공공시스템 긴급 보안패치 중 장애 발생해도 면책…행안부, 적극행정 인정

[지디넷코리아]행정안전부가 인공지능(AI)이 발견한 고위험 보안 취약점에 대한 신속한 대응을 장려하기 위해 긴급 보안 패치 과정에서 발생한 장애에 대해 공무원 책임을 면제하는 제도를 마련했다.AI 발전으로 취약점 발견 속도가 빨라지는 가운데 공공 정보시스템 운영자들이 장애 발생에 대한 부담 없이 즉각적인 보안 조치를 수행할 수 있도록 적극행정 면책 기준을 명확히 한 것이다.행정안전부는 최근 적극행정위원회 의견 제시 절차를 통해 정보시스템에서 고위험 취약점이 확인돼 긴급 보안 패치를 수행하는 경우 일정한 요건을 충족하면 이를 적극행정으로 인정하고 면책 요건을 충족한 것으로 의결했다고 13일 밝혔다.그동안 정보시스템 운영자는 보안 취약점이 발견되더라도 패치 적용 이후 예상치 못한 서비스 장애가 발생할 가능성과 이에 따른 책임 문제 때문에 신속한 조치에 부담을 느껴왔다.특히 지난해 전 세계적인 IT 장애를 초래한 크라우드스트라이크 사례처럼 보안 업데이트 과정에서 운영체제와의 충돌이 발생할 경우 대규모 서비스 중단으로 이어질 수 있어 공공기관에서도 패치 적용에 신중할 수밖에 없었다.하지만 최근 AI가 보안 분야에서 인간 전문가 수준을 뛰어넘는 성과를 보이면서 상황이 달라지고 있다.
실제로 고성능 AI 시스템이 오픈BSD 운영체제에서 수십 년간 발견되지 않았던 취약점을 찾아내는 등 취약점 탐지 속도와 범위가 급격히 확대되고 있다.
이에 따라 발견된 위협을 신속하게 차단하기 위한 패치 적용 체계 역시 기존보다 훨씬 빠르게 운영돼야 한다는 요구가 커지고 있다.행정안전부는 이러한 변화에 대응하기 위해 고위험 취약점에 대한 긴급 보안 패치를 적극행정으로 인정하는 대신, 면책 제도가 무분별하게 적용되지 않도록 구체적인 기준도 함께 마련했다.면책 적용 대상은 국제 취약점 평가 기준인 CVSS(Common Vulnerability Scoring system) 점수 7.0 이상인 고위험 취약점에 대한 패치 작업, 국가정보원 또는 한국인터넷진흥원(KISA)이 긴급 대응을 권고한 사안, 또는 부서장이 긴급성이 있다고 판단해 승인한 경우로 한정된다.또한 시스템 운영자는 패치 적용 전 영향도 분석과 원상복구 계획 수립, 사전 테스트를 수행해야 하며, 적용 이후에도 모니터링 등 필수 안전조치를 이행해야 한다.
이러한 절차를 준수한 상태에서 장애가 발생할 경우에는 적극행정 면책 기준을 충족한 것으로 인정받게 된다.행정안전부는 이번 제도 개선이 AI 시대에 요구되는 초고속 보안 대응 체계를 구축하는 계기가 될 것으로 기대하고 있다.
취약점 발견부터 대응까지 걸리는 시간을 최소화해 공공 시스템의 보안 수준을 높이고, 담당자들이 책임 부담보다 보안 위험 해소에 집중할 수 있는 환경을 조성하겠다는 취지다.황규철 행정안전부 인공지능정부실장은 "AI가 사람보다 더 빠르게 취약점을 찾아내는 시대에는 대응 속도가 곧 보안 경쟁력"이라며 "이번 제도 개선으로 정보시스템 운영자들이 시급한 보안 위협에 대해 보다 신속하고 적극적으로 대응할 수 있을 것으로 기대한다"고 말했다. ...
이 뉴스, 어떠셨어요?
탭 한 번으로 반응 · 로그인 불필요