AI가 찾은 보안 취약점 바로 패치해도 공무원 책임 묻지 않는다...행안부 기준 마련

서광석 기자

gosiweek@gmail.com | 2026-07-13 15:22:20

고위험 취약점 긴급 보안패치 적극행정 인정…책임 부담 줄여 신속 대응
CVSS 7.0 이상·국정원·KISA 권고 등 대상…사전 테스트·모니터링은 의무
AI가 27년 묵은 취약점도 찾아내는 시대…보안 대응체계 전환

 

 

인공지능(AI)이 찾아낸 고위험 보안 취약점에 대해 공무원이 신속하게 보안 패치를 적용하다 시스템 장애가 발생하더라도 일정한 안전 절차를 지켰다면 책임을 묻지 않는 제도가 도입된다. AI의 취약점 탐지 속도가 빨라지면서 공공 정보시스템도 보안 대응 속도를 높이기 위한 제도 정비에 나선 것이다.

행정안전부는 정보시스템 운영자가 긴급 보안패치를 적극적으로 시행할 수 있도록 관련 업무를 적극행정으로 인정하고 면책 기준을 마련했다고 14일 밝혔다.

그동안 정보시스템 운영자는 보안 취약점이 발견돼도 패치 적용 과정에서 예상치 못한 장애가 발생할 경우 책임을 질 수 있다는 부담 때문에 즉각적인 조치를 망설이는 사례가 있었다.

행안부는 최근 적극행정위원회 의견 제시를 통해 일정 기준을 충족한 긴급 보안패치 작업은 적극행정으로 인정하고 면책 요건을 갖춘 것으로 의결했다. 이에 따라 공무원들은 책임 부담을 덜고 신속하게 보안 조치를 할 수 있게 됐다.

면책 대상은 국제 표준 취약점 평가체계(CVSS) 기준 7.0점 이상 고위험 취약점이거나 국가정보원 또는 한국인터넷진흥원(KISA)이 긴급 패치를 권고한 경우, 또는 부서장이 긴급성을 인정한 보안패치 작업이다.

다만 면책이 자동으로 적용되는 것은 아니다. 정보시스템 운영자는 패치 전 영향도 분석과 원상복구 계획 수립, 사전 테스트, 패치 이후 모니터링 등 필수 안전 절차를 모두 이행해야 한다. 이러한 기준을 충족한 경우에만 패치 과정에서 발생한 장애에 대해 책임을 면제받는다.

행정안전부는 AI 시대에는 보안 대응 방식도 변화해야 한다고 밝혔다. 최근 고성능 AI '미토스'가 보안성이 높은 것으로 알려진 오픈BSD(OpenBSD) 운영체제에서 27년간 발견되지 않았던 취약점을 찾아낸 사례처럼 AI의 취약점 탐지 능력이 크게 향상된 만큼 보안 패치와 대응도 그에 걸맞게 신속하게 이뤄져야 한다고 설명했다.

또 지난해 전 세계 정보시스템 장애를 일으킨 크라우드스트라이크(CrowdStrike) 보안패치 사례처럼 패치 자체가 대규모 장애를 유발할 가능성도 있는 만큼, 신속성과 안전성을 함께 확보하는 기준을 마련했다고 행안부는 덧붙였다.

황규철 행정안전부 인공지능정부실장은 "AI가 사람보다 더 빠르게 취약점을 발견하는 시대에는 얼마나 신속하게 대응하느냐가 보안의 핵심"이라며 "정보시스템 운영자들이 시급한 보안 사안에 보다 적극적으로 대응할 수 있는 환경을 만들겠다"고 말했다.

 

피앤피뉴스 / 서광석 기자 gosiweek@gmail.com 

[ⓒ 피앤피뉴스. 무단전재-재배포 금지]

WEEKLY HOT