보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

일본, 사이버 위협과 보안 리스크에 어떻게 대응하고 있나

입력 : 2023-04-04 12:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
특허와 첨단기술 접목시킨 일본의 이노베이션 전략

[보안뉴스 윤서정 기자] 디지털 전환(DX : Digital Transformation) 시대 속 비즈니스의 기술 기반(인터넷, 클라우드 등) 및 디지털화된 다양한 자산(정보, 지적재산권, 데이터 등)에 대한 의존도가 나날이 높아지고 있다. 이에 최근 일본 기업들 사이에서 기업의 경쟁력 강화를 위해 새로운 디지털 기술을 활용해 이제까지는 없었던 비즈니스 모델을 전개하려는 움직임이 확대되고 있다.

[이미지=Utoimage]


디지털 트랜스포메이션(DX)은 2004년 스웨덴의 에릭 스톨터만 교수가 발표한 개념이다. 넓은 의미로는 ‘계속해서 진화하는 디지털 기술을 사람들의 생활에 침투시킴으로써, 생활을 더욱 풍요롭게 만드는 것’이라는 의미가 있다. 디지털 트랜스포메이션(DX)은 ‘디지털 전환’으로 번역할 수 있는데, ‘전환’이라기보다는 ‘변혁’이라는 개념이 더 어울린다. 그리고 단순한 ‘변혁’이 아니라 ‘파괴적인 변혁’을 의미하는 ‘디지털 디스럽션’으로서, 현존하는 틀이나 가치관을 근본적인 것부터 바꾸어놓는 이노베이션이다. ‘Digital Transformation’을 DX로 표기하는 이유는 영어권에서 일반적으로 ‘Trans’를 ‘X’로 줄이기 때문에 ‘DT’가 아닌 ‘DX’라고 표기한다.

디지털 전환의 가속화로 기업의 사이버 리스크가 커지면서 일본 역시 사이버보안이 기업의 새로운 경영 과제로 떠오르고 있다. 실제로 많은 일본 기업의 경영층이 사이버보안의 중요성을 인식하고 있지만 사이버보안의 기술 및 실무 측면에서의 대응에 어려움을 겪고 있다. 이에 최근 일본에서는 인공지능(AI)을 활용한 사이버 보험 등 사이버보안 서비스가 등장하고 있으며, 더불어 관련 특허출원 건수도 성장세를 이어가고 있다.

일본 기업, 유가증권보고서 통해 사이버 리스크 내용 공개
사이버보안에 대한 중요성이 커지면서 유가증권보고서를 통해 사이버 리스크에 대한 내용을 공개하는 일본 기업들의 움직임이 확산하고 있다. 일본 IT단체 연맹에서 집계한 도쿄증권 프라임 상장기업의 유가증권보고서에 따르면 사이버보안 관련 리스크나 대책을 공시한 기업은 2022년 1,712개사로 전체 상장기업의 95%를 차지했다. 참고로 도쿄증권거래소 1부기업을 기준으로 한 2021년 조사에서는 81%, 2019년에는 58%를 기록해 주요 기업의 공시 비율은 2019년 대비 약 35% 증가했다.

지난 2022년 3월 도요타(TOYOTA)의 부품생산 거래처가 사이버 공격에 따른 시스템 에러로 피해를 입어 일본 국내의 모든 공장 가동을 정지한 사례 등 사이버 리스크가 기업 활동에 미치는 영향력이 커지고 있어 투자자들이 기업 투자 시 이를 중시하는 경향이 생겨난 것이다. 이외에도 리코(RICOH)처럼 사이버 리스크가 회사의 이익에 미치는 영향액을 가시화한 사례 등 사이버 리스크 결과를 공개하는 방식을 고민한 기업도 있다.

거래시장의 요청으로 사이버보안 및 리스크에 대한 공개 강화의 흐름은 더욱 강해지고 있다. 미증권거래위원회(SEC : U.S. Securities and Exchange Commission)는 2022년 3월, 사이버 관련 사고가 발생한 기업에서 이를 중요하다고 판단했을 경우 4영업일 이내의 정보 공개를 요구하는 등의 새로운 룰을 제안했다. 또, 비재무정보 공개기준을 모색하는 국제지속가능성기준심의회(ISSB : International Sustainability Standards Board)에서는 기준화를 위한 논의 가능성이 있는 주제 중 하나로 사이버 관련 주제를 꼽기도 했다. 이는 향후 일본기업에도 한층 더 충실한 공시 요구가 일어날 수 있을 것으로 보인다.

▲일본 주요 기업의 사이버 리스크 대응책[자료=닛케이신문]


사이버보안에 대한 특허 활용
자율주행 기술의 발전과 디지털화 그리고 커넥티드 카(Connected Car)라고 불리는 네트워크 접속 차량의 증가 등에 따라 자동차를 겨냥한 사이버 공격의 위험은 해마다 높아지고 있다. 이에 자동차 업계에서도 사이버 공격으로부터 차량을 방어하고 감시하기 위한 시스템을 마련하기 위해 노력하고 있다.

- 파나소닉(Panasonic)의 자동차 보안 기술: 파나소닉은 자동차를 겨냥한 사이버 공격에 대응하기 위해 독자적인 보안 기술을 차량에 탑재했다. 이는 사이버 공격의 발생 또는 공격 타입 등을 판정해 ‘차량보안감시센터(이하 차량 SOC : Security Operation Center)’에 분석용 데이터를 송신하는 ‘차량침입검지시스템(이하 차량 AIDS : Automotive Intrusion Detection System)’ 개발과 더불어 차량 AIDS로부터 수신한 대량의 데이터를 차량 SOC에서 분석해 가시화하는 ‘보안정보이벤트 관리시스템(Security Information and Event Management System)’을 개발했다.

- EC플랫폼 등 온라인 상의 부정접속 검출하는 ‘오 모션(O-MOTION)’: 일본 경찰청의 2022년 9월 발표에 따르면, 2022년 1~6월 ‘불법접속금지법’ 위반 검거 수는 233건으로, 전년 동기 대비 89건이 증가했다. 그중 사이버보안 전체에서 차지하는 비중은 25.2%로 두 번째로 높았다. 더 나아가 신용카드 번호 등의 정보를 도난당해 부정하게 사용되는 ‘번호 도용 피해’의 106억 4,000만엔(2022년 4~6월)으로 전년 동기 대비 29.9% 증가했다.

이러한 통신판매 시장의 취약점을 근거로, 더욱 다면적인 보안 환경을 EC 사업자에게 제공하기 위해 정보 유출의 원인 중 하나인 부정 접속을 감지하는 ‘오 모션(O-MOTION)’이 최근 일본의 대형 EC플랫폼 운영업체 ‘w2 솔루션(w2 Solution)’과 연계 가능한 보안 서비스를 시작했다. 주식회사 각코(Cacco)에서 탄생한 오 모션은 독자적인 단말 특정 기술과 키 터치 등의 조작 정보를 활용해 정당한 ID와 패스워드의 접속이 정말 본인에 의한 것인지, 부정자에 의한 부정접속인지를 실시간으로 감지하는 클라우드 서비스다. 이는 자동 프로그램(Bot)에 의한 무차별 대입 공격 및 타인의 ID·패스워드를 사용한 부정자의 행세를 검출해 통신판매 사이트, 금융서비스 사이트(인터넷 뱅킹, 온라인 증권), 회원 사이트 등에서 부정 접속·부정 로그인 대책에 이용된다.

▲신용카드 부정사용 피해발생 현황 (단위 : 억엔)[자료=일반사단법인 일본신용협회]


일본 개인정보보호법, 개인정보 취급하는 사업자의 책임 가중
KOTRA 도쿄무역관은 “2022년 4월 개정된 일본의 ‘개인정보보호법’에서는 지속해서 확대되는 사이버 리스크에 대응하기 위해 6개월 미만의 단기적인 개인정보를 취급하는 기업도 법률의 대상에 포함하는 등 개인정보를 취급하는 사업자의 책임을 더욱 무겁게 했다”고 밝혔다.

또한, “정보 유출 시 기업은 의무적으로 정부에 보고해야 하며, 위반 시에는 벌금형이 인상되는 등의 주요 사항에 대한 개정도 이루어졌으며, 개인정보를 활용하는 과정에서 발생할 수 있는 부정 접속이나 정보 누설, 데이터 조작 등의 사이버 범죄를 예방하기 위한 움직임은 더욱 강화될 것으로 예상된다”고 덧붙였다.
[윤서정 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)