동경 IT 뉴스 상세
공급망 사이버 방어 강화(4.13 니혼게이자이신문)
- 일본정부는 기업에 공급망 사이버 방어 강화를 촉구. 접근 권한 관리, 중요 데이터 암호화 등 위험 정도에 따른 대책 기준을 명시. 외부 전문기관이 평가해 정부 조달 요건으로 삼는 방안도 검토. 2026년부터 제도 도입 예정.
- 경제산업성과 내각부 사이버보안센터(NISC)는 조만간 제도안의 중간 정리안을 발표 예정. 발주기업이 공급업체에 요구하는 보안 수준을 지정. 상류부터 하류까지 공통된 기준에 따라 대응함으로써 공급망 전체의 대책을 상향 평준화하겠다는 생각.
- 5단계 중 레벨 1과 2는 자발적 노력 표명으로 취득 가능. 이번에 레벨 3과 4의 기준을 새롭게 제시. 레벨 3은 일반적인 사이버 공격에 대비하는 최소한의 대책. 보안 담당자를 정하고 대응 절차를 미리 만들어야 하며, 아이디와 비밀번호 설정, 접근 권한 관리가 필요. 자체 평가를 요구.
- 레벨 4는 공급 중단이나 기밀정보 유출 등 영향이 큰 경우를 상정. 경영진에 대한 정기적인 보고와 복구에 소요되는 시간에 따른 상세한 매뉴얼 정비가 필요. 중요 데이터의 암호화와 이상 징후를 즉시 감지할 수 있는 감시체계 구축도 요구. 전문기관의 제3자 평가를 원칙으로 함.
- 레벨 5는 통신기기 등에 숨어있는 미공개 약점을 노리는 '제로데이 공격' 등 고도화된 위협에 대응할 수 있는 수준을 상정. 내용은 검토 중으로 26년도까지 확정 예정.
- 사이버 공격은 증가 추세. 경찰청에 따르면 24년 랜섬웨어 피해는 222건으로, 역대 최다였던 '22년(230건)에 이어 두 번째로 많았음. 피해 기업·단체의 50%가 복구에 1개월 이상 소요.
- '24년 6월에는 KADOKAWA가 랜섬웨어를 포함한 공격을 받아 26만 명 이상의 개인정보가 유출. 23년 7월에는 나고야항에 사이버 공격이 발생해 3일간 컨테이너 반출입이 지연된 바가 있음.
- 대기업에 대한 공격은 중소기업이 발판이 되는 경우도 존재. 경제산업성 소관 정보처리추진기구의 조사에 따르면, 중소기업의 70%는 조직적인 체제를 갖추고 있지 않은 상황. 지난 3년간 피해를 입은 중소기업의 70%는 거래처에도 영향을 미침.
- 경제산업성과 내각부 사이버보안센터(NISC)는 조만간 제도안의 중간 정리안을 발표 예정. 발주기업이 공급업체에 요구하는 보안 수준을 지정. 상류부터 하류까지 공통된 기준에 따라 대응함으로써 공급망 전체의 대책을 상향 평준화하겠다는 생각.
- 5단계 중 레벨 1과 2는 자발적 노력 표명으로 취득 가능. 이번에 레벨 3과 4의 기준을 새롭게 제시. 레벨 3은 일반적인 사이버 공격에 대비하는 최소한의 대책. 보안 담당자를 정하고 대응 절차를 미리 만들어야 하며, 아이디와 비밀번호 설정, 접근 권한 관리가 필요. 자체 평가를 요구.
- 레벨 4는 공급 중단이나 기밀정보 유출 등 영향이 큰 경우를 상정. 경영진에 대한 정기적인 보고와 복구에 소요되는 시간에 따른 상세한 매뉴얼 정비가 필요. 중요 데이터의 암호화와 이상 징후를 즉시 감지할 수 있는 감시체계 구축도 요구. 전문기관의 제3자 평가를 원칙으로 함.
- 레벨 5는 통신기기 등에 숨어있는 미공개 약점을 노리는 '제로데이 공격' 등 고도화된 위협에 대응할 수 있는 수준을 상정. 내용은 검토 중으로 26년도까지 확정 예정.
- 사이버 공격은 증가 추세. 경찰청에 따르면 24년 랜섬웨어 피해는 222건으로, 역대 최다였던 '22년(230건)에 이어 두 번째로 많았음. 피해 기업·단체의 50%가 복구에 1개월 이상 소요.
- '24년 6월에는 KADOKAWA가 랜섬웨어를 포함한 공격을 받아 26만 명 이상의 개인정보가 유출. 23년 7월에는 나고야항에 사이버 공격이 발생해 3일간 컨테이너 반출입이 지연된 바가 있음.
- 대기업에 대한 공격은 중소기업이 발판이 되는 경우도 존재. 경제산업성 소관 정보처리추진기구의 조사에 따르면, 중소기업의 70%는 조직적인 체제를 갖추고 있지 않은 상황. 지난 3년간 피해를 입은 중소기업의 70%는 거래처에도 영향을 미침.