공공 보안패치 장애, 요건 맞으면 공무원 면책
행정안전부가 고위험 보안 취약점 긴급 패치 과정의 장애를 적극행정 면책 대상으로 인정하기로 했다. CVSS 7.0 이상 취약점, 국가정보원·한국인터넷진흥원(KISA) 권고 사안 등이 대상이다.

행정안전부가 공공 정보시스템의 긴급 보안 패치 과정에서 장애가 생겨도 일정 요건을 충족하면 공무원 책임을 면제하는 기준을 마련했다. 인공지능(AI)이 고위험 보안 취약점을 빠르게 찾아내는 환경에서, 운영자가 장애 책임 부담 때문에 패치 적용을 늦추지 않도록 적극행정 면책 기준을 구체화한 조치다.
행정안전부는 적극행정위원회 의견 제시 절차를 거쳐 정보시스템에서 고위험 취약점이 확인되고 긴급 보안 패치가 필요한 경우, 정해진 조건을 지키면 적극행정으로 인정한다고 의결했다. 보안 취약점이 발견돼도 패치 이후 예상하지 못한 서비스 장애가 생길 수 있고, 그 책임 문제가 공공 정보시스템 운영자의 신속한 조치에 부담으로 작용해 왔다.
면책 대상은 국제 취약점 평가 기준인 CVSS(Common Vulnerability Scoring system) 점수 7.0 이상 고위험 취약점 패치 작업으로 한정된다. 국가정보원 또는 한국인터넷진흥원(KISA)이 긴급 대응을 권고한 사안, 부서장이 긴급성이 있다고 판단해 승인한 경우도 포함된다.
운영자는 패치 적용 전 영향도 분석, 원상복구 계획 수립, 사전 테스트를 해야 한다. 패치 적용 뒤에도 모니터링 등 필수 안전조치를 이행해야 한다. 이 절차를 지킨 상태에서 장애가 발생하면 적극행정 면책 기준을 충족한 것으로 인정된다.
행정안전부는 AI가 보안 분야에서 인간 전문가 수준을 넘는 성과를 보이면서 취약점 탐지 속도와 범위가 확대되고 있다고 설명했다. 고성능 AI 시스템이 오픈BSD 운영체제에서 수십 년간 발견되지 않았던 취약점을 찾아낸 사례도 언급됐다.
황규철 행정안전부 인공지능정부실장은 “AI가 사람보다 더 빠르게 취약점을 찾아내는 시대에는 대응 속도가 곧 보안 경쟁력”이라며 “이번 제도 개선으로 정보시스템 운영자들이 시급한 보안 위협에 대해 보다 신속하고 적극적으로 대응할 수 있을 것으로 기대한다”고 말했다.



