행정안전부



[PEDIEN] 인공지능이 찾아낸 고위험 정보 시스템 취약점에 대해 신속하게 보안 패치를 적용하는 행위에 대해 공무원의 책임을 면제하는 제도가 마련됐다. 행정안전부는 앞으로 정보 시스템 운영자들이 예상치 못한 장애 발생에 대한 책임 부담을 덜고, AI 시대에 걸맞은 빠른 보안 대응에 나설 수 있도록 제도를 개선했다고 밝혔다.

최근 AI '미토스'가 오픈BSD 운영체제에서 27년 만에 처음 발견한 취약점 사례는 AI의 보안 전문가 수준을 넘어서는 능력을 증명했다. AI의 취약점 발견 속도가 빨라지면서, 이에 대응하는 긴급 보안 패치 역시 대량으로 신속하게 설치해야 하는 상황에 직면했다. 정부 시스템의 보안 패치 적시 적용 체계 구축이 그 어느 때보다 중요해진 것이다.

하지만 기존에는 보안 패치 적용 후 발생할 수 있는 시스템 장애와 책임 소재 문제로 인해 담당자들이 신속한 패치 작업에 주저하는 경향이 있었다. '크라우드스트라이크' 사례처럼 보안 패치로 인한 치명적인 장애가 발생하면 담당자 및 시스템 사업자가 책임을 져야 하는 경우도 있었다.

이에 행정안전부는 고위험 취약점에 대한 긴급 보안 패치 작업을 '적극행정'으로 인정하는 한편, 면책 제도의 오남용을 막기 위한 기준도 명확히 했다. 면책 대상은 CVSS 점수 7.0 이상인 고위험 취약점, 국정원·KISA의 긴급 패치 권고, 또는 부서장의 긴급 승인이 있었던 경우에만 적용된다.

또한, 패치 작업 전 최소 영향도 분석, 원상복구 계획 수립, 사전 테스트 수행, 사후 모니터링 등 필수적인 안전 조치를 반드시 준수하도록 의무화했다. 이러한 절차를 이행한 경우, 보안 패치 작업 중 발생한 장애에 대해서는 책임을 묻지 않게 된다.

행정안전부 황규철 인공지능정부실장은 “AI가 사람보다 빠르게 취약점을 발견하는 시대에, 얼마나 빠르게 대응하느냐가 AI 보안의 핵심”이라며 “이번 조치를 통해 정보 시스템 운영자들이 시급하고 중요한 사안에 대해 신속하게 작업을 할 수 있는 환경이 조성됐다”고 강조했다.