- AI가 발견한 고위험 취약점의 적시 조치를 위해, 최소 안전 조치 준수한 경우 긴급 패치 중 발생한 장애에 대해 공무원 책임 면제
행정안전부(장관 윤호중)는 행정안전부 소속 공무원들이 장애 발생에 대한 책임 부담 없이 정보시스템의 고위험 취약점에 대한 개선 조치를 신속하게 할 수 있도록 제도를 개선했다고 밝혔다.
행정안전부는 최근 개최된 적극행정위원회 의견 제시* 를 통해, 정보시스템에 고위험 취약점이 발견되어 긴급 보안패치** 작업 시, 일정한 기준을 따른 경우에는 적극행정으로 인정하여 면책 요건을 충족한 것으로 의결하였다.
* 적극행정위원회 의견 제시: 공무원이 인허가, 등록 및 신고 등과 관련한 규제나 불명확한 법령 등으로 인해 업무를 적극적으로 추진하기 곤란하여 위원회에 업무처리 방향 등에 대한 의견을 요청
** 운영체제(OS)나 응용프로그램에 내재된 보안 취약점을 보완하는 소프트웨어로, 취약점을 악용하는 악성코드 감염 및 사이버공격을 방지할 수 있음
>> 인공지능(AI) 시대, 초고속 보안 패치 대응 체계의 필요성
최근 고성능 인공지능(AI) '미토스'가 '보안의 정석'이라 불리는 오픈BSD(OpenBSD) 운영체제에서 27년 동안 발견되지 않았던 취약점을 찾아낸 사례는, 인공지능(AI)의 능력이 이미 인간 보안 전문가 수준을 넘어섰음을 명확히 보여준다. 이와 같이 인공지능(AI)이 취약점을 발견하는 속도가 획기적으로 빨라짐에 따라, 이에 대응하기 위한 긴급 보안 패치 역시 대량으로 만들어지고 신속하게 설치가 필요하게 될 것으로 예상된다. 따라서, 정부 시스템에 보안 패치를 제때 신속하게 적용해 대응 체계를 구축하는 것이 어느 때보다 중요해진 상황이다.
하지만 이와 같은 상황에도 그동안 정보시스템 운영자들은 보안 패치를 적용한 이후에 예상치 못하게 발생할 수 있는 시스템 장애와 그에 따른 책임 소재 문제 때문에 즉각적인 패치 작업에 착수하는 것을 주저해왔다. 대표적으로 '크라우드스트라이크*' 사례처럼 보안 패치로 인한 치명적인 장애가 발생할 경우 지금까지 담당자와 시스템 사업자들은 시스템 장애에 대한 책임을 묻게 되는 경우도 고려해야 했다.
* 크라우드스트라이크(CrowdStrike)의 보안 소프트웨어 패치와 MS 윈도우 운영체제 간의 충돌로 인해, 해당 패치가 적용된 시스템에서 블루스크린(BSOD) 오류가 발생하며 전 세계적 시스템 마비로 이어짐
>> 안전 조치를 전제로 한 면책 기준 수립 및 민간 기업 부담 완화
이에, 행정안전부는 고위험 취약점에 대한 긴급 보안 패치 작업을 적극행정으로 인정해 적극적인 보안 패치 작업을 독려하는 동시에, 면책 제도의 오남용을 예방하기 위한 기준도 함께 마련했다. 우선, 면책 대상은 CVSS* 점수가 7.0 이상인 고위험 취약점에 대한 패치나 국정원·KISA의 긴급 패치 권고 사항, 부서장이 긴급하다고 판단하여 승인한 경우에만 적용된다.
* CVSS(Common Vulnerability Scoring System): 취약점의 심각도를 정량적으로 측정하기 위한 국제 표준 지표로, 공격의 난이도, 시스템 영향 등을 종합하여 0점에서 10점까지 점수를 부여함.
아울러, 패치 작업의 사전·사후 과정에서 최소 영향도 분석, 원상복구 계획 수립, 사전 테스트 수행, 사후 모니터링 등 필수적 안전 조치를 반드시 준수하도록 의무화했다. 이러한 절차를 수행한 경우, 보안 패치 작업 중 발생한 장애는 면책 요건을 충족한 것으로 보아 책임을 묻지 않게 된다.
행정안전부 황규철 인공지능정부실장은 "인공지능(AI)이 사람보다 더 빠르게 취약점을 발견할 수 있는 시대가 된 만큼, 이에 맞서 얼마나 빠르게 대응하느냐가 인공지능(AI) 보안의 핵심"이라며, "이번 조치를 통해 행정안전부의 정보시스템 운영자들이 시급하고 중요한 사안에 대해서는 신속하게 작업을 할 수 있는 환경이 조성됐다"라고 밝혔다.
*담당자: 디지털보안정책과 김유진(044-205-2745)








































