미 CISA, 최고위험 취약점 패치 기한 3일로 단축
미국 CISA가 새 운영 지침 'BOD 26-04'를 발령해 최고위험 취약점 패치 기한을 14일에서 3일로 줄였다. AI로 빨라진 공격 속도에 맞춘 조치로, 저위험 취약점은 연기를 허용하는 위험 기반 체계다.
미국 사이버보안·인프라보안국(CISA)이 6월 10일 구속력 있는 운영 지침인 'BOD 26-04'를 발령했다. 이에 따라 미국 연방 민간 기관들은 발견된 최고위험 취약점에 대해 사흘(3일) 안에 패치를 적용하거나 시스템을 차단해야 한다. 기존에 적용되던 조치 기한은 14일이었다.
단순히 조치 시한만 단축된 것은 아니다. CISA는 AI 사이버 위협이 고도화되면서 취약점 발견부터 실제 공격 무기화까지 걸리는 시간이 급격히 줄어들고 있다고 분석했다. 패치 배포와 실제 공격 개시 사이에 존재하던 방어 기간이 사라짐에 따라, 연방정부의 취약점 대응 체계를 새로운 시간표에 맞춰 전면 재구축하겠다는 취지다.
위험 등급을 가르는 4대 기준
새로운 프레임워크의 핵심은 위험도 기반의 차등 관리다. CISA는 취약점을 다음 4가지 기준으로 분류한다. 자산의 인터넷 노출 여부, 실제 악용 정황이 확인돼 '알려진 악용 취약점(KEV)' 목록에 등재되었는지 여부, 공격 자동화 가능 여부, 공격 성공 시 시스템 통제권 장악 여부다.
네 가지 기준을 모두 충족하는 최고위험 취약점은 사흘 안에 패치를 마쳐야 한다. 아울러 패치 적용 전 시스템 침해 여부를 점검하는 포렌식 분석도 함께 이뤄진다. 이미 내부망을 선점한 공격자는 패치 설치만으로 밀어낼 수 없기 때문이다. 반면 위험도가 낮은 취약점은 정기 패치 주기나 다음 시스템 업그레이드까지 조치를 유예하는 것도 가능하다.
이번 지침은 인터넷 노출 시스템을 다루던 기존 'BOD 19-02'와 KEV 대응을 규정한 'BOD 22-01'을 하나로 통합한 결과다. 이에 따라 각 연방 기관은 취약점 관리 정책의 즉각적인 갱신을 요구받는다. 아울러 60일 이내에 관련 절차를 정비하고, 180일이 경과하는 2026년 12월 7일까지 새로운 마감 시한을 업무 전반에 걸쳐 준수해야 한다.
'방어자에게 몇 주의 시간은 없다'…AI 사이버 위협이 당긴 공격 시계
이와 같이 단축된 마감 시한의 근거로 CISA는 통계 자료를 제시하며 조치의 시급성을 강조했다. CISA가 지침과 함께 게재한 블로그 글 'Patch Smarter, Not Harder'에 따르면, 지난 2025년 한 해 동안 KEV 카탈로그에 등재된 취약점을 완전히 패치한 기관은 26%에 머물렀다. 이는 전년도(38%)보다 오히려 하락한 수치며, 완전 조치까지 걸린 기간의 중앙값은 43일로 늘어났다.
반면 공격자들의 대응 속도는 한층 빨라졌다. 보안 위협 인텔리전스 기업 벌른체크(VulnCheck)의 집계 결과, 2025년 기준 KEV급 취약점의 29%가 보안 취약점 번호(CVE)가 공식 공개된 당일 혹은 그 이전에 실제 공격에 노출된 것으로 드러났다. 크리스 부테라 CISA 사이버보안 수석 부국장 대행은 자동화된 대량 공격 위험이 있는 시스템을 두고 방어자가 몇 주씩 대기할 여유는 없다고 경고했다.
이번 제도 개편은 이미 예견된 수순이다. 로이터 통신은 지난 5월 CISA가 패치 기한을 72시간으로 단축하는 방안을 조율 중이라고 전한 바 있다. 당시에 이미 앤트로픽의 '클로드 미토스'처럼 고도로 발전한 AI 모델의 등장이 그 배경으로 거론됐다. 지난주 도널드 트럼프 미국 대통령이 서명한 AI 행정명령 역시 연방 시스템 보안 강화를 촉구하며 이번 지침을 예고한 상태다.
3일 패치 대상은 1% 미만…효율적 자원 집중에 초점
새로운 행정명령을 등에 업었지만, 모든 연방 기관의 전체 패치 속도가 일괄적으로 빨라지는 것은 아니다. CISA가 한 대형 민간 기관을 표본 삼아 분석한 결과, 3일 이내에 해결해야 하는 취약점은 전체의 약 1%에 불과했다. 반면 60%가 넘는 취약점은 다음 시스템 업그레이드 시점까지 조치를 미룰 수 있었다. 가장 시급한 1%에 자원을 집중하고 상대적으로 덜 위험한 요소는 유예하도록 돕는 구조다.
일부 전문가들 사이에서는 회의적인 시각도 존재한다. 100여 개가 넘는 정부 기관들이 일률적으로 사흘의 시한을 완수하기는 쉽지 않으며, 패치 적용 전의 안정성을 검증하기에 72시간은 지나치게 짧다는 지적이다. 이에 대해 CISA는 이미 관계 기관들과 조율을 마쳤기에 실현 가능한 수준이라며, 24시간 패치 의무화와 같은 극단적인 대안에 비해 훨씬 현실적이고 균형 잡힌 정책이라는 입장을 고수했다.
이번 지침의 구속력은 연방 민간 기관에만 적용된다. 하지만 CISA가 민간 기업에도 동일한 위험 기반 원칙을 도입할 것을 적극 권고하고 있어 파급 효과가 클 전망이다. AI 사이버 위협이 일상이 된 시대에, 민간을 포함한 시장 전체의 취약점 패치 표준 역시 이번 지침을 따라 재편될 가능성이 크다.
- CISA - CISA Issues New Directive Improving How Federal Agencies Prioritize the Mitigation of Cyber Vulnerabilities
- CISA - Patch Smarter, Not Harder
- Reuters - US shortens cyber fix window to three days as AI threats rise
- CyberScoop - CISA directive orders agencies to prioritize vulnerability patching in a new way
- Cybersecurity Dive - CISA directive gives agencies 3 days to fix highest-risk vulnerabilities