CISA, 정부기관에 3일 내 주요 취약점 패치 지시
미국 사이버보안 및 인프라 보안청(CISA)은 연방 민간 행정 부서(FCEB) 기관을 위한 보안 업데이트를 우선시하는 새로운 구속력 있는 운영 지시서 26‑04를 발표했습니다.
이 지시서는 공공 부문을 대상으로 하는 사이버 공격 위협을 줄이기 위해, 기관들이 고위험 취약점을 가속화된 기간 내에 해결하도록 요구합니다. 경우에 따라서는 단 3일 만에 해결해야 합니다.
CISA는 BOD 20‑04가 2019년과 2021년에 각각 도입된 이전 지시서 BOD 19‑02와 BOD 22‑01을 “대체하고 폐지한다”고 밝혔습니다.
기관은 패치 우선순위가 다음 네 가지 핵심 고려사항에 기반한다고 말합니다:
- 자산이 온라인에 공개되어 있는가
- 해당 취약점이 CISA의 Known Exploited Vulnerabilities (KEV) 카탈로그에 등재되어 있는가
- 대규모 공격을 위해 자동화된 악용이 가능한가
- 악용을 통해 공격자가 시스템을 부분적으로 혹은 완전히 장악할 수 있는가
이러한 요소에 따라 기관은 보안 취약점을 해결하기 위한 마감일을 부여받으며, 가장 짧은 기간은 3일입니다.
자동화된 악용이 불가능하거나 부분적인 제어만 제공하는 덜 긴급한 상황에서는 기간이 2주로 설정됩니다.
취약점 수정 일정
출처: CISA
범위 및 구현
이 지시서는 미국 연방 민간 행정 부서(FCEB) 기관과 그들이 운영하는 정보 시스템에만 적용됩니다.
이는 정부 기관 및 부서를 포함하지만, 미국 국방부가 운영하는 일부 군사 시스템, 민간 기업, 정보기관 시스템 및 계약업체에는 적용되지 않습니다.
이전 지시서와 마찬가지로, 이번 프레임워크는 사이버 보안 산업 전반에 영향을 미치고 보다 넓은 패치 우선순위 신호를 제공할 것으로 기대됩니다.
지시서는 모든 온프레미스 연방 시스템, 제3자 호스팅 시스템, 그리고 FedRAMP 및 비‑FedRAMP 클라우드 환경에 적용됩니다.
현재 BOD 26‑04 지시서를 적용받는 기관은 취약점 관리 정책을 업데이트하고, 자산 목록을 최신화하며, KEV 상태 보고를 자동화해야 합니다.
취약점 관리 프로세스는 60일 이내에 CVE와 KEV 데이터를 기반으로 수정 결정을 내릴 수 있도록 업데이트되어야 합니다.
180일 이내에 모든 기관은 새로운 수정 일정에 따라야 하며, 상세한 자산 메타데이터를 지속적으로 모니터링하고 보고해야 합니다.
보안 팀은 성공적인 공격의 54%를 기록하지만, 알림을 받는 경우는 14%에 불과합니다. 나머지는 환경을 눈치채지 못하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.