최고 위험 등급 취약점 3일 내 조치... 민간 연방 기관 대상 의무화 지침 발표
미토스 등 첨단 AI 모델 활용한 자동화 사이버 공격 방어 목적

[보안뉴스 조재호 기자] 미국 사이버보안및인프라보안국(CISA)이 해커들의 인공지능 악용에 대응하기 위해 정부 네트워크의 중대 디지털 취약점 조치 시한을 3일로 대폭 단축했다.


현지시간 10일 로이터 등 외신에 따르면, CISA는 새로운 지침을 통해 취약한 소프트웨어나 장비를 운용하는 민간 연방 기관들이 위협의 심각도에 따라 최대 3일 이내에 이를 수정·비활성화하거나 인터넷망에서 완전히 분리하도록 의무화했다.

앤트로픽 미토스 같은 첨단 AI 모델이 사이버 공격자들의 취약점 악용 능력을 극대화하고 있다는 보안 전문가들의 우려를 반영했다. AI를 통해 대규모 자동화 공격이 가능해지면서 보안 현장에서는 취약점이 발견되는 즉시 방어 조치를 취해야 한다는 압박에 직면했다.

크리스 부테라 사이버보안및인프라보안국 사이버보안 부문장 권한대행은 “보안 담당자들이 자동화된 대규모 공격에 노출된 시스템을 패치하는 데 몇 주씩 지체할 여유가 없어졌다”며 “이번 지침은 새롭게 등장하는 AI 모델의 향상된 기능에 대응하기 위한 첫걸음”이라고 말했다.

다만, 해커나 사이버 범죄자가 자동화된 공격으로 악용하기 어렵거나 외부 인터넷망에 노출되지 않은 인프라 취약점 등 상대적으로 위험도가 낮은 경우엔 더 긴 유예 기간을 준다. 이번 지침의 부록에 따르면 대다수 취약점은 2주 안에 해결하도록 규정했으며, 심각성이 낮은 취약점엔 최대 2개월까지 조치 기한을 둬 실무적 유연성을 보장했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>