- 경제산업성은 기업의 사이버 공격 대책을 평가하는 제도를 2025년도에 시작 방침. 각 기업의 대책을 5단계로 평가해 거래처가 어느 정도 대응을 하고 있는지 알 수 있도록 함. 공급망의 약점을 노리는 공격이 늘어나는 가운데 산업 전반의 대응력을 높이겠다는 생각.
- 경제산업성이 조만간 사이버 보안 연구회에서 안을 제시 예정. 사이버 대응 정도를 5단계로 등급을 매기며, 자동차, 공장 등 분야별 가이드라인과 해외 사례를 바탕으로 각 단계별 기준을 규정. 향후 세부 사항을 검토할 방침.
- 레벨 1~2는 기업에 최소한의 대책을 요구하는 수준으로, (1)소프트웨어 정기 업데이트 (2)기밀사항에 대한 접근 제한 (3)정보 유출 시 대응 절차 등이 기준이 될 전망.
- 레벨 3~4는 공급망의 한 축을 담당하는 기업을 대상으로 견고한 정보 관리 체계 구축 등의 기준을 검토. 레벨 3까지는 기업이 자사의 상황을 확인하고 대응 정도를 스스로 선언하는 방식.
- 레벨 4~5를 획득하려면 외부 인증기관으로부터 대책 상황에 대한 제3자 인증을 받는 구조가 됨.
- 특히 레벨 5는 전기·가스, 철도 등 사회 인프라 기업이나 이들 기업에 제품을 공급하는 기업을 대상으로 하는 기준. (1)공격 시 민관에 신속한 정보공유 (2)조기 복구를 위한 절차 수립 등의 항목을 상정함.
- 경산성은 등급을 통해 기업이 자체적인 대응을 강화하도록 유도할 뿐만 아니라 거래처가 사이버 대응 능력을 얼마나 갖추고 있는지를 파악하기 쉬워질 것으로 보고 있음. 등급이 낮은 기업은 거래를 피할 수 있어 결과적으로 산업 전반의 대응력이 높아지는 효과를 기대할 수 있음.
- KPMG 컨설팅의 사와다 토모키 파트너는 “발주처 입장에서는 정보의 기밀성에 따라 어떤 서비스·기업을 선택해야 할지 판단 기준이 된다. 발주처 입장에서도 (민간의) 보안 평가나 감사를 여러 번 받을 필요가 없어져 효율화로 이어질 것”이라고 분석.
- 정부 조달에서도 레벨 4 이상 등 일정 기준을 충족하는 기업을 대상으로 할 방침이며, 보조금 지급 요건으로 삼는 방안도 검토. 경제산업성은 ‘24년부터 산업용 로봇 등 IoT 기기에서 사이버 대책 인증제도를 시작할 계획으로, 이 계획도 참고해 기업판 신제도를 만들 방침.
- 사이버 대책에 대한 평가는 전 세계적으로 확산. 미국에서는 보안 수준을 3단계로 인증하는 제도가 있으며, 향후 정부의 국방 조달 요건으로 삼을 방침. 영국에서도 기업 등급 평가 지침이 있어 거래처에 대책을 요구하는 사례가 늘고 있음.