 터빈, 산업 제어 시스템, 분산 제어 시스템 및 안전 계장 시스템"을 포함한다. 상기 목록에 포함되지 않으며 "대용량 전력 시스템 외에 더 광범위한 용도로 사용되는 품목은 [행정명령]의 적용 범위를 벗어난다."
구현
이 행정명령은 장관, 즉 에너지부(DOE)가 행정명령의 다수 규제적 요구사항을 이행할 책임이 있음을 명시하며, 여기에는 DOE가 다른 연방 기관과 협의하여 행정명령 발효일(2020년 9월 28일)로부터 150일 이내에 규칙 또는 규정을 공표할 것을 요구하는 내용이 포함된다. 이 행정명령은 특히 다음과 같은 규정을 명시적으로 고려한다:
- 이 명령의 목적상 "외국 적대세력" 또는 "외국 적대세력이 소유하거나 통제하거나 그 관할권 또는 지휘하에 있는" 특정 국가 또는 개인을 식별한다;
- 특별한 감시가 필요한 특정 장비나 단체의 '블랙리스트'를 식별하십시오;
- 특정 장비 및 공급업체를 거래를 위한 "사전 승인" 대상으로 지정하십시오;
- 사전 자격 심사 기준을 수립하고;
- "단일 거래 또는 거래 유형"에 대한 에너지부(DOE) 승인의 전제 조건으로, 금지된 거래에 대한 허가 절차를 수립하며 여기에는 완화 절차 또는 기타 조치가 포함된다.
이 행정명령은 또한 국가 안보와 관련된 연방 에너지 인프라 조달 정책에 관한 부처 간 태스크포스를 신설하여, 미국 정부의 에너지 인프라 조달 및 위험 정보 공유와 위험 관리 관행의 조율을 담당하게 한다.
에너지 산업 관계자들을 대상으로 한 후속 비공식 브리핑에서 에너지부(DOE) 관계자들은 위험 기반 접근법을 활용해 블랙리스트를 정밀하고 전략적으로 적용할 것이라고 강조했습니다. 관계자들은 RFI를 통해 업계 의견을 수렴하여 부처 간 협력을 강화할 계획임을 밝히며, 기업들에게 사전 자격 심사 대상 정보 제출을 요청했습니다. 이러한 RFI 및 사전 자격 심사 절차에는 정부 차원의 장비 테스트가 포함될 수 있습니다. 2020년 5월 초 진행된 후속 질의응답(이하 "Q&A")에서 DOE는 완화 조치에 제조 공장 검사도 포함될 수 있다고 밝혔다. 공식 RFI 의견 제출 외에도 질문 및 의견은 [email protected]로 제출할 수 있다. DOE는 질문에 대한 답변을 온라인에 공개할 계획이다.
RFI는 대중의 의견을 수렴하고 검토 중인 위협에 대한 추가적인 통찰력을 제공합니다.
에너지부(DOE)의 정보요청서(RFI)는 공급망 보호 방안과 행정명령(EO)의 경제적 영향에 대한 이해를 위한 의견 수렴에 중점을 두고 있습니다.
BPS 공급망과 관련하여, 본 RFI는 시스템 전반의 정보와 특정 구성 요소 수준의 기업 관행을 요구합니다. RFI는 에너지 부문과 공급업체가 기업 위험 평가(주기적인 사이버 성숙도 모델 평가 포함)를 어떻게 고려하고 평가하는지 묻습니다. 주요 관심 분야는 기업 및 유틸리티 데이터, 소프트웨어/펌웨어 개발 수명 주기의 무결성, 소스 코드 보호(연구 협력 포함)입니다. RFI는 "하위 공급업체"와의 협력 과제, 부품 명세서(BOM)의 품질, 변조·무단 생산·위조 방지 관행에 대한 정보를 요청합니다. 또한 에너지 부문 내 취약점 정보 공유 역량에 대한 정보도 요구합니다. 또한 RFI는 장비 건설 및 시운전과 관련된 피드백을 요청하며, 이는 향후 DOE 규정을 반영하기 위해 EPC(설계·조달·시공) 또는 기타 건설 계약과 장비 공급 계약을 재검토하는 방안을 미리 보여줄 수 있습니다:
- 미국 내 BPS 현장에서 외국 적대세력 또는 이와 연관된 외국 소유, 외국 통제, 외국 영향력 하에 있는 자가 BPS 전기 장비를 설치할 때, 설치 과정 중 접근을 모니터링하고 제한하기 위해 어떤 물리적 및 물류적 역할 기반 접근 통제 정책이 수립되었는가?
- 설치자/통합자가 설치 및 시운전 과정에서 시스템과 구성 요소를 효과적으로 보호할 수 있도록 보장하기 위한 정책과 관행은 무엇인가요?
- 서비스 제공업체(시스템의 원격 모니터링 및 관리를 제공하는 업체 포함)가 모니터링 대상 시스템 및 구성 요소의 보안 보호 조치를 효과적으로 유지하도록 보장하기 위해 어떤 정책과 관행이 마련되어 있습니까?
- 내부자 위협 프로그램이 존재합니까?
또한 DOE가 변압기(발전 승압 변압기 포함), 무효 전력 장비(리액터 및 커패시터), 회로 차단기, 발전(송전 수준에서 BPS에 공급되는 발전 및 변전소를 지원하는 예비 발전 포함)을 어떻게 처리해야 하는지에 대해 명시적으로 문의한 점도 주목할 만하다. 이 RFI는 장비 모니터링, 지능형 제어 및 계전기 보호와 관련된 하드웨어 및 전자 장치를 모두 포함한다고 명시합니다. 또한 RFI는 정격 용량 20MVA 이상이고 저압측 전압이 69kV 이상인 변압기만 포함된다고 명확히 밝히고 있습니다.
에너지부(DOE)의 경제 분석과 관련하여, DOE는 행정명령으로 인해 발생한 우려 사항을 완화하기 위한 준수 계획 수립부터 협정 협상에 이르기까지 준수 관련 일회성 및 반복적 비용에 대한 정보를 요청합니다. 또한 DOE는 특정 범주의 BPS 전기 장비가 거래 심사 대상이 될 가능성이 높은 공급업체에 더 의존하는지 여부를 명확히 하고자 합니다. DOE는 또한 대중에게 행정명령의 적용 대상이 되어야 하거나 제외되어야 할 서비스, 부품 및 시스템을 직접 제시하고 설명해 줄 것을 요청합니다. 마지막으로, 본 정보요청서(RFI)는 중소기업에 고유한 행정명령으로 인한 어려움을 제시해 줄 것을 요청합니다.
충격 – 장비 및 상업적 응용
행정명령이 적용되는 장비 및 공급업체의 정확한 범위는 불분명하다. 한편, 행정명령은 일관되게 대량 전력 시스템을 언급하며 "대량 전력 시스템 외에 더 광범위한 용도로 사용되는" 목록에 포함된 품목은 제외한다. 또한 행정명령은 명시적으로 69kV 이상의 송전선로만 적용 대상으로 규정하고, "지역별 전력 배분에 사용되는 시설"은 명시적으로 제외한다. 에너지부(DOE)는 질의응답에서 69kV를 선택한 이유를 "미국에서 배전선 전압은 일반적으로 69kV를 초과하지 않으며, 행정명령의 정의는 69kV에서 110kV의 낮은 전압 범위에서 운영되는 송전선을 포함하도록 설계되었기 때문"이라고 설명했습니다. 부서의 전력 마케팅 관리 기관 및 일부 소규모 전력사는 송전에 69kV 선로를 활용한다"고 설명했습니다. 이는 재생에너지 및 기존 발전 시설과 같은 발전 시설을 제외하는 것으로 보입니다.
반면, BPS는 또한 "송전 신뢰성 유지를 위해 필요한 발전 시설의 전기 에너지"를 포함한다고 설명되며, "발전소"에서 사용되는 품목들을 포함합니다. 또한 RFI는 문제의 변압기 범주 내에서 발전 승압 변압기를 명확히 식별하고 있습니다. 보다 일반적으로, 행정명령은 20개 이상의 대량 전력 구성 요소를 구체적으로 열거하고 있으며, 에너지부(DOE)는 질의응답에서 행정명령 목록에 포함되지 않거나 "대량 전력 시스템 외에 더 광범위한 용도로 사용되는" 구성 요소는 행정명령의 적용 대상이 아니라고 명시했습니다. 예를 들어 태양광 PV 모듈이 블랙리스트에 오를 가능성은 낮지만, 고전압 연결을 자주 사용하고 중국 공급업체로부터 관련 부품을 정기적으로 조달하는 육상 풍력 프로젝트를 규정이 어떻게 규정할지는 불분명합니다. 이 행정명령은 발전 유형을 구분하지 않는 것으로 보인다. Q&A는 "행정부는 발전에 대해 '모든 것을 포함하는' 접근 방식을 지지한다. [이] 행정명령은 송전 신뢰성 유지를 위해 필요한 발전 시설의 전력을 포함하는 대량 전력 시스템에만 적용된다"고 명확히 했다.
이에 비해 에너지 저장 장치에 대한 EO 적용은 배터리와 전력망 간의 역동적인 상호작용으로 인해 더욱 불확실합니다. 유틸리티 규모 에너지 저장 시스템은 단독으로 운영되거나 태양광·풍력 등 재생에너지 발전 시설과 현장에서 연계되어 실시간 전력망 균형을 위한 주파수 조절과 같은 그리드 서비스를 제공하고, 간헐적 재생에너지 자원의 운영 프로필을 안정화하는 역할을 수행합니다. 저장 시스템은 블랙 스타트 기능 제공에도 활용될 수 있으며, RFI는 블랙 스타트 시스템을 관심 대상인 특정 필수 신뢰성 서비스로 명시하고 있습니다. 에너지 저장 프로젝트는 발전, 배전, 송전 단계의 다양한 지점에서 상호 연결될 수 있습니다. 또한 많은 논평가들은 행정명령(EO)이 주거용 및 상업용 태양광+저장 프로젝트의 계량기 뒤(behind-the-meter) 애플리케이션에 사용되는 구성 요소를 일반적으로 면제한다고 해석해 왔지만, 설치업체들은 이미 가정과 사무실 건물에 설치된 집계형 배터리를 통해 전력망 수준 서비스를 제공하기 위한 유틸리티 계약을 체결하고 있습니다. 에너지 부문이 그리드를 보다 분산되고 탈중앙화되며 상호작용적인 네트워크로 전환하는 과정을 헤쳐나가고 있는 것처럼, DOE 규정이 집계된 소비자 시스템의 관련 보안 영향을 어떻게 평가할지는 아직 지켜봐야 할 부분이다.
영향 – 상업 거래
이 행정명령은 5월 1일부터 규정 발효 기간 사이에 공급업체와 거래를 시작하는 당사자들에게 중간 지침을 제공하지 않습니다. 그러나 실질적으로 연방 정부는 블랙리스트 및 사전 승인된 기관이나 장비에 대한 명확한 규정이 마련된 이후 발생한 상업 거래에 집행력을 집중해 왔습니다. 에너지부(DOE)는 질의응답에서 "현재로서는 금지된 장비는 없다"고 보다 직접적으로 밝혔습니다.
다른 연방 개입 조치(예: 부품이 미국에 반입될 때 통상적으로 부과되는 무역 관세)와 달리, 이 행정명령은 에너지부(DOE)의 향후 제한 조치가 신규 체결 계약 및 부품 수입은 물론, 이미 미국 내로 반입된 장비의 후속 이전, 그리고 최종적으로 해당 장비의 건설/설치 과정에도 적용될 수 있음을 명확히 하고 있습니다. 따라서 당사자는 2020년 5월 1일 이전에 특정 BPS 전기 장비를 수입할 수 있으나, 이전 전에 DOE가 해당 장비를 블랙리스트에 올릴 경우 다른 당사자에게 장비를 이전하는 것이 제한될 수 있습니다. 행정명령은 통제권 상위 변경에 제한이 적용되는지 여부를 명시하지 않습니다. 마찬가지로, 시설 건설을 시작할 준비가 된 스폰서 및 건설 서비스 제공업체는 프로젝트에 공급되는 특정 장비나 공급업체가 블랙리스트에 오를 경우 사용 불가능한 장비에 발이 묶일 수 있습니다.
그러나 규정이 제정되기 전까지, 외국 장비 공급업체와 계약을 체결하는 당사자들은 상대방이 블랙리스트에 오를 위험성을 고려해야 하며, 향후 전기 인프라 프로젝트에 대한 보다 강력한 국가 안보 평가를 반영하기 위해 내부 역량과 제3자 건설 업체의 관행을 평가해야 한다.
업데이트: 폴리 앤드 라드너(Foley & Lardner)의 크리스토퍼 스위프트(Christopher Swift)가 태양에너지산업협회(SEIA)가 주최한 웨비나에 참여하여 행정명령의 영향과 재생에너지 분야의 향후 대응 방안을 논의했습니다. SEIA 회원들은 크리스토퍼와의 질의응답을 포함한 전체 웨비나를 다음 링크에서 시청하실 수 있습니다: https://www.seia.org/resource-types/webinar-archive
