무슨 일이 있었나
CISA는 2026년 6월 10일에 BOD 26-04 '위험에 기반한 보안 업데이트 우선순위 지정'을 발표했으며, BOD 19-02와 BOD 22-01을 대체합니다. 이 지시문은 4가지 위험 기준 중 3가지 이상을 충족하는 취약점(자산 노출, KEV 상태, 악용 자동화, 악용 후 영향)을 연방 민간 기관이 3일 내에 해결하도록 요구하며, 낮은 위험 발견사항의 다음 업그레이드 주기로의 연기를 공식적으로 허용합니다. CISA는 패치 릴리스와 활성 악용 사이의 시간 간격을 좁혀주는 AI 기반 위협 행위자 역량을 중심으로 긴급성을 명시적으로 제시합니다. 기관들은 패칭 절차를 업데이트하기 위해 60일, 완전한 구현을 위해 180일을 보유합니다.
왜 중요한가
이는 수년간 가장 중요한 연방 취약점 관리 개혁입니다: 미국 정부를 시간 기반 패칭에서 KEV 상태, EPSS 동등 자동화 신호, 자산 노출에 고정된 위험 인텔리전스 모델로 전환합니다 — 상업 기업과 중요 인프라 운영자가 사실상 업계 표준으로 채택할 가능성이 높은 모델입니다. AI 가속화된 악용을 주요 위협 동인으로 명시적으로 인정하는 것은 CISA가 포스트-Mythos 세계를 패칭 프로그램에 구조적 변화를 요구하는 새로운 정상으로 간주함을 나타냅니다.
필요한 조치
4가지 BOD 26-04 기준(자산 노출, KEV 상태, 악용 자동화, 기술적 영향)에 대해 클라이언트의 현재 취약점 관리 정책을 검토하고 현재 SLA 구조와의 차이를 파악합니다; 연방 기관은 60일 내에 패칭 절차를 업데이트해야 하지만, 상업 동료는 지금 프레임워크 채택을 시작해야 합니다.