CISA Tells US Agencies to Fix Security Bugs in as Little as 3 Days Thanks to AI Threats

개요

미국 사이버보안 및 기반시설 보안청(CISA)이 AI 위협 증가에 따라 연방 민간 기관에 대해 3일 이내의 신속한 소프트웨어 보안 취약점 패치를 요구하는 새로운 지침을 발표했습니다.

주요 내용

* AI 모델의 발전은 소프트웨어 취약점 발견 속도를 높이고 악의적인 해커에 의한 악용 가능성을 증대시키고 있습니다.
* CISA의 새로운 "구속적 운영 지침(binding operational directive, BOD)"은 취약점의 긴급성 평가에 따라 4가지 기준을 적용하여 패치 완료 기한을 명시하고 있으며, 최급의 경우 3일 이내 패치를 요구합니다.
* 이 지침은 기관들이 가장 위험한 취약점을 우선적으로 해결하고 덜 시급한 취약점에는 더 많은 시간을 할애하도록 지원하는 것을 목표로 합니다.
* 긴급성 평가 기준에는 공개 노출 여부, CISA의 알려진 악용 취약점 목록(Known Exploited Vulnerabilities Catalog) 포함 여부, 공격자가 악용 단계를 자동화할 수 있는지 여부, 취약점 악용 시 공격자의 접근 권한 수준 등이 포함됩니다.
* 이 지침은 2019년 및 2021년의 기존 패치 시간 지침을 대체하며, 당시에는 긴급한 취약점에 대해 15일 또는 30일의 패치 기한이 설정되었습니다.
* AI 시대로 접어들기 전에도 이미 알려진 악용 취약점의 상당수가 공개 당일 또는 2일 이내에 악용되고 있었습니다.
* CISA는 기관들의 예산 부족 및 우선순위 경쟁 등의 현실적 제약을 고려하여 새로운 평가 기준과 지침을 개발했습니다.
* 일부 전문가들은 패치만으로는 충분하지 않으며, 근본적으로 취약점 클래스를 무효화하는 새로운 아키텍처 또는 시스템적 접근 방식이 필요하다고 주장합니다.
* CISA는 이 지침이 AI 모델의 향상된 능력에 대응하기 위한 초기 단계임을 인정하며, 더 많은 작업이 필요함을 시사합니다.

시사점

AI 기반 취약점 공격의 속도와 규모가 급증함에 따라, 연방 기관들은 보안 패치 속도를 획기적으로 단축해야 하는 과제에 직면했으며, 이는 장기적으로는 시스템 설계 단계부터의 보안 강화 필요성을 강조합니다.