본 포스팅은 시스코의 Information Security VP 인 Russ Smoak이 작성한 Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery 포스팅을 번역한 글입니다.
우리가 대응 주기를 변경하는 이유
취약점 발견의 근본적인 규모가 변화했습니다. 최첨단 AI 모델과 능동적 분석 도구는 이제 방대한 코드베이스 전반에서 버그를 발견하고 있는데, 그 속도는 기존에 시스코나 당사 장비를 운영하는 운영자들이 설계한 임시방편적 공개-패치 모델로는 감당할 수 없는 수준입니다. 동시에, 취약점 공개와 악용 사이의 시간적 여유는 사실상 사라졌습니다. 예측 불가능한 간격으로 수동으로 일회성 권고사항을 발표하는 방식은 더 이상 적절한 대응 수단이 아닙니다.
7월부터 당분간, 우리는 매월 두 차례 정기적으로 진행되는 보안 공개 모델으로 전환하며, 각 릴리스에서 어떤 기술이 포함될지에 대해 7일 전 사전 공지를 제공할 예정입니다. 이는 특정 단일 사건에 대한 대응이 아니라, 위협 환경의 구조적 변화에 대한 의도적이고 체계적으로 설계된 대응책입니다. 이는 고객이 의존하는 인프라에서 기대하는 수준의 엄격한 규율을 바탕으로 대규모로 운영되는 보안 강화 프로그램입니다.
변경 사항
정기 공개 — 매월 첫째 및 셋째 주 수요일. 7월부터 시스코는 매월 첫째 및 셋째 주 수요일을 보안 강화 소프트웨어 공개일로 지정합니다.
7일 전 사전 공지. 각 릴리스 7일 전, PSIRT는 해당 릴리스에 포함될 기술 및 플랫폼 목록을 공개합니다. 계획된 사항이 없을 경우 별도의 공지는 없습니다. 고객은 업데이트가 적용되기 전에 어떤 제품에 어떤 내용이 포함될지 미리 알 수 있으므로, 변경 작업 기간을 미리 설정하고, 실험실 검증 및 유지보수 승인을 준비할 수 있습니다. 시스코는 업그레이드 중복을 최소화하기 위해 신중하게 제품을 묶어 제공할 것을 약속합니다.
당사의 핵심 네트워크 운영 체제(NOS) 제품이 가장 먼저 출시될 예정입니다. 핵심 운영 체제 제품에는 Cisco IOS XE, IOS XR, NX-OS, Firepower/ASA 및 SD-WAN이 포함됩니다. 당사의 계획은 NOS 제품을 분기별로 출시하는 것입니다. 시스코는 여러 핵심 NOS 제품을 동일한 날에 출시하지 않을 것입니다. 다른 제품들은 더 자주 출시될 수 있습니다.
단순한 부분 패치가 아닌 체계적인 수정. 정적 코드 분석, 실시간 시스템 테스트, 구성 검토 및 익스플로잇 시뮬레이션을 포괄하는 여러 전문 에이전트로 구성된 당사의 에이전트 기반 탐지 프레임워크는 전체 제품군에 걸쳐 운영됩니다. 이러한 광범위한 접근 방식을 통해 당사는 반복되는 아키텍처 패턴을 식별하고, 단순히 보고된 사례뿐만 아니라 제품 전반에 걸친 근본적인 결함 유형을 해결할 수 있습니다. 보안 엔지니어들은 검증, 우선순위 지정 및 확인 과정을 지속적으로 관리합니다.
묶음 처리 및 간소화된 CVE. 보안 강화 릴리스는 광범위한 수정 사항을 포함하며 긴급하게 검증 및 배포되어야 하므로, 각 버그에 개별 CVE가 할당되지 않습니다. 개별 CVE 평가 및 극단적인 경우의 우회 조치 관리는 불가능합니다. Cisco PSIRT는 CWE(Common Weakness Enumerations) 범주와 연계된 ‘번들’ CVE(Common Vulnerability Exposures)를 제공할 것입니다.
예시:
- CVE-2026-20xxx – 입력 유효성 검사 관련 복수 조치 – CWE-20
- CVE-2026-20xxx – 접근 제어 관련 복수 조치 – CWE-284
이러한 CVE 할당 방식의 변경은 문제를 덮어두거나 투명성을 낮추려는 것이 아닙니다. 이는 고객의 보안을 유지하는 방식의 변화를 반영한 것입니다.
CVE 하나하나를 평가하고 개별적인 완화 조치를 적용하는 방식은 더 이상 목적에 부합하지 않습니다. 보안이 강화된 버전보다 이전 버전을 사용할 경우 실질적으로 더 높은 위험을 감수하게 되며, 공격자들이 AI를 활용해 초고속으로 악성코드를 개발함에 따라 이러한 격차는 더욱 벌어질 것입니다. 가장 효과적인 보호 수단은 구버전에 대한 개별 취약점을 패치하는 것이 아니라, 최신의 보안 강화 버전을 실행하는 것입니다.
우리는 여전히 공개와 투명성을 위해 최선을 다하고 있습니다. 취약점에 개별 CVE 할당이 필요한 경우(예: 보완 통제 조치 필요, 알려진 악용 사례, 또는 방어 측의 조치가 요구되는 경우), 시스코는 CVE를 할당하고 상세한 정보를 제공할 것입니다. 이는 개별 이슈에 대한 세부 사항에서 릴리스 수준의 보증으로 중점을 옮기는 것이지만, 인프라 산업이 이러한 새로운 환경에 대응하기 위해 나아가야 할 방향입니다.
이것이 여러분에게 의미하는 점
우리는 더 많은 취약점 발견, 더 많은 패치, 더 큰 운영 부담, 그리고 발견과 배포 사이의 간극에 노출될 수 있다는 우려를 경청하고 이해했습니다. 새로운 모델은 이러한 부담을 가중시키는 것이 아니라, 오히려 줄이기 위해 특별히 설계되었습니다.
- 예측 가능성이 불확실성을 대체합니다. 고정된 주기와 7일 전 사전 공지를 통해 패치 관리는 긴급 대응이 아닌 계획된 활동이 됩니다. 이를 기존 변경 관리 프로세스와 연계할 수 있습니다.
- 일괄 처리, 방치 없음. 수정 사항을 예정된 릴리스에 통합함으로써 개별 유지보수 이벤트의 횟수, 분류해야 할 일회성 권고 사항의 양, 그리고 각 배포 시 수행해야 하는 회귀 테스트 범위를 줄일 수 있습니다.
- 위험은 증가하는 것이 아니라 감소하고 있습니다. AI 가속화된 탐지 덕분에, 수년 동안 코드베이스에 잠복해 있던 취약점들이 공격 수단으로 악용되기 전에, 우리가 통제하는 일정에 따라 발견되고 수정됩니다. 릴리스 양은 새로운 취약성이 도입되는 것이 아니라 기존 기술 부채가 해소되고 있음을 반영합니다.
- 여러분은 뒤처지지 않습니다. 발견된 문제가 예정된 릴리스에서 해결된다면, 업그레이드를 통해 확장성이 없는 특수한 경우의 완화 조치를 구현할 필요가 없어집니다.
PSIRT가 공개할 내용
각 릴리스 기간마다 PSIRT는 다음을 제공합니다:
- 영향을 받는 기술 및 플랫폼을 나열한 7일 전 사전 공지
- 공개 당일의 릴리스 노트 내용(수정된 소프트웨어 릴리스와 연계된 번들 CVE 세부 정보 포함)
- 해결된 사항에 대한 요약 정보
변하지 않는 사항
당사의 공개 원칙, 광범위한 보안 커뮤니티와의 협력, 그리고 기존 지원 계약에 따른 고객에 대한 의무는 변함없습니다. Cisco PSIRT는 취약점 공개의 표준이며, 새로운 발견 속도에 맞춰 대폭 확장된 도구와 주기 체계를 통해 이러한 혁신을 주도할 것입니다.
비상 상황은 언제든 발생할 수 있습니다. 보안 사고, 활발한 악용 사례, 제로데이 취약점의 외부 발견에 대응하기 위해 정상적인 릴리스 주기를 벗어나 대응하고 작업하는 당사의 프로세스는 변함없이 유지될 것입니다.
엔지니어링 역량 할당 우선순위
우리는 영향을 받는 플랫폼에서 신규 기능 개발보다 AI를 통해 발견된 주요 결과물과 이에 따른 체계적인 보안 강화에 집중하고 있습니다. 이는 전략적 선택이며, 올바른 결정입니다. 탄력적이고 잘 관리된 인프라가 그 결과물입니다. 현재 시점에서 소프트웨어 보안을 강화하는 것은 우리가 고객에게 제공할 수 있는 가장 가치 있는 엔지니어링 작업입니다.
또한, 우리는 개발 및 테스트 환경에 첨단 에이전트 기능을 안전하고 책임감 있는 방식으로 통합하고 있습니다. AI 기반 테스트와 자동화된 패치 적용 워크플로우(보안 엔지니어가 철저히 ‘루프 내’에 참여)를 활용함으로써, 수정 사항을 더 빠르고 정확하게 식별, 검증 및 배포하는 능력을 가속화하고 있습니다.
패치 적용 프로세스 간소화
우리는 제품 포트폴리오 전반에 걸쳐 패치 적용을 더 쉽게 만들기 위한 노력을 지속적으로 우선시하고 있습니다. 시스코 컨트롤러 플랫폼에는 대규모 패치 배포 기능이 포함되어 있습니다. Live Protect에 대한 시스코의 투자는 특히 조직이 취약점이 발견된 시점과 패치를 적용할 수 있는 시점 사이의 간극을 메울 수 있도록 돕기 위해 설계되었습니다.
Cisco IQ는 조직이 설치된 시스템의 보안 상태(CVE 노출, 강화 상태 등)를 파악하는 데 필요한 정보를 제공하며, 관련 위험을 해결할 수 있도록 지침을 제시합니다. 또한, Cisco Services는 조직이 AI 시대에 맞춰 보안 프로세스를 발전시킬 수 있도록 지원합니다.
마치며
이는 우리가 준비해 온 전환입니다. 엔지니어링 팀, PSIRT 조직, 릴리스 인프라, 그리고 고객용 도구가 이를 뒷받침하고 있습니다. 목표는 명확합니다. 고객이 계획할 수 있는 일정에 따라, 충분한 사전 통지를 통해 고객의 조건에 맞춰 배포할 수 있도록 수정 사항을 더 빠르게 제공하는 것입니다.
우리는 향후 몇 차례의 주기 동안 고객 여러분으로부터 받은 피드백을 바탕으로 업데이트 주기, 알림 형식 및 지원 도구를 지속적으로 개선해 나갈 것입니다. 운영 담당자들의 직접적인 피드백이 이 모델을 형성해 왔으며, 앞으로도 이 모델의 발전 방향을 이끌어 나갈 것입니다.
시스코와 함께해 주셔서 감사합니다. 앞으로의 과제는 막중하지만, 이는 반드시 필요한 일이며, 시스코는 고객과 협력하여 보안과 복원력의 새로운 표준을 정립할 준비가 되어 있습니다.
Authors