무슨 일이 있었나
CISA는 2026년 6월 10일 BOD 26-04 '위험 기반 보안 업데이트 우선순위 지정'을 발행했으며, 이는 BOD 19-02와 BOD 22-01을 대체한다. 지시문은 연방 민간 기관에 자산 노출, KEV 상태, 익스플로잇 자동화, 익스플로잇 후 영향 중 3개 이상의 위험 기준을 충족하는 취약점을 3일 내에 해결할 것을 요구하며, 동시에 저위험 결과의 다음 업그레이드 사이클로의 연기를 공식적으로 허용한다. CISA는 패치 배포와 활성 익스플로잇 간의 시간 간격을 좁히는 AI 기반 위협 행위자 역량을 중심으로 긴급성을 명시적으로 표시한다. 기관은 패칭 절차 업데이트를 위해 60일, 완전한 구현을 위해 180일의 시간을 가진다.
왜 중요한가
이것은 수년 만에 가장 중요한 연방 취약점 관리 개혁이다: 미국 정부를 시간 기반 패칭에서 KEV 상태, EPSS 동등 자동화 신호, 자산 노출에 기반한 위험 인텔리전스 모델로 전환한다 — 이 모델은 상용 기업과 중요 기반시설 운영자들이 실질적 업계 표준으로 채택할 가능성이 높다. AI 가속화 익스플로잇을 주요 위협 드라이버로 명시적으로 인정한 것은 CISA가 포스트 Mythos 세계를 패칭 프로그램에 구조적 변화를 요구하는 새로운 표준으로 간주한다는 것을 의미한다.
필요한 조치
클라이언트의 현재 취약점 관리 정책을 BOD 26-04의 4가지 기준(자산 노출, KEV 상태, 익스플로잇 자동화, 기술적 영향)과 대조하고 현재의 SLA 구조와의 차이를 파악하십시오; 연방 기관은 60일 내에 패칭 절차를 업데이트해야 하지만, 상용 동료사들은 지금 프레임워크 채택을 시작해야 한다.