CISA, AI 공격 우려에 고위험 취약점 조치 기한 3일로 단축
미국 사이버보안·인프라보안국(CISA)은 인공지능(AI)을 활용한 취약점 탐지와 악용 속도 증가에 대응하기 위해 연방 민간 행정부(FCEB) 기관의 고위험 취약점 조치 기한을 최단 3일로 줄였다고 밝혔다.
CISA는 지난 10일 구속력 있는 운영지침(BOD) 26-04를 발표했다. 구속력 있는 운영지침은 미국 연방 민간 행정부 기관이 따라야 하는 사이버보안 지시다. 이번 지침은 취약점을 단순 심각도 점수로만 보지 않고 실제 공격 가능성과 자산 노출 여부를 기준으로 조치 우선순위를 정하도록 했다.
BOD 26-04는 기존 취약점 대응 지침인 BOD 19-02와 BOD 22-01을 대체한다. BOD 19-02는 인터넷에 노출된 연방 시스템의 취약점을 정해진 기한 안에 조치하도록 한 지침이다. BOD 22-01은 실제 공격에 악용된 취약점을 알려진 악용 취약점(KEV) 목록으로 관리하고, 각 기관이 이를 의무적으로 조치하도록 한 지침이다. 새 지침은 두 의무사항을 위험도 기반 체계로 통합했다.
핵심 기준은 네 가지다. 취약한 자산이 인터넷에 노출돼 있는지, 해당 취약점이 CISA의 알려진 악용 취약점 목록에 있는지, 공격자가 악용 절차를 자동화할 수 있는지, 악용 시 공격자가 시스템을 부분 통제하거나 완전 통제할 수 있는지다.
가장 높은 위험군은 3일 안에 조치해야 한다. 대상은 인터넷에 노출된 자산에 존재하고, 이미 실제 공격에 쓰였으며, 공격 절차를 자동화할 수 있고, 악용 시 공격자가 시스템을 완전히 통제할 수 있는 취약점이다. 이 경우 기관은 패치나 완화 조치를 해야 한다. 이미 침해됐는지도 확인해야 한다.
CISA는 이를 포렌식 분류라고 설명했다. 포렌식 분류는 침해 흔적을 확인하기 위해 로그와 시스템 상태를 점검하는 초기 조사 절차다. 단순히 패치를 적용하는 데서 끝내지 않고 공격자가 이미 내부에 들어왔는지까지 확인하라는 의미다.
모든 취약점이 3일 조치 대상은 아니다. 위험 조건 일부만 해당하면 14일이나 60일 안에 조치하면 된다. 위험 조건이 낮은 취약점은 다음 시스템 업그레이드 때 고칠 수 있다. CISA는 한 대형 연방 민간 행정부 기관을 대상으로 분석한 결과 3일 조치 대상은 전체 취약점 인스턴스의 약 1%였고, 60% 이상은 다음 시스템 업데이트까지 조치를 미룰 수 있었다고 설명했다.
CISA는 이번 지침을 단계적으로 적용한다. 기관들은 즉시 취약점 관리 정책을 점검하고 KEV 목록을 지속 확인해야 한다. 연속 진단·완화(CDM) 대시보드를 통한 보고 자동화도 추진해야 한다. 60일 안에는 취약점 관리 절차를 공통 취약점 식별자(CVE) 데이터베이스와 KEV 목록에 맞춰 정비해야 한다. 180일 안에는 조치 기한 체계를 실제 운영에 적용하고 인터넷 접근이 가능한 자산에 조직, 운영 환경, 자산 유형 같은 정보를 붙여 관리해야 한다.
CISA는 민간 기업과 다른 기관에도 유사한 조치를 권고했다. 법적 의무는 연방 민간 행정부 기관에 적용되지만, 취약점 우선순위를 실제 위험도에 맞춰 조정하는 방식은 민간에서도 참고할 수 있다는 취지다.
이번 지침의 배경에는 AI가 있다. CISA는 AI 기술 발전으로 공격자가 취약점을 찾고 악용하는 속도가 빨라질 수 있다고 봤다. 기존처럼 모든 취약점을 같은 속도로 처리하거나 심각도 점수만 보고 순서를 정하는 방식으로는 대응이 어렵다는 판단이다.
국내 보안 전문가들도 비슷한 문제를 지적해왔다. 곽진 아주대 사이버보안학과 교수는 “공격자는 AI 도구로 여러 공격 경로를 빠르게 시험할 수 있지만, 방어자는 취약점 확인과 패치, 테스트, 코드 리뷰, 승인, 배포, 배포 후 확인을 모두 거쳐야 한다”고 말했다.
윤두식 이로운앤컴퍼니 대표도 취약점 공개 이후 공격까지 걸리는 시간이 짧아지고 있다고 봤다. 윤 대표는 “취약점이 나온 뒤 이를 이용한 공격까지 10시간 이내로 줄어들었다는 분석도 있다”며 “방어자는 취약점 공개 뒤 어떤 자산이 영향을 받는지 확인하고 패치 적용 가능성과 서비스 영향을 검토해야 한다”고 했다.
윤인수 카이스트 전기및전자공학부 교수는 “취약점 탐지, 대응, 패치 과정을 AI로 보조하거나 자동화해야 한다”며 “취약점을 빨리 찾는 것만으로는 충분하지 않다. 발견한 취약점이 어떤 자산에 영향을 주는지 파악하고, 어느 취약점을 먼저 고칠지 결정하는 과정도 빨라져야 한다”고 강조했다.
전문가들이 보는 AI 시대의 취약점 관리는 패치 목록을 많이 확보하는 문제가 아니다. 인터넷에 노출된 자산을 파악하고, 실제 공격에 쓰인 취약점을 골라내고, 악용 자동화 가능성과 시스템 통제 가능성을 봐야 한다. 어떤 취약점을 먼저 막을지 판단하는 체계가 중요해지고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



