무슨 일이 있었나
CISA는 2026년 6월 10일 '위험에 기반한 보안 업데이트 우선순위 결정'이라는 제목의 바인딩 운영 지침 26-04를 발행했으며, BOD 19-02 및 BOD 22-01을 대체했습니다. 이 지침은 모든 연방 민간 행정부(FCEB) 기관이 가장 중대한 범주의 취약점을 3일 이내에 해결하도록 의무화하고 있으며, 이는 이전 기한보다 상당히 단축된 것으로 AI 가속화된 악용에 의해 명시적으로 주도됩니다. 이 지침은 4가지 위험 기준을 수립합니다: 공개 공개 상태, KEV 나열, 공격자 자동화 가능성, 그리고 공격자가 자산에 대한 통제를 얻을 수 있는지 여부입니다. 3일 기한은 최고 위험 임계값을 충족하는 취약점에 적용됩니다.
왜 중요한가
BOD 26-04는 AI 지원 위협 가속화를 중심으로 명시적으로 구성된 바인딩 연방 보안 지침입니다. 이는 연방 패치 기한을 가장 중대한 결함에 대해 3일로 압축합니다. 이는 상용 운영자와 중요 인프라 제공자가 일치시켜야 할 압력을 받을 기준입니다. 또한 CISA의 공식적인 인정을 나타내며, AI 기반 공격자는 기계 속도로 작동하므로 모든 부문에 걸쳐 더 엄격한 기한을 정당화합니다. 이 지침은 연방 비즈니스를 유지하기 위해 연방 계약자와 공급업체가 자신의 패치 관리에 접근하는 방식에 영향을 미칩니다.
필요한 조치
FCEB 기관은 최고 위험 취약점에 대해 3일 복구 기한을 즉시 구현해야 합니다. 연방 계약자와 공급업체는 취약점 공개 및 패치 지원 SLA를 검토하여 BOD 26-04 기한과 일치하도록 해야 합니다. 상용 조직은 자신의 패치 주기를 새로운 연방 표준과 비교해야 합니다.