|
Keyword#일본 #사이버범죄 #정보보안 #IoT #AI #특허 #지재권
사이버 보안에 대한 리스크를 공시하는 日 기업 급증
특허와 첨단기술을 접목시킨 일본의 이노베이션 전략
디지털화된 자산과 화두로 떠오른 사이버 공격과 보안
최근 일본 기업들 사이에서 기업의 경쟁력 강화를 위해 새로운 디지털 기술을 활용해 이제까지는 없던 비즈니스 모델을 전개하려는 움직임이 확대되고 있다. 디지털 전환(DX) 시대 속 비즈니스의 기술기반(인터넷, 클라우드 등) 및 디지털화된 다양한 자산(정보, 지적재산권, 데이터 등)에 대한 의존도는 나날이 높아지고 있다. 한편, 디지털 전환이 가속화됨과 동시에 한편에서는 기업의 사이버 리스크도 더욱 커지면서 사이버 보안이 기업의 새로운 경영 과제로 떠오르고 있다. 그러나 실제로 많은 일본 기업의 경영층이 사이버 보안의 중요성을 인식하고 있음에도 사이버 보안의 기술 및 실무 측면에서 대응에 어려움을 겪고 있는 것이 현실이다. 이에 최근 일본에서는 인공지능(AI)을 활용한 사이버 보험 등 사이버 보안 서비스가 연이어 등장하고 있으며, 더불어 관련 특허출원 건수 또한 계속해서 성장세를 이어나가고 있다.
<사이버 범죄가 등장하게 된 일본의 환경 변화>
[자료: 일본 손해보험협회(SONPO)의 ‘사이버 보험’ 특설 사이트]
<일본의 AI 관련 특허출원 동향 첨부>
[자료: 일본 특허청(JPO)]
사이버 보안에 대한 중요성이 커지면서 최근 일본 기업들이 사이버 리스크에 대한 내용을 유가증권보고서를 통해 공개하는 움직임이 확산되고 있다. 일본 IT단체연맹에서 집계한 도쿄증권프라임상장기업의 유가증권보고서에 따르면, 사이버 보안 관련 리스크 또는 대책을 공시한 기업은 2022년에 1712사로 전체 상장기업의 93%를 차지했다. 2021년 조사(대상: 도쿄증권거래소 1부기업)에서는 81%, 2019년에는 58%를 나타내고 있어 주요 기업의 공시 비율이 2019년 대비 약 35%포인트 급증한 상황이다.
2022년 3월 도요타(TOYOTA)의 부품생산 거래처가 사이버 공격에 따른 시스템 에러로 인해 피해를 입어 일본 국내의 모든 공장 가동을 정지한 사례 등 사이버 리스크가 기업 활동에 미치는 영향력이 커지고 있어 투자자들이 기업 투자 시 이를 중시하는 경향이 생겨난 것이다. 한편, 리코(RICOH)와 같이 사이버 리스크가 당사의 이익에 미치는 영향액을 가시화한 사례 등 사이버 리스크 결과를 공개하는 방식에 궁리를 더한 기업도 눈에 띈다.
<일본 기업의 사이버 리스크 공시율>
[자료: 일본 IT 단체연맹]
<주요 기업의 사이버리스크 대응책>
기업명 | 유가증권보고서 또는 종합보고서를 통해 사이버 리스크의 영향 및 대책을 공시한 내역 |
소니 그룹 (SONY) | - 담당자가 정기적으로 임원회에 사이버 리스크를 보고 - 전문가를 채용해 24시간·365일 체제로 감시 및 대응 |
KDDI | - 그룹 전체에 보안 기준을 적용, 관련해 정기적으로 회의를 개최 - AI를 활용해 사이버 리스크를 분석 및 감시하는 기술을 개발 중 - 통합레포트에는 최근 일어난 관련 사고 건수도 공시 중 - 2018~2021년 사이 개인정보 유출 등의 중대사고 건수는 0에 수렴 |
히타치 (HITACHI) | - M&A 시 사이버 리스크 평가 등에 대한 정보보안 보고서를 공시 중 - 매수처에 히타치 규율 기반 자체평가를 실시 - 매수처 자체평가와 더불어 현장에 직접 방문해 실태를 확인 - 위 결과가 미흡할 경우에는 개선될 때까지 서포트를 추진 |
Z홀딩스 (ZHD-Yahoo! 소유-) | - 제3자의 기관 등을 통해 당사 서비스의 취약성을 진단 - 사이버 공격 상정 훈련을 연 5회 실시 |
ANA홀딩스 (ANAHD) | - 당사 사원을 전문기관에 파견해 육성 - 민간단체와 연계해 사이버 리스크 관련 정보를 수집 |
리코 (RICOH) | - 이익 영향액을 최대 200억 엔으로 상정해 발표 - 긴급도 5레벨(MAX)으로 상정, 기업의 최대 중요 과제로 다룸. - 자체적으로 정보보안보고서를 발행 - CEO가 직할하는 전문 조직이 사내 체제 및 시책을 수립 |
[자료: 닛케이 신문]
위와 같은 거래시장의 요청을 배경으로 사이버 보안 및 리스크에 대한 공개 강화의 흐름은 더욱 강해지고 있다. 미 증권거래위원회(SEC)는 올해 3월, 사이버 관련 사고가 발생한 기업에서 이를 중요하다고 판단했을 경우 4영업일 이내의 정보 공개를 요구하는 등의 새로운 룰을 제안했다. 비재무정보 공개기준을 모색하는 국제지속가능성기준심의회(ISSB)에선 기준화를 위한 논의 가능성이 있는 주제 중 하나로 사이버 관련을 꼽은 바 있다. 이는 향후 일본 기업에도 한층 더 충실한 공시 요구가 일어날 수 있을 것으로 사료된다.
사이버 보안에 대한 특허 활용사례
1) 파나소닉(Panasonic) 그룹의 자동차 보안 기술력
자율주행 기술의 혁신적인 발전과 디지털화의 진전, 커넥티드 카(Connected Car)라고 불리는 네트워크 접속 차량의 증가 등에 따라 자동차를 겨냥한 사이버 공격의 위험은 해마다 높아지고 있다. 때문에 자동차 업계에서도 사이버 공격으로부터 차량을 방어 및 감시하기 위한 시스템 마련이 급선무로 보는 추세다.
자동차를 겨냥한 사이버 공격에 대응하기 위해 파나소닉에서는 당사의 독자적인 보안 기술을 차량에 탑재했다. 이는 사이버 공격의 발생 또는 그 공격 타입 등을 판정해 ‘차량 보안감시센터(이하 차량 SOC: Security Operation Center)’에 분석용 데이터를 송신하는 ‘차량 침입검지시스템(이하 차량AIDS: Automotive Intrusion Detection System)’ 개발과 더불어 차량 AIDS로부터 수신한 대량의 데이터를 차량 SOC에서 분석해 가시화하는 ‘보안정보이벤트 관리시스템(Security Information and Event Management System)’을 개발한 것이다.
<사이버 공격 원격감시 서비스 ‘차량 SOC’의 데모 현장>
[자료: 닛케이 오토모티브(Automotive)]
2) EC플랫폼 등 온라인 상의 부정접속을 검출하는 ‘오 모션(O-MOTION)’
일본 경찰청의 2022년 9월 발표에 따르면, 2022년 1~6월 ‘불법접속금지법’ 위반 검거 건수는 233건으로, 전년도의 동일 시기와 비교해 89건 증가했다. 그중 사이버 보안 전체에서 차지하는 비중은 25.2%로 전체에서 두 번째로 많은 수치를 나타내고 있다. 더 나아가 신용카드 번호 등의 정보를 도난당해 부정하게 사용되는 '번호 도용 피해'의 2022년 4~6월 피해액은 106억4000만 엔으로, 전년 동기 대비 29.9% 증가했다.
<신용카드 부정사용 피해발생 현황>
(단위: 억 엔, %)
기간 | 신용카드 부정사용 피해액 | 신용카드 부정사용 피해액 내역 | |||||
위조카드 피해액 | 번호 도용 피해액 | 기타 부정사용 피해액 | |||||
피해액 | 구성비 | 피해액 | 구성비 | 피해액 | 구성비 | ||
2014년 | 114.5 | 19.5 | 17 | 67.3 | 58.8 | 27.7 | 24.2 |
2015년 | 120.9 | 23.1 | 19.1 | 72.2 | 59.7 | 25.6 | 21.2 |
2016년 | 142.0 | 30.6 | 21.6 | 88.9 | 62.6 | 22.5 | 15.8 |
2017년 | 236.4 | 31.7 | 13.4 | 176.7 | 74.8 | 28.0 | 11.8 |
2018년 | 235.4 | 16.0 | 6.8 | 187.6 | 79.7 | 31.8 | 13.5 |
2019년 | 274.1 | 17.8 | 6.5 | 222.9 | 81.3 | 33.4 | 12.2 |
2020년 | 253.0 | 8.0 | 3.2 | 223.6 | 88.4 | 21.4 | 8.5 |
2021년 | 330.1 | 1.5 | 0.5 | 311.7 | 94.4 | 16.9 | 5.1 |
1~3월 | 73.7 | 0.7 | 0.9 | 68.7 | 93.2 | 4.3 | 5.8 |
4~6월 | 81.9 | 0.3 | 0.4 | 78.1 | 95.4 | 3.5 | 4.2 |
7~9월 | 81.3 | 0.2 | 0.2 | 77.1 | 94.8 | 4.0 | 4.9 |
10~12월 | 93.2 | 0.3 | 0.3 | 87.8 | 94.2 | 5.1 | 5.5 |
2022년 | 206.5 | 0.4 | 0.2 | 195.4 | 94.6 | 10.7 | 5.2 |
1~3월 | 100.1 | 0.2 | 0.2 | 94.6 | 94.5 | 5.3 | 5.3 |
4~6월 | 106.4 | 0.2 | 0.2 | 100.8 | 94.7 | 5.4 | 5.1 |
(참조) 1. 조사 대상: 국제 브랜드 카드를 발급하는 회사를 중심으로 은행계 카드사, 신용판매사, 유통계 신용회사, 중소 소매상 단체 등 2. 응답 기업수: 41개사(은행계 카드 회사인 FC/BC 각 회사는 국내 브랜드 회사 단위로, 일본 전문점회 연맹·NC일상연의 각 단회는 연맹단위로, 각각 1사로 추산 3. 집계 숫자: 조사표 제출업체의 현금서비스를 포함한 부정사용 피해액을 가산 합계한 것이며, 해외발급카드분은 포함하지 않음. 4. 2014~2016년, 2017년 1~6월, 2018년 7~9월, 2019년 10월~2020년 집계 숫자는 변경돼 상시 수정 중 5. 2021년 이후 구성비는 단위 미만을 반올림했기 때문에 내계와 계는 일치하지 않을 가능성이 있음. |
[자료: 일반사단법인 일본신용협회]
이러한 통신판매 시장의 취약점을 근거로, 더욱 다면적인 보안 환경을 EC 사업자에게 제공하기 위해 정보 유출의 원인 중 하나인 부정 접속을 감지하는 서비스 '오 모션(O-MOTION)'이 최근 일본의 대형 EC플랫폼 운영업체 ‘w2솔루션(w2 Soulution)’과 연계 가능한 보안 서비스를 개시했다. 주식회사 각코(Cacco)에서 탄생한 오 모션은 독자적인 단말 특정 기술과 키 터치 등의 조작 정보를 활용해(특허 제6860156호) 정당한 ID·패스워드의 접속일지라도 그 접속이 정말 본인에 의한 것인지, 부정자에 의한 부정접속인지를 실시간으로 감지하는 클라우드 서비스이다. 이는 자동 프로그램(Bot)에 의한 무차별 대입 공격 및 타인의 ID·패스워드를 사용한 부정자의 행세를 검출해 통신판매 사이트, 금융서비스 사이트(인터넷 뱅킹, 온라인 증권), 회원 사이트 등에서 부정 접속/부정 로그인 대책에 이용된다.
시사점
날로 확대되는 사이버 리스크에 대응하기 위해 2022년 4월 개정된 일본의 ‘개인정보보호법’에서는 개인정보를 취급하는 사업자의 책임이 더욱 무거워졌다. 예를 들어 6개월 미만의 단기적인 개인정보를 취급하는 기업도 본 법률의 대상에 포함됐다. 또한 기업은 정보 유출 시 의무적으로 정부에 보고해야 하며, 위반 시에는 벌금형이 인상되는 등의 사항이 다수 개정됐다. 이렇듯 개인정보를 활용하는 과정에서 발생할 우려가 있는 부정 접속, 정보 누설, 데이터 조작 등의 사이버 범죄를 예방하기 위한 움직임은 향후 더욱 강화될 것으로 예상된다. 도쿄 IP-DESK에서는 최첨단 테크놀리지 및 정보 보안과 관련된 일본의 지식재산권에 대한 분쟁 예방 및 대응 등을 위한 상담은 KOTRA 홈페이지(www.kotra.or.kr) 또는 도쿄 IP-DESK(tokyo-ip@kotra.or.jp) 앞으로 문의 가능하다.
자료: 일본 손해보험협회, 일본 특허청, 일본 IT단체연맹, 닛케이 신문, 파나소닉 그룹, 주식회사 각코 홈페이지 및 PR TIMES 참조, KOTRA 도쿄 무역관 IP-DESK 자료 종합
|