민관 집단지성으로 해킹 막는다... 美 CISA 실전형 제보 플랫폼 가동

외부 연구원과 기업 파트너가 직접 제보할 수 있는 새로운 보안 경로 신설
AI 동원해 무차별 취약점 찾아내는 해커 공격 속도에 대응한 조치

[보안뉴스 김형근 기자] 미국 연방 사이버보안 및 인프라보안국(CISA)이 정부 외부의 민간 보안 연구원과 기업 파트너들이 해킹 취약점을 직접 제보할 수 있는 새로운 보안 경로를 개방했다.

이번 조치는 해커들이 실제로 악용 중인 보안 허점을 모아둔 핵심 무기인 ‘악용된 것으로 알려진 취약점’(KEV) 목록에 민간 제보를 신속하게 추가하기 위한 유연한 전략이다. 전 세계의 보안 엔지니어와 침해사고 대응팀은 CISA 추천 양식이나 이메일을 통해 공격 정황을 CISA에 제보할 수 있다.

KEV는 해커가 침투한 소프트웨어를 보통 3주 이내에 패치하도록 강제하는 강력한 행정 명령의 기준선이다. 민간에서도 널리 쓰이는 가이드라인으로 KEV에 등록된 취약점은 일반 취약점보다 3.5배 빠른 속도로 패치된다.

로버트 코스텔로 前 CISA 최고정보책임자(CIO)는 이번 실전형 제보 플랫폼의 가동을 높이 평가하며 민간 연구 커뮤니티의 집단지성을 연방 전산망에 투입해 보안 생태계 전체의 방어 시스템을 재정비한 최적의 전술이라고 진단했다.

한편, CISA는 이달 초 패치 강제 기한을 기존 3주에서 3일로 대폭 단축하는 방안을 검토하고 있는 것으로 알려졌다. 최근 해커들이 AI를 악용해 무차별적으로 취약점을 찾아내며 공격 속도가 비약적으로 증가해 민관 합동 방어선을 구축하는 것이 시급한 과제로 떠올랐기 때문이다.