다양한 업계의 많은 기업들이 IoT 기기를 도입해 인터넷으로 연결함으로써 이러한 기기가 사이버 공격의 표적이 될 위험성도 높아지고 있다. 가속도적으로 중요성이 늘어나는 정보 보안이지만, 그에 대한 인식에는 세계와 일본에서 온도차가 있다. 「제조업의 입장」에서의 보안 컨설턴트로서, 그 차이를 메우려 하고 있는 것이, 다이니혼 인쇄 주식회사(DNP)·정보 혁신 사업부의 사토 슌스케다.
국제 브랜드 신용카드 회사로부터 신뢰를 획득
정보 커뮤니케이션 부문의 기획 개발 담당으로서 보안 컨설팅 팀의 리더를 맡는 사토. DNP그룹이 신용카드의 국제 브랜드의 엄격한 공장 감사에 지속적으로 대응하는 체제를 구축한 것이 "카드 공장"으로서의 보안 체제를 세계 수준으로 밀어 올렸다고 그는 실감하고 있다.
DNP는 1980년대 IC카드 개발에 착수해 개인정보를 다루는 고도의 보안이 요구되는 IC카드 제조·발행 등으로 국내 최고 점유율을 획득하고 있다. 그 사업을 진행하는 가운데 매년 국제 브랜드 신용카드 회사의 인정 감사를 받아야 한다. 거기에서는 시큐리티 카메라의 설치나 입실 제한 등, 「피지컬」이라고 불리는 공장내의 체제 뿐만이 아니라, 사이버 공격 대책 등 「로지컬」이라고 불리는 대응도 엄격히 요구된다.
다양한 업계의 보안 컨설턴트로도 활약
사토는 국제 브랜드 카드 회사가 책정한 보안 관련 사양서를 일본어로 번역하거나 감사 시 통역을 맡는 등 엄격한 요구를 공장 멤버에게 전하는 다리 역할을 담당해 왔다. 신용카드를 제조하는 DNP의 여러 공장에는 엄중한 경비체제 아래 극히 제한된 직원만이 넣는 고보안지역이 있으며, 사토는 그 지역 내에서 카드사에 의한 감사대응을 비롯한 업무 경험도 풍부하다. 이러한 귀중한 경험을 살려 일본인으로서 처음으로 지불 카드 인더스트리(PCI) 보안 스탠다드 카운실(PCI SSC)의 내부 보안 평가인(ISA)의 자격을 취득. 현재는 금융업계에 더해 자동차 등 다양한 업계의 보안 컨설턴트로도 활약한다.
“다양한 업계에서 IoT 기기가 도입되어 인터넷에 연결됨으로써 이러한 기기를 표적으로 한 사이버 공격도 날마다 진화하고 증가하고 있지만, 그에 비해 일본 기업의 대부분은 후반에 돌고 있는 것이 현상입니다.
인간의 성선설과 성악설 사이에
2008년 국제 브랜드 신용카드 각사는 카드를 제조·발행하는 공장의 사이버 공격 대책에 관한 '로지컬' 요구 사양을 대폭 강화했다. 구미의 보안 대책은, 모두가 신뢰할 수 없는 「제로·트러스트」라고 하는, 말하자면 성악설의 생각에 근거하고 있다. DNP에서도 이전부터 고도의 보안 체제를 깔고 있었지만, 그 이상의 기준을 요구받았다.
침입 테스트나 취약성 진단의 정기 실시 등 현재 많은 기업이 실시하고 있는 기준에 더해 "USB 메모리 사용 후는 여러 번 무작위로 덮어쓰고 삭제", "Windows 단말기의 업무에 불필요한 소프트웨어 등을 삭제" 등의 조건도 있었다. 또, 「종업원에게 부여된 권한을 퇴직일 이전에 무효화 또는 삭제」 「무선 기기를 사용하고 있지 않아도, 무선 LAN 티에크를 정기적으로 실시」라고 하는, 성악설을 전제로 한 기준의 내용도 많아, 기본적으로 성선설로 움직이는 일본 기업으로서는, 「거기까지 해야 하는 것인가?」라고, 현장으로부터의 반발도 있었다.
사진은 이미지입니다.
DNP의 현장 대응력
그러나 DNP의 현장 대응력은 높다. 사양서에 있는 기준에 대해 카드회사의 감사관이 이유를 설명하자, 현장은 그 목적을 이루는 보다 저비용의 보안 대책을 고안해, 감사관을 설레게 하기도 했다. “공장에서 일하는 사원의 큰 의식 개혁에도 성공해 DNP의 보안 대책은 세계 수준에 이르렀습니다”라고 사토는 말한다.
비용을 들이지 않는 대책으로서, 예를 들면 이바라키현에 있는 DNP 우시쿠 공장에서는, 사외의 방문자에 대해서, 사원이 「안녕」라고 의도적으로 말을 걸어, 사외의 사람이 공장내의 어디에 있는지를 많은 사원에게 주지시키고 있다. "유효한 보안 대책이며, 오신 분들에게도 불쾌한 생각을 하지 않습니다."
“보안에 관한 해외의 선진적인 사고방식을 재빨리 도입함으로써 DNP는 보안 체제를 한층 강화할 수 있었습니다”라고 말하는 사토이지만, 이 지견이 컨설팅에도 사용할 수 있다고 확신한 것은 2014년이 되고 나서다.
금융 업계에 이어 다른 업계에도 그 지견을 퍼뜨려 간다
2014년 4월 사토는 미국의 주요 유통기업에서 2013년 말에 발생한 정보 유출 사건에 대한 분석 보고서를 정리했다. 이미 동종의 리포트가 작성되고 있다고 생각했지만, 어느 카드 회사의 임원에게 스스로의 분석 결과를 설명했는데, 「시기 적절하고 참신한 분석」이라고 평가되어, DNP가 그 회사의 보안 취약성 진단을 실시하는 계기가 되었다.
금융 이외의 업계의 안건을 다루기 시작한 것은 그 다음 해인 2015년. 대기업 자동차 부품 메이커 프로젝트에 옵저버로 참여하게 됐다. 자동차 업계에서는 당시 IoT 시대의 도래를 받아 보안 체제 강화, 특히 자동차 컴퓨터의 전자 키(디지털 키) 관리가 과제가 되고 있었다. DNP는 오랜 세월에 걸친 신용카드 제조·발행에서 키운 관리의 노하우를 가진다. “대형 글로벌 기업의 안건을 개척할 수 있었던 것은 프로젝트 팀으로서 강점을 합친 것도 물론입니다만, DNP가 같은 제조업이라고 하는 입장에서, 공장을 운영하는데 있어서의 제약이나, 종업원의 업무에의 대처 방법을 비롯해, 제조 현장의 사정을 깊게 이해하고 있었기 때문이라고 생각합니다.”
정보보안의 일본과 세계와의 격차
「일본의 제조업에서는, 지금까지, 정보 시큐러티에의 의식이 그다지 높지 않았다고 생각합니다. 그러나, IoT나 CASE※1의 진전, 공장에의 로보틱스의 도입 등, 제조업에서도 인터넷에 기기등을 연결할 수밖에 없게 되어 하지만 사이버 시큐리티 대책의 강화가 요구되게 되었습니다.” 그러나, 본업으로서 지극히 높은 시큐리티가 요구되는 금융업과는 달리, 제조업이 같은 시큐리티 체제를 즉시 깔는 것은 무리가 있다고, 사토는 말한다. 「최고봉 수준의 대책의 즉각 도입에 대해 금융 이외의 업계에 제안하면, 답답해져 활동이 정지해 버리는 「다카야마병」이 되어 버립니다.최적의 운용 방법이나 코스트를 노래하면서, 단계적이고 무리가 없는 시큐러티 대책의 도입에 대해서 제안해야 합니다」
세계 보안 대책의 선진 사례를 전한다
세계 보안 대책의 선진 사례를 전하는 것도 컨설턴트하는 중요한 역할이다. 세미나에서 강사를 맡을 때도 세계의 사이버 공격에 대한 질문이 많다. 거기에 대답하려면 항상 세계의 최신 정보를 입수하는 것이 중요하다. 사토는 세계 각지의 수십 개의 시큐리티 정보 사이트를 자신의 스마트폰으로 북마크하고, 통근 등의 틈새 시간을 이용해 정보 수집에 전념한다.
- CASE : 자동차 업계의 혁신 분야로서 Connected(커넥티드), Autonomous/Automated(자동화), Shared(쉐어링), Electric(전동화)의 이니셜을 취한 단어.
사이버 공격의 증가와 정교화로 점점 높아지는 수요
사이버 공격이 보다 교묘해지고, 건수도 증가하는 가운데, 사토 등이 제공하는 보안 컨설팅의 수요는, 향후 점점 늘어날 것으로 예상된다. "제로 트러스트의 사고방식을 재빨리 도입한 DNP의 확실한 지견은 일본 기업에 있어서 큰 무기가 될 것이라고 생각하고 있습니다."
향후 일본에서 보안 강화가 필요한 분야
향후 일본에서는 금융과 자동차 분야뿐만 아니라 특히 의료 분야에서의 보안 강화가 필요하다고 사토는 생각하고 있다. 일본에서는 눈에 띄지 않지만 해외에서는 자주 의료 분야의 보안이 깨지기 때문이다. 사토는 사내 후진 육성에 주력하면서 성장 분야인 의료 분야에도 대응해 나갈 예정이다.
일 절임의 날들이 계속되는 가운데, 숨결은 가족과 휴일에 즐기는 「포켓몬 GO」다. 집 주위를 걸으면서 포켓몬을 찾아 배틀에 도전한다. 운동이 되므로 건강 관리에도 도움이 된다.
- 게시일: 2020년 6월 10일
- 부서명이나 제품의 사양등의 게재 내용은 취재시의 것입니다. 예고 없이 변경될 수 있으니 미리 양해 바랍니다.
2020년 6월 10일 by Discover DNP 편집부
