행정안전부는 인공지능(AI)이 발견한 고위험 취약점에 대한 긴급 보안 패치 작업을 적극행정으로 인정하고, 이 과정에서 발생한 장애에 대해 공무원의 책임을 면제하기로 했다고 13일 밝혔다.
최근 고성능 AI '미토스'가 오픈BSD 운영체제에서 27년 동안 발견되지 않았던 취약점을 찾아내면서 AI의 보안 능력이 인간 전문가 수준을 넘어섰다는 평가가 나왔다. 이에 따라 정부 시스템에 보안 패치를 신속하게 적용하는 대응 체계 구축이 어느 때보다 중요해졌다. 하지만 그동안 정보시스템 운영자들은 보안 패치 적용 후 예상치 못한 시스템 장애가 발생할 경우 책임 소재 문제로 즉각적인 작업에 나서기 어려웠다.
대표적으로 '크라우드스트라이크' 사례처럼 보안 패치로 인한 치명적인 장애가 발생하면 담당자와 시스템 사업자가 책임을 질 수 있다는 우려가 있었다. 이에 행정안전부는 고위험 취약점에 대한 긴급 보안 패치를 적극행정으로 인정해 적극적인 작업을 독려하는 동시에, 면책 제도의 오남용을 막기 위한 기준도 함께 마련했다.
면책 대상은 CVSS 점수가 7.0 이상인 고위험 취약점에 대한 패치나 국가정보원·한국인터넷진흥원의 긴급 패치 권고 사항, 부서장이 긴급하다고 판단해 승인한 경우에만 적용된다. CVSS는 취약점의 심각도를 정량적으로 측정하는 국제 표준 지표로, 0점에서 10점까지 점수가 부여된다. 또한 패치 작업의 사전·사후 과정에서 최소 영향도 분석, 원상복구 계획 수립, 사전 테스트 수행, 사후 모니터링 등 필수적 안전 조치를 반드시 준수하도록 의무화했다.
이러한 절차를 모두 수행한 경우, 보안 패치 작업 중 발생한 장애는 면책 요건을 충족한 것으로 보아 책임을 묻지 않게 된다. 행정안전부 황규철 인공지능정부실장은 "인공지능이 사람보다 더 빠르게 취약점을 발견할 수 있는 시대가 된 만큼, 이에 맞서 얼마나 빠르게 대응하느냐가 AI 보안의 핵심"이라며 "이번 조치를 통해 정보시스템 운영자들이 시급하고 중요한 사안에 대해 신속하게 작업할 수 있는 환경이 조성됐다"고 밝혔다.
