AI 발견 고위험 취약점에 대한 신속한 보안 패치 적용을 「적극행정」으로 인정, 면책 적용

행정안전부는 인공지능(AI)이 발견한 고위험 취약점에 대한 긴급 보안 패치 작업을 적극행정으로 인정해 공무원의 책임을 면제하기로 했습니다. 이는 AI 시대에 사이버 보안 위협이 빠르게 증가하는 상황에서 정보시스템 운영자들이 책임 부담 없이 신속하게 대응할 수 있도록 하기 위한 조치입니다.

행정안전부는 최근 적극행정위원회 의견 제시를 통해 정보시스템에서 고위험 취약점이 발견되어 긴급 보안 패치 작업을 할 때 일정한 기준을 따른 경우 적극행정으로 인정해 면책 요건을 충족한 것으로 의결했습니다. 보안 패치는 운영체제(OS)나 응용프로그램에 내재된 보안 취약점을 보완하는 소프트웨어로, 취약점을 악용하는 악성코드 감염 및 사이버 공격을 방지할 수 있습니다.

최근 고성능 AI '미토스'가 오픈BSD 운영체제에서 27년간 발견되지 않았던 취약점을 찾아낸 사례는 AI의 능력이 인간 보안 전문가 수준을 넘어섰음을 보여줍니다. 이처럼 AI가 취약점을 발견하는 속도가 빨라짐에 따라 이에 대응하기 위한 긴급 보안 패치도 대량으로 신속히 설치해야 할 필요성이 커지고 있습니다. 따라서 정부 시스템에 보안 패치를 제때 적용해 대응 체계를 구축하는 것이 어느 때보다 중요해졌습니다.

그러나 그동안 정보시스템 운영자들은 보안 패치 적용 후 예상치 못한 시스템 장애와 그에 따른 책임 문제 때문에 즉각적인 패치 작업에 주저해왔습니다. 특히 '크라우드스트라이크' 사례처럼 보안 패치로 인한 치명적인 장애가 발생할 경우 담당자와 시스템 사업자가 책임을 져야 하는 상황도 고려해야 했습니다.

이에 행정안전부는 고위험 취약점에 대한 긴급 보안 패치 작업을 적극행정으로 인정하는 동시에 면책 제도의 오남용을 예방하기 위한 기준도 마련했습니다. 면책 대상은 CVSS 점수가 7.0 이상인 고위험 취약점 패치, 국정원이나 KISA의 긴급 패치 권고 사항, 또는 부서장이 긴급하다고 판단해 승인한 경우에만 적용됩니다. CVSS는 취약점의 심각도를 0점에서 10점까지 정량적으로 측정하는 국제 표준 지표입니다.

또한 패치 작업의 사전·사후 과정에서 최소 영향도 분석, 원상복구 계획 수립, 사전 테스트 수행, 사후 모니터링 등 필수적 안전 조치를 반드시 준수해야 합니다. 이러한 절차를 수행한 경우 보안 패치 작업 중 발생한 장애는 면책 요건을 충족한 것으로 보아 책임을 묻지 않습니다.

행정안전부 황규철 인공지능정부실장은 "AI가 사람보다 더 빠르게 취약점을 발견할 수 있는 시대가 된 만큼, 이에 맞서 얼마나 빠르게 대응하느냐가 AI 보안의 핵심"이라며 "이번 조치로 정보시스템 운영자들이 시급하고 중요한 사안에 대해 신속하게 작업할 수 있는 환경이 조성됐다"고 밝혔습니다.



출처: 대한민국 정책브리핑 [원문보기]

⚖️ 본 콘텐츠는 AI가 재구성한 것으로, 저작권은 원 저작자(대한민국 정책브리핑)에게 있습니다. 저작권자 요청 시 즉시 삭제됩니다.