- 일본의 회계감사원 조사에서 중앙부처와 지방기관이 운영하는 주요 정보시스템 중 16.3%가 소프트웨어 취약성에 대해 적절한 조치를 취하지 않은 것으로 드러남. 시스템상의 취약점을 방치하면 사이버 공격을 받을 위험이 증가. 정부 기능을 유지하고 시민 생활의 혼란을 방지하기 위해 보안 대책 강화가 시급한 상황.
- 감사원이 국가 행정기관의 정보시스템에 대한 사이버 공격 위험성을 횡단적으로 조사한 것은 이번이 처음.
- 일본정부는 각 부처가 준수해야 할 보안 대책의 통일 기준을 2005년에 정하고 수차례 개정. 감사원은 국비가 투입된 시스템이 기준에 부합하는지 여부를 검토하기 위해, 행정 운영에 중요하다고 판단한 총 356개 시스템을 추출하여 2021~2023년도 현황을 조사.
- 소프트웨어 결함 같은 취약점은 불법 접근이나 바이러스 감염에 악용될 우려가 존재. 그러나 12개 기관의 58개 시스템(16.3%)은 취약점 유무에 대해 적절히 확인하지 않았으며, 발견 시 수정하는 등의 기준에 따른 대응을 하지 않음.
- 또한 각 기관은 사이버 공격이나 자연재해 발생 시 영향을 최소화할 수 있도록 시스템의 업무 연속성 계획(BCP) 수립이 필요. 전체 70%에 해당하는 259개 시스템은 BCP를 수립하지 않아 비상사태 대비에도 미흡함이 두드러짐.
- 이 외에도 접근에 필요한 비밀번호나 전자 증명서를 저장하는 IC 카드, 생체 인증 정보 등의 관리 상태가 부적절했던 시스템은 55개(15.4%). 접근 권한을 최소한으로 제한하는 등 적절한 관리를 하지 못한 시스템도 26개(7.3%).
- 대책이 완벽하지 않은 배경에는 직원 교육의 지연과 인력 부족이 있는 것으로 보임. 정부 기준에 따르면 직원들이 정보보안을 배우는 계획을 각 부처 책임자가 수립하도록 규정되어 있으나, 감사원에 따르면 계획 자체가 없는 부처도 확인.
- 리츠메이칸대학의 우에하라 테츠타로 교수는 “통일 기준은 치밀한 설계지만 각 부처에는 사이버 분야 전문 인력이 부족해, 대책의 필요성이 조직 전체에 충분히 스며들지 못하고 있다”고 지적.
- 검사에서 드러난 취약점을 노린 사이버 공격 유발 위험성이 있다고 보고, 감사원은 문제가 있었던 시스템의 내용이나 소관 부처는 밝히지 않음. 감사원은 사이버 공간의 위협이 세계적으로 심각해지고 있다며 각 부처 등에 개선을 요구.
- 민간 중요 인프라를 포함한 사이버 대책의 지휘탑으로 7월, 내각 사이버 보안 센터(NISC)의 후속 조직인 ‘국가 사이버 통괄실’이 발족. 감사원의 보고를 받은 통괄실은 “지적을 심각하게 받아들이고 필요한 개선에 노력하겠다”고 밝힘.