일본, 업무위탁기업에 미국정부 기준 사이버대책 의무화

일본정부는 2023년도 중 업무를 위탁하는 기업들에 미국 정부 기준의 사이버 보안 대책을 의무화하기로 했다.

이날 닛케이(日本經濟新聞) 등 외신들에 따르면 일본정부는 싱크탱크와 통신사업자 등 연간 기업 1000곳 이상에 대해 사이버공격으로부터 정부정보를 지키기 위해 올해중에 통신기기 관리와 접근제한 등을 요구할 방침이다.
일본정부의 사이버 보안전략전부가 중앙 성청과 독립행정법인 등 정부와 관련된 기관의 정보안전에 관한 통일기준을 정하는 방향으로 조정에 들어갔다. 외부 업무위탁 기업에 요구하는 사이버공격 대책를 강화하는 것이 핵심이 된다.

미국 정부가 채택한 사이버대책 지침 ‘NIST SP800-171’에 따른 8개항목의 점검조치를 부과한다. 시스템에 대한 접근제한, 접근권한을 부여한 당국자의 심사, 리스크를 정기평가하는 시스템구축, 관계하는 통신의 감시⋅관리⋅보호 등이 필요하게 된다.

일본정부는 기준을 충족하지 못하는 기업과는 업무위탁계약을 하지 않을 예정이다. 계약후도 정기적으로 사이버대책 상황의 보고를 요구한다.

이 지침은 방위성이 거래하는 기업에는 이미 적용하고 있다. 행정 디지탈화를 추진함에 따라 보호해야할 정보가 확대되는 것을 감안해 다른 성청의 업무 위탁기업으로도 대상을 확대한다.

정보퉁신 연구기구(NICT) 조사에 따르면 전세계에서 발생하는 사이버공격은 2015년부터 2020년까지 5년간 8.5배로 급증했다. 2021~2022년간에는 다수의 성청이 이용하는 후지쓰(富士通) 클라우드서비스가 공격을 받았다.


박경희 글로벌이코노믹 기자 hjcho1017@g-enews.com