- 일본정부는 정보통신과 전력 등 14개 분야의 중요 인프라 사업자에게 사이버공격에 대한 대비를 의무화할 방침. 경영진 주도의 체제정비와 대응계획 작성을 요구하며, 공급망에서 사용하는 기기의 안전 확보도 요청. 내년 3월 안에 개정할 중요 인프라 행동계획에 명기할 예정임. 행동계획은 2017년 이후 5년만의 전면개정으로, 경제안전보장을 중시하는 방침을 담아, 2022년도부터 적용할 계획.
- 일본의 2020년도 말 자료에 따르면, 일본정부가 중요인프라로 규정해 사이버 방위에 관한 정보를 제공하고 있는 금융기관은 총 1700개사 가량 존재하며, 정보통신은 1300개사 정도, 철도는 22, 전력은 29개 사업자가 존재함.
- 지금까지의 행동계획은 정부의 지침에 법적근거가 없기 때문에, 이번 개정으로 사이버보안기본법에 근거하는 조치로 명확히 위치시켜 실효성을 높이겠다는 생각.
- 벌칙은 따로 없으나, 소관 부처와 내각사이버보안센터(NISC)가 정기점검을 통해 대책이 불충분하면 개선을 요구. 회사법에 근거해 내부감사를 요구하는 것도 염두에 두고 있음.
- 기업이 작성하는 대응계획에는 책임 소재, 공격에 항상 대응할 수 있는 체제, 긴급대응 조직의 마련을 명기하도록 하며, 전문부서에 의존하지 않고 경영진이 책임을 가지고 임하도록 권고.
- 통신기기와 클라우드를 통해 정보가 유출되는 ‘공급망 리스크’에 대한 대응도 중시. 화웨이 등의 중국제품을 염두에 두고, 관련회사와 거래처를 포함해 리스크 관리를 철저히 하도록 함.
- 일본은 2022년 통상국회에 제출예정인 경제안보추진법안에서 사업자가 기기를 도입하기 전에 국가가 심사하는 구조의 도입을 검토하고 있음.
- 정보통신연구기기(NICT)의 조사에 따르면, 사이버 공격은 2015년부터 2020년까지의 5년간 8.5배로 증가. 정부기관과 미쓰비시전기, NEC 등 방어산업을 노린 공격이 확인되고 있어, 일본은 9월에 결정한 사이버보안전략에서 중국과 러시아, 북한의 관여에 대해 언급한 바 있음