相次ぐサイバー攻撃に対し、韓国政府が10月22日に発表した「汎政府情報保護総合対策」は、罰則強化や情報公開の義務化といった、企業への圧力を強める方向性を明確に打ち出した。だが、攻撃の背後にいるとされる中国・北朝鮮・ロシアなど国家主体の勢力への根本的対応が見当たらないことに、懸念の声が上がっている。
今回の対策には、上場企業すべてに対する情報保護義務の開示制度、ハッキング被害企業に対する政府の職権調査、さらに懲罰的課徴金制度の強化などが盛り込まれた。短期的な対応が中心だが、「セキュリティが不十分な企業には容赦しない」という姿勢が明確に示された格好だ。
しかし、忘れてはならないのは、ハッキングされた企業もまた「被害者」であるという事実だ。今回の攻撃では、移動通信大手3社、金融機関、さらには公共機関までが対象となり、民間・政府を問わず広範囲に被害が及んだ。
これらサイバー攻撃の多くは、中国や北朝鮮、ロシアといった国家勢力が関与していると見られている。中国や北朝鮮の関連組織とされる勢力は、アジア・太平洋地域の通信会社や政府機関を対象に、数年にわたり情報戦の一環として攻撃を継続。ロシアのハッカー集団は、ランサムウェア(身代金要求型ウイルス)を用いて企業から金銭を強要するなど、攻撃の巧妙化・広域化が進んでいる。
にもかかわらず、韓国政府がこうした攻撃元に対し、外交的な抗議・対処をした形跡は乏しい。
すでに行政安全省の「オンナラシステム(政府の業務支援プラットフォーム)」がハッキング被害を受けたことは確認されており、他の政府機関のシステムへの侵入の形跡も明らかになっている。にもかかわらず、企業にのみ厳しい制裁を課し、政府自身への対応を曖昧にしたままでは、今回の対策は「二重基準」との批判を免れない。
また、民官軍が共同で構成する「国家サイバー危機管理団」の常設要員は、たったの約20人に過ぎないという。これで高度化する国家主導のサイバー攻撃にどう立ち向かうのか。短期的な制度強化にとどまるのではなく、まずは国家の「サイバー戦闘力」を現実的に補強する必要がある。
12月に予定されている「中長期サイバー安全保障戦略」では、企業への責任転嫁に終始することなく、韓国全体のサイバー対応力を実質的に高める方策が求められる。外交、法制度、軍事力、すべての観点から実効性ある戦略を提示できるかが、政府の真価を問うことになるだろう。【news1 ユン・ジュヨン記者】
(c)news1
