|
행정안전부는 행안부 소속 공무원들이 장애 발생에 대한 책임 부담 없이 정보 시스템의 고위험 취약점에 대한 개선 조치를 신속하게 할 수 있도록 적극행정으로 인정하는 면책 기준을 마련했다고 13일 밝혔다.
이번 제도 개선은 AI 기술 발달로 보안 취약점 발견 속도가 빨라지는 환경 변화에 정부 정보시스템도 신속하게 보안패치를 적용할 수 있는 대응체계가 필요해진 데 따른 것이다.
최근 고성능 AI '미토스'가 '보안의 정석'으로 불리는 오픈BSD 운영체제에서 27년간 발견되지 않았던 취약점을 찾아내는 등 AI가 사람보다 빠르게 보안 취약점을 발견하는 시대가 되면서 신속한 보안 패치 설치의 중요성도 커지고 있다.
실제 글로벌 보안업체 크라우드스트라이크(CrowdStrike)의 보안 패치와 마이크로소프트 윈도 운영체제 간 충돌로 전 세계적인 시스템 장애가 발생한 사례도 있었다.
이에 행안부는 고위험 취약점에 대한 긴급 보안 패치 작업을 적극행정으로 인정해 적극적인 보안 패치 작업을 독려하는 동시에, 면책 제도의 오남용을 예방하기 위한 기준도 함께 마련했다.
적용 대상은 국제 표준 취약점 평가 체계인 CVSS에서 7.0점 이상으로 평가된 고위험 취약점, 국가정보원 또는 한국인터넷진흥원의 긴급 패치 권고 사항, 부서장이 긴급성을 인정한 경우로 한정된다. CVSS는 취약점의 심각도를 정량적으로 측정하기 위한 국제 표준 지표로, 공격의 난이도, 시스템 영향 등을 종합해 0점에서 10점까지 점수를 부여한다.
다만 면책을 받기 위해서는 영향도 분석과 원상복구 계획 수립, 사전 테스트, 사후 모니터링 등 필수 안전조치를 의무적으로 이행해야 한다. 이 같은 절차를 준수한 경우에 긴급 보안 패치 과정에서 발생한 장애는 공무원에게 책임을 묻지 않는다.
황규철 행안부 인공지능정부실장은 "인공지능(AI)이 사람보다 더 빠르게 취약점을 발견할 수 있는 시대가 된 만큼, 이에 맞서 얼마나 빠르게 대응하느냐가 인공지능(AI) 보안의 핵심"이라며, "이번 조치를 통해 행정안전부의 정보시스템 운영자들이 시급하고 중요한 사안에 대해서는 신속하게 작업을 할 수 있는 환경이 조성됐다"고 말했다.










