KTやロッテカードなど相次ぐ韓国企業ハッキング事件で韓国政府は22日、「ハッキングとの戦争」を宣言した。セキュリティ業界を中心に大規模通信会社のハッキング事件を経験した米国などの事例を参考にしながら信頼できるシステムを構築しなければならないという指摘が出る。

ロイターやニューヨーク・タイムズなど外信報道とホワイトハウスの会見などを総合すると、米国は昨年ベライゾンなど通信会社9社が大規模なハッキングを受けた。米政府は中国政府と関連したハッキング組織が1年以上通信会社のネットワークに浸透してユーザーの通話記録、位置情報、裁判所が許可する傍受システムまで奪取されたものと疑われている。米連邦捜査局（FBI）はこのハッカー組織が2021年から通信・運送・宿泊業者などに浸透して組織的な攻撃を行ったという報告書を出した。通信会社だけでなくクラウド企業のオラクルは独自の統合認証（シングルサインオン）システムがハッキングされ数百万件の認証情報が流出した。オラクルは被害を認めていないが、ダークウェブに顧客認証データ販売の案内が投稿され、オラクルは旧型サーバーハッキングだけ認めて批判を受けたりもした。


ハッキング事件直後にホワイトハウスは国家安全保障委員会（NSC）、FBI、サイバー・インフラ保安局（CISA）、連邦通信委員会（FCC）など関連機関を総動員してハッキングの事実を調査し、侵害拡散を防ぐための非常対応チームを運営した。また、ハッキングに弱い主要インフラ、ネットワークに対する緊急セキュリティ点検と各種予防措置などを強制勧告した。FCCは昨年末、主要通信事会社に対しネットワークアクセス制御、侵入探知、データ暗号化強化などを義務付ける内容を盛り込んだネットワークセキュリティ強化規定を提案した。


米国政府は2021年から強力な大統領令を通じ連邦レベルで体系的なハッキング対応に向け努力してきた。国家サイバーセキュリティ改善の大統領令を施行して連邦政府内すべての機関と契約業者に厳格なセキュリティ事項を要求し、ソフトウエア供給網セキュリティなどを強化した。特に「ゼロトラスト」政策を導入し攻撃探知と対応速度を高めた。ゼロトラストは「絶対信頼禁止の原則」に基づいてネットワーク、ユーザー、機器、アプリのアクセス要請をリアルタイムで検証する。

これに対し韓国はゼロトラスト拡散に向け努力しているがまだ初期段階だ。高麗（コリョ）大学情報保護大学院のキム・スンジュ教授は「ゼロトラストをするためにはデータ分類を先行しなければならない。データを軽重により上中下に分類し、重要なデータを守るために努力するのがゼロトラストの核心。韓国はまだデータの軽重も分類できておらず、政府関連予算も投入されていない」と話す。続けて「データ分類という先決課題なくゼロトラストだけ話すので掛け声にとどまるほかない。英国はゼロトラストに向けたデータ分類だけで3年かかった」と話した。

官庁間の縦割り対応も問題だ。韓国は金融委員会、科学技術情報通信部など各所管官庁別に企業が分かれており総合的なハッキング対応が難しい。実際にロッテカードのハッキング事件は金融委員会が、SKテレコムとKTなど移動通信会社やイエス24のハッキング事故は科学技術情報通信部がそれぞれ対応している。また、官民協力を強化しているが韓国では単発の対応にとどまるという指摘も出る。順天郷（スンチョンヒャン）大学情報保護学科のヨム・フンヨル教授は「官庁間で責任が明確でないグレーゾーンでハッキングが起きることが多いが、これに責任を負えるコントロールタワーが必要だ」と話した。