- 일본에서 한 기업이 받은 사이버 공격 정보를 신속하게 공유해 다른 기업으로의 피해 확산을 막는 시스템이 마련될 전망. 경제산업성은 사이버 피해 정보 공유를 위한 새로운 지침을 조만간 발표할 예정으로, 기업이 사이버 공격을 당했을 때 대응을 담당하는 정보보안 회사가 피해정보를 익명화해 다른 보안업체에 보고할 수 있도록 함.
- 정보보안 회사 간 정보 공유를 촉구하는 구조는 일본 최초로, 지침은 계약한 피해기업의 허락 없이도 익명화 정보 등을 공유할 수 있다고 기재. 공격은 연속적으로 일어나는 경우가 많아, 신속한 정보 공유로 여러 기업이 협력해 대응할 수 있도록 함.
- 지침에 법적 구속력은 없으나, 경산성은 일본 내 많은 기업이 활용할 것으로 보고 있음. 정보보안 회사 입장에서는 고객을 보호하기 위해서라도 사이버 피해 정보는 필수적. 업계도 ‘정보 공유를 촉진할 수 있는 구조’를 요구해 옴.
- 지침에서는 공격자의 통신수법이나 악성코드 정보 등을 ‘정보공유 촉진대상’으로 삼고 있음. 익명화해야 할 정보와 그럴 필요가 없는 정보도 명시. 예를 들어 메일로 바이러스를 보내는 표적형 공격에서는 공격자의 IP 주소 등을 원칙적으로 그대로 공유할 수 있음.
- 기업이 도입한 소프트웨어의 결함이나 취약점을 노린 공격은 소프트웨어 이름의 공유를 권장함.
- 피해 기업을 식별할 수 있는 정보는 익명화가 필요. 공급망을 통해 기업 서버 등에 침투해 악성코드에 감염시키는 사례가 늘고 있음. 악성코드에 감염되면 기업의 기밀 정보 등이 외부 서버로 자동 전송. 정보를 외부로 전송할 때 사용되는 URL에 기업명이 포함될 수 있어, 이 경우 기업명을 숨기도록 요구함.
- 정보보안 회사에는 기업과 계약할 때 ‘사이버 대책 회사 간 익명 정보 공유가 가능하다’는 내용을 포함하도록 권고함.
- 앞으로는 관공서에 대한 익명 정보 공유도 검토. 현재는 개인정보가 유출됐을 경우 개인정보보호위원회에 보고가 의무화돼 있으며, 중요 인프라의 경우에도 소관 부처에 보고할 필요가 있음.