무슨 일이 있었나
CISA는 2026년 6월 10일에 운영 지시문 26-04 '위험에 기반한 보안 업데이트 우선순위 지정'을 발령했으며, BOD 19-02와 BOD 22-01을 대체했습니다. 이 지시문은 모든 연방 민간 행정부(FCEB) 기관이 가장 심각한 범주의 취약점을 3일 이내에 해결하도록 의무화합니다 — 이전 기간에서 상당히 단축된 것으로, AI 가속화된 악용에 의해 명시적으로 주도됩니다. 지시문은 4가지 위험 기준을 수립합니다: 공개 공시 상태, KEV 목록, 공격자 자동화 가능성, 및 공격자가 자산을 제어할 수 있는지 여부. 3일 기간은 가장 높은 위험 기준을 충족하는 취약점에 적용됩니다.
왜 중요한가
BOD 26-04는 AI 지원 위협 가속화를 중심으로 명시적으로 프레임된 구속력 있는 연방 보안 지시문입니다. 가장 심각한 결함에 대해 연방 패치 기간을 3일로 단축합니다 — 상용 운영자 및 중요 인프라 제공자가 맞출 압력을 받을 기준입니다. 또한 AI 기반 공격자가 기계 속도로 작동한다는 것을 CISA가 공식적으로 인정하며, 모든 부문에 걸쳐 더 엄격한 기간을 정당화합니다. 이 지시문은 연방 계약자 및 공급업체가 연방 비즈니스를 유지하기 위해 자신의 패치 관리 방식에 어떻게 접근해야 하는지에 영향을 미칩니다.
필요한 조치
FCEB 기관은 즉시 최고 위험 취약점에 대해 3일 해결 기간을 구현해야 합니다. 연방 계약자 및 공급업체는 취약점 공시 및 패치 지원 SLA를 검토하여 BOD 26-04 기간에 맞춰야 합니다. 상용 조직은 자신의 패치 주기를 새로운 연방 표준과 비교 평가해야 합니다.