주메뉴바로가기본문바로가기
비즈한국 비즈한국

獲最高階別安全認證的企業接連遭駭客攻擊,政府是否難辭其咎?

本文由AI自動翻譯。與韓語原文相比可能存在誤差。  Read original in Korean →

[비즈한국] 近期發生的系列駭客攻擊事件造成相關損失不斷擴大,政府已著手全面重新審查安全體系。政府正推動相關方案,包括在確認駭客攻擊跡象時,無需企業申報即可進行職權調查,並實施懲罰性罰款。不過也有觀點指出,政府自身也需要“動手術”。外界認為,政府管理真空和薄弱的協作體系也是導致駭客攻擊事件背後的原因之一。

在過去5年裡,僅國防部、國土交通部、個人資訊保護委員會等5個政府部門就確認了3.8萬餘起個人資訊洩露事件,政府自身也難以從洩露事故中置身事外。正因如此,越來越多的聲音呼籲將駭客攻擊事故視為國家層面的危機,而非僅僅是企業風險,並應開啟針對網路安全的全面革新。

잇단 해킹 사고 이후 정부가 보안체계 전면 재검토에 나선다. 류제명 과학기술정보통신부 제2차관이 7월 4일 서울 종로구 정부서울청사에서 SK텔레콤 침해사고 최종 조사결과를 발표하고 있다. 사진=임준선 기자
系列駭客攻擊事件後,政府著手全面重新審查安全體系。7月4日,科學技術資訊通訊部第2次官柳濟明在首爾鍾路區政府首爾辦公樓釋出SK電訊017670入侵事故最終調查結果。圖片=林俊善記者

政府應對不力的表現何在?

政府在資訊保安方面的作用分為兩大支柱:以“安全認證制度”為主的事前管理,以及透過“入侵事故調查與制裁”進行的事後應對。自4月SK電訊駭客攻擊事件以來,每月重複發生的大規模資訊洩露事件表明,政府在事前預防和事後應對體系上均存在漏洞。

近期遭受駭客攻擊的SK電訊、Yes24053280、樂天信用卡、KT030200等企業,均為獲得了韓國最高階別安全認證“ISMS-P(資訊保護及個人資訊保護管理體系認證)”的企業。其中,樂天信用卡在伺服器被駭客攻擊的兩天前,才剛從金融保安院獲得該認證。這意味著它們被認可具備了有效應對網路入侵威脅的能力。除金融業以外,絕大多數企業和機構透過韓國網際網路振興院(KISA)獲得ISMS-P認證。

業界觀點認為,政府為保障資訊通訊網安全性而引入的安全認證,實際上只是僅滿足最低標準的“形式化制度”。為企業進行模擬駭客攻擊和滲透測試的國內安全諮詢行業相關人士表示:“ISMS-P只是確認在特定時期內是否遵守了必要安全要求的基準點,並不能保證系統的絕對安全。企業必須在持續管理和運營的過程中應對新的威脅。”

11일 서울 종로구 KT 광화문 지사 소액결제 피해 관련 기자 브리핑에서 사과하는 김영섭 KT 대표이사. 사진=임준선 기자
11日,KT代表理事金英燮在首爾鍾路區KT光化門分公司就小額支付受損相關記者釋出會上道歉。圖片=林俊善記者

事後應對的漏洞也顯露無遺。在處理非法小額支付事件時,KT於18日向KISA舉報了6起伺服器入侵跡象,而這些跡象在之前4個月的安全檢查中已被確認。科學技術資訊通訊部在SK電訊駭客攻擊事件後,曾組建民官聯合調查團,對通訊公司和主要平臺公司的安全狀況進行過檢查。當時科技部發布的公告稱“未發現異常”。

科技部第2次官柳濟明在19日的聯合釋出會上,針對檢查不力的爭議解釋稱:“只是確認了KT和LG Uplus032640沒有發現SK電訊遭遇的那種惡意程式碼。”他補充道:“雖然進行了強度相對較高的調查,但在物理條件和客觀狀況上,確實沒能對整體安全狀態進行全面調查。”

初期應對遲緩和反覆出現的隱瞞質疑,也體現了政府應對的不足。現行法律規定,只有在受害企業或機構自願申報時才能進行調查。事故後政府的“勸告”等措施缺乏約束力也是顯著的侷限性。政府曾勸告SK電訊在發生駭客事故受損時制定100%負責賠償的方案,並擴大違約金免除物件,但公司並未採納。

18일 서울 중구 부영태평빌딩에서 진행된 사이버 침해 사고 대고객 사과 기자회견 현장. 사진=임준선 기자
18日,在首爾中區富榮太平大廈舉行的網路入侵事故對客道歉記者釋出會現場。圖片=林俊善記者

“需重新整頓認證制度,構建指揮塔”

被指為KT非法小額支付事件犯罪手段的“毫微微蜂窩基站(Femtocell)”在現行資訊保護管理體系中處於缺失狀態,這凸顯了重新整頓事前認證制度的必要性。

出身於谷歌的國會科學技術資訊放送通訊委員會成員李海敏議員強調:“現在的認證制度反而讓人懷疑是在給企業開脫。必須根據現實情況全面改編安全認證體系,至少針對駭客攻擊事故,為了讓企業負責任地解決問題,有必要探討實施懲罰性損害賠償制度。”

前述安全業界人士表示:“雖然像目前的ISMS認證那樣進行普及應用有難度,但為了能夠評估企業的實際防禦能力,需要根據現實威脅進行強化。應當要求企業在獲得認證後定期提交脆弱性評估結果,或確保具備一定水準以上的安全人員及預算,從而引導其進行持續性的安全管理。”

政府已著手緊急制定對策。政府正推動修訂《資訊通訊網法》等,擴大調查許可權,以便僅憑駭客攻擊跡象即可採取職權調查,並強化持有大量個人資訊的企業和機構的安全義務。方針是,若違反安全義務,將適用懲罰性罰款以提高事故應對能力。正在探討的修訂案包含設立“入侵事故調查審議委員會”,以便在重大事項上經過專家審議後即可進行職權調查。

專家和國會都強調了政府的責任和作用。人們越來越意識到,一系列安全事故不僅僅是企業的問題,更是國家層面的政策課題。

24일 국회 과방위 해킹사태 청문회에서 발언하는 김영섭 KT 대표. 사진=박은숙 기자
24日,KT代表金英燮在國會科放委駭客事件聽證會上發言。圖片=樸恩淑記者

特別是考慮到韓國原有的“網路隔離(所有業務電腦與網際網路斷開連線的概念)”原則正在弱化,有觀點提出需要新的安全正規化。

24日作為參考人出席國會科放委駭客事件聽證會的高麗大學資訊保護研究生院金勝柱教授解釋道:“新冠疫情時期開始發生變化,隨著後續人工智慧(AI)政策的引入,連線範圍擴大了。原本完全斷開網路的內部網系統曾處於‘無菌室’一樣的狀態,但隨著(網路入侵)瞬間湧入,這些系統正在無力地崩潰。”金教授表示:“應當在早期探測、脆弱性預先防禦、事故發生時阻斷與化解體系的基礎上鞏固網路安全。”

針對政府部門間各行其是的現狀,有人提出了透過指揮塔進行綜合應對的必要性。國內金融公司的資訊洩露事件根據金融委員會的告示由金融保安院管理,而其他行業發生的事故則根據《資訊通訊網法》和《資訊保護產業法》等由科學技術資訊通訊部下屬的KISA負責。由於駭客攻擊受害不分領域,因此評價認為必須構建統一的管理監督體系。

中央大學產業保安系教授張恆培解釋道:“雖然目前具備了金融保安院、KISA、國情院各司其職,由國家安保室統籌的形式化體系,但實際上在組織規模和機動性方面存在侷限,且以協商會形式分散,應對能力確實較低。如果能像國務調整室那樣,在安全領域透過實實在在的指揮塔來做出決策,才能真正發揮作用。”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지