韓国政府機関狙ったサイバーテロ、1日平均200万件
韓国政府機関狙ったサイバーテロ、1日平均200万件
去る3月、国内の政府省庁などの公共機関に対するサイバーテロを試み件数が1日平均200万件にのぼることが分かった。 特に 、中国 に拠点を置くか、または中国を経由してサイバーテロ攻撃の割合が全体のハッキングの試みの半分を超えており、これに対する対策が急がれる状況だ。
30日 、国家情報院 傘下の国家サイバー安全センターによると、今年3月に国内の公共機関の外部のハッキング攻撃しようと件数は1日200万件で、去る2月(81万件)に比べ2倍以上急増した。
このように攻撃しようと件数が急増したのは、海外から国内コンピュータ·ネットワークの脆弱性をスパイするためのいわゆるスキャン(scanning)攻撃が2月12万から3月71万件に急増したためだ。 アンラボ部屋ウンソン戦略技術チーム常務は"海外のハッカーたちが一度スキャン攻撃を介して公共機関のセキュリティシステムに脆弱性を発見した場合、本格的なハッキングの試みをしている"と話した。
企業·大学·研究所などの民間分野への攻撃を試みても、最近急増している。 民間部門の情報保護システムを統括する韓国情報保護振興院によると、3月の情報保護振興院仮想網にかかった全体のインターネットの有害トラフィック(交通)は、2121万件で、2月より29.2%増えた。
また、このような無差別攻勢により、企業が相次いでハッキング被害を受けていることが示されている。 既に知られているオークション·ダウムコミュニケーション、未来アセット証券のほか、12日にはLGインファウォンホームページもハッキングを受けたことが確認された。
また、最近のハッカーは、単なる自己誇示ではなく、ハッキングを通じて、企業の重要な情報や個人情報を抜き出しお金を稼ぐという犯罪目的でハッキングを試みるケースが急増している。 最近の個人情報流出はしかを経験したオークションの場合も、ハッカーがオークション側に電話をかけて金品を要求した。 セキュリティ専門家チェウンホ博士は"外部に公開されるハッキング被害事例は、実際の件数の5%に過ぎないというのが、セキュリティ業界の定説"としながら"企業や銀行は、ハッキング攻撃を受けても、お客様の集団訴訟やイメージの失墜を懸念し、内密にしている場合がほとんど"と話した。
このようにハッキング犯罪が猛威を振るうのに比べて、これに対応するセキュリティ人材と投資は大幅に不足しているのが実情だ。
ハッカー幕の専門家も、セキュリティ投資もない
個人·公共情報だらだら漏れ"IT強国コリア"
昨年の企業の半分"情報の保護のためにお金スンジョクない"
"企業が少ないお金アキリョダ狼狽見ても"知的
政府のIT予算のうち、情報保護の部分はわずか2〜3%
昨年の企業の半分"情報の保護のためにお金スンジョクない"
"企業が少ないお金アキリョダ狼狽見ても"知的
政府のIT予算のうち、情報保護の部分はわずか2〜3%
チョ·ヒョンネ記者ベクスンジェ記者朝鮮日報
国内最大のインターネット取引サイトオークションには、セキュリティ担当部署もセキュリティの専門家でもなかった。 インターネットシステム全体を管理する部門でセキュリティ業務まで担当していた。 さらに、実際の運営は外部にアウトソーシング(outsourcing)する形だった。 オークションは去る2月初め1081万人以上の顧客情報が流出して取り組まなければあたふたとセキュリティの専門家2人を外部からスカウトした。 オークションは金融取引ネットワークがダウンした時に備えて予備のサーバー(server)を別に置くほどインターネットシステムの構築に心血をソトアトジ万ハッキング防止投資は落第点だった。
大企業も役員CSO(Chief Security Officer·セキュリティ最高責任者)を置くことはほとんどありません。 本紙が売上基準で上位20大企業を対象に調査を実施した結果、サムスン電子·LG電子などほとんどの大企業が経営支援本部の傘下に部長級人事をチーム長とする小規模の専門チームを置いているほどだ。
公共機関も大きく変わらない。 銀行統合電算網を管理する金融決済院の場合、セキュリティ関連部署の歴代幹部職の多くが、非専門家の出身である。 購入や人事などの関連業務を主にしている途中促進や循環補職に応じて、セキュリティ業務を担当する。
◆細かい情報保護投資
このような事例で見るように 韓国 は他のIT分野に比べて情報の保護への投資は非常にけちだ。 2008年、米国連邦政府の情報保護関連予算は約60億ドル(約6兆円)で、全体のIT予算の9.2%に達するのに対し、韓国は全体の政府のIT予算に占める割合がわずか2〜3%に過ぎない。 地方自治体を含む政府部門で担当部署を設置している割合もわずか11.8%にとどまっている。(2008年国家情報保護白書)
企業もすぐに売上に直結されていないセキュリティ投資を敬遠する傾向が強い。 最近の個人情報流出の事態をもたらした LGテレコム の場合、サーバーシステムに最も基本的なセキュリティアプライアンスのファイアウォールさえインストールしていなかった事実が警察の捜査結果で明らかになった。 それだけセキュリティ投資にケチだという話だ。 韓国情報保護振興院が昨年、従業員5人以上の企業2500ところについてサンプル調査を実施した結果、全体の半分を超える50.8%が"情報保護への支出が全くない"と答えた。
セキュリティの専門家であるチェウンホ博士は、 "大企業でさえ、すぐに収益を出せないセキュリティ投資は非常に細かい方"としながら"24時間監視システムのようなことを運営する企業は数えるほどだ"と話した。 オソクジュ アン·チョルス研究所 代表は"海外公的機関や企業では、IT投資からセキュリティが占める割合が少なくとも2度の中には入るが、我々は6度から7度"と"オークション事故以来、あちこちでのお問い合わせはたくさんあるが、セキュリティシステムを購入する企業はほとんどない"と話した。
このような理由のために韓国のセキュリティ業界はIT先進国という名声にふさわしくないように、外国に比べて大きく遅れている。 現在、国内には150以上のセキュリティ企業が乱立しているが、アン·チョルス研究所など一部のメーカーを除いては、やっと名前だけ維持だけだ。 ここではセキュリティ業務は24時間365日の交代勤務をしなければするなど、ITの3D業種に数えられため、優秀な人材を採用するのも非常に難しい。 韓国情報保護振興院 ファンジュンヨン院長は"優秀な人材が情報保護に関連専攻を避けてており、企業セキュリティ業務採用担当者のほとんどが、他の分野を専攻したか、それともキャリアで補充されている"と話した。
◆ハッキング事故発生すると、企業たち"もみ消し"
このような状況でハッキングなどのセキュリティ事故が発生した場合、即座に国全体のバックボーンが麻痺する大型事故につながることができると専門家は指摘する。 韓国情報保護院のインターネット侵害事故対応センターギムオハン本部長は"2003年のインターネット大乱当時のインターネットウイルスのために国家通信網が完全にマヒなっていた"としながら"企業が少ないお金をアキリョダがひどい目に見ることができる"と語った。
特に最近になって国内コンピュータ·ネットワークのハッキングなどの攻撃を試み件数が1日平均200万件で、2月(平均81万件)に比べて2倍以上急増する点を勘案すれば、情報の保護疎かに伴うリスクがますます高まっている状況である。 実際にジョン栄一(Zone-h)のような国際ハッキングコミュニティサイトに入ってみるとハッキングされた国内企業サイトの写真が堂々と出ている。 ハッカーたちが戦利品のように自分の能力を誇示するものである。
さらに問題は、ハッカーたちが、単に自分の能力を誇示するレベルを超えて、企業から抜き取った情報を餌にお金を要求するなど、ますます犯罪化されているという事実だ。 このような場合、多くの企業は、ハッキングの事実が外部に知られることを懸念し、最終的にハッカーの要求に屈服してしまうということだ。 した外国製造装置業界の関係者は"国内企業はハッキングをされると根本的な問題を解決するよりも、隠しながらハッカーたちの要求を聞き入れる事例が多い"としながら"このため、韓国が 中国 など海外のハッカーたちの集中的な標的になるではないか懸念される"と話した。
(翻訳:みそっち)
