AI 요약
2026년 4월, 선도적인 AI 연구소 앤트로픽(Anthropic)이 발표한 보안 운영 가이드에 핵심적인 권고 사항이 포함되어 업계의 주목을 받고 있습니다. 가이드에서는 미국 사이버보안·인프라보안국(CISA)의 '알려진 악용된 취약점(KEV)' 목록 패치와 배포 파이프라인 자동화 제안 사이에 "나머지 우선순위는 EPSS를 사용하여 지정하라"는 문구를 명시했습니다. 마이클 로이트만(Michael Roytman)은 2026년 6월 4일 기사를 통해, 이 짧은 문장이 지난 10년간 취약점 백로그 문제로 고통받던 보안 업계에 거대한 패러다임 변화를 의미한다고 분석했습니다. 과거의 나열식 취약점 대응 방식은 끝없는 경고 속에서 실질적인 위협을 놓치는 한계가 있었으나, 앤트로픽이 공식 지지한 EPSS(취약점 악용 예측 점수 시스템)는 실제 악용될 가능성을 예측하여 방어 리소스를 효율적으로 배분하게 해줍니다.
핵심 인사이트
- 앤트로픽의 권고 (2026년 4월): 앤트로픽은 보안 가이드라인에서 CISA KEV 목록 이외의 취약점 관리를 위해 EPSS(Exploit Prediction Scoring System)를 우선순위 지정 도구로 공식 채택할 것을 권고했습니다.
- 예측적 방어(Predictive Defense)의 가치: 단순히 취약점을 나열(Enumerate)하기보다 실제 위협이 발생할 확률을 예측(Predict)하여 한정된 리소스를 가장 위험한 곳에 먼저 투입해야 한다는 메시지를 던집니다.
- 작성 정보: 본 기사는 보안 전문가 마이클 로이트만(Michael Roytman)이 2026년 6월 4일에 작성하여 O'Reilly Radar에 기고한 내용입니다.
주요 디테일
- 기존 취약점 관리의 문제점: 그간 보안 담당자들은 수많은 취약점 리스트(백로그) 속에서 어떤 것을 먼저 패치해야 할지 혼란을 겪었으며, 리스트 나열 방식은 실효성이 낮았습니다.
- CISA KEV와 EPSS의 조화: 이미 악용이 확인된 CISA KEV 취약점을 최우선으로 해결한 뒤, 아직 악용 정보가 모호한 수많은 남은 취약점들에 대해서는 EPSS 예측 모델을 활용하는 하이브리드 전략이 권장됩니다.
- AI 기업의 실전적 보안 관점: 앤트로픽과 같은 혁신적인 AI 연구소가 이러한 실용적이고 현대적인 데이터 기반 보안 의사결정 방식을 가이드에 포함했다는 점은 큰 상징성을 가집니다.
향후 전망
- 보안 표준의 변화: 향후 대기업 및 공공기관의 보안 컴플라이언스 기준이 정적 취약점 나열에서 EPSS 같은 동적·예측형 위험 관리 프레임워크로 빠르게 이동할 것입니다.
- 자동화 시너지: EPSS 기반의 예측 데이터가 데브옵스(DevOps) 및 배포 파이프라인 자동화 시스템과 결합하여 위험도가 높은 취약점을 실시간으로 자동 패치하는 프로세스가 보편화될 것으로 예상됩니다.
출처:oreilly_radar