CISA, AI 위협 대응으로 정부기관에 3일 내 보안 버그 수정 지시
원제: CISA Tells US Agencies to Fix Security Bugs in as Little as 3 Days Thanks to AI Threats
왜 중요한가
AI 기술의 보안 위협 대응 강화로 정부 사이버보안 정책의 새로운 전환점을 제시한다.
미국 사이버보안인프라보안청(CISA)이 AI 모델의 취약점 발견 및 악용 가능성 증가에 대응해 연방 민간 기관에 최대 3일 내 보안 버그 수정을 의무화하는 새로운 지시를 발표했다. 기존 15일에서 대폭 단축된 조치다.
CISA는 수요일 새로운 '구속력 있는 운영 지시(BOD)'를 발표하며 AI 기술 발전으로 인한 보안 위협 증가에 대응해 연방 기관의 패치 적용 시간을 대폭 단축했다고 밝혔다. 새 지시는 4가지 긴급도 평가 기준에 따라 패치 적용 시한을 정하며, 가장 중요한 경우 3일 내 수정을 요구한다. CISA의 크리스 부테라 사이버보안 담당 대행 전무이사는 "AI 발전으로 위협 행위자들이 연방 자산의 취약점을 찾고 악용할 수 있게 되었다"며 "방어자들은 대량 자동 악용이 가능한 시스템을 패치하는 데 수 주를 소요할 여유가 없다"고 설명했다. 평가 기준은 시스템의 공개 노출 여부, CISA의 알려진 악용 취약점 목록 포함 여부, 자동화된 악용 가능성, 공격자의 접근 권한 수준을 포함한다. 4가지 조건을 모두 충족하는 취약점은 3일 내 수정해야 하며 포렌식 분류 절차도 실행해야 한다. 이는 2019년과 2021년 지시를 대체하는 것으로, 기존에는 가장 중요한 버그를 15일 내, 고위험 취약점을 30일 내 수정하도록 했다.