[박춘식 교수의 보안이야기] 일본 정부는 전력, 항공 등 사회의 중요 인프라를 사이버 공격으로부터 지키기 위한 대책 조성에 나선다. 인프라 설비를 관리하는 시스템을 외부 네트워크로부터 격리하도록 기업에 의무화하는 것을 검토하고 있다. 그래도 피해가 나올 경우를 대비하여 지금까지 고려하지 않았던 시스템의 정지·이상에 대처하는 대규모 연습을 2012년 내에 시작할 예정이다.
 
일본은 민관 모두 미국이나 유럽에 비해서 늦었지만 인프라 방위를 서두를 예정이다. 대상이 되는 것은 전력, 가스, 항공, 정보통신, 금융, 의료 등 10개 분야. 정부의 내각관방 정보시큐리티센터와 경제산업성이 중심이 되어 추진. 대규모 연습은 먼저 전력, 가스 사업에서 실시하는 방향으로, 전력 각 사가 가맹하는 전기사업연합회, 동경가스 등이　가입된 일본가스협회와 준비를 시작하였다. 2013년 이후부터는 대상 업종을 확대해나갈 예정이다.
 
발전 플랜트나 가스공급 등의 시스템 공격의 대응을 시험용의 설비나 컴퓨터상에서 검증한다. 예를 들면 발전소의 터빈 회전수가 이상을 일으키는 등, 일어날 수 있는 복수의 시나리오 가운데에서 하나를 무작위로 선택하여 현장에서 대처하도록 한다. 피해 파악이나 정보 연락의 절차 외, 재가동시키는 가, 백업 기능을 사용하는 가 등의 판단이 적절하였는가 등을 검증한다. 전문가도 함께하여 계획의 준비 부족이나 적정한 인력 배치 등의 문제점을 찾아낼 것이다.
 
인프라 설비를 제어하는 제어시스템의 이상을 예상한 대규모연습은 최초이다. 중요 데이터를 유출하는 등 정보 시스템을 타켓으로 하는 사이버 공격과 다른 제어 시스템은 외부의 네트워크로부터 격리하는 것이 일반적으로 바이러스 피해를 받기 어렵다고 되어 왔기 때문이다.
 
그러나 에스토니아가 2007년에 받은 공격에는 전기나 수도의 일부가 멈추는 피해가 났다. 2010년에 벨라루시에서 발견된 Stuxnet라고 불리는 바이러스는 이란의 핵연료시설의 산업용제어프로그램을 노린 것이었다. 2011년 10월에는 동일한 구조를 가진 바이러스가 미국에 발견되는 등, 인프라 공격은 허황된 것이 아니다. 네트워크로부터 격리하였다 할지라도 시설에 USB 메모리 등을 가지고 들어가서 시스템을 오동작 시키는 바이러스에 감염시킬 수 있다.
 
일본 정부는 인프라 피해가 생기면 사회나 경제의 혼란은 피할 수 없다고 생각하면서 대책을 서두르게 되었다. 방어의 기본인 제어시스템의 네트워크로부터의 분리는 이미 시큐리티센터가 정리하여 안전지침에 포함시키고 있다. 앞으로는 각 성청이 의무화하는 것을 정부 명령(政令) 개정에서 검토하고 있다. 경제산업성은 작년 말에 원자력 관련 시설에 대해서는 성령(省令)을 개정하고 있다. (일본경제신문. 2012.02.10)
[박춘식 서울여자대학교 정보보호학과 교수]