○ 일본 언론에 따르면, 일본제철과 JFE스틸이 사이버 공격에 대한 대책 마련을 경영의 중점 과제로 정하고 새로운 방어책을 구축하고 있다고 보도(9.17.)
- 철강산업의 스마트화-디지털화가 진행되면서 '제철소 시스템에 접근할 수 있는 입구'가 대폭 확대되고 있다고 지적하면서 보안의 중요성이 대두되고 있다고 설명
- 일례로, 일본제철은 자사 무로란 제철소에서 드론을 이용한 무인 원격 제철소 관리 솔루션을 검증실험하는 등 전체 제철소에 디지털 기술을 적용할 것이라는 계획을 발표한 바 있음
• JFE스틸은 자사 서일본 제철소 냉연공장에서 드론을 활용한 Radiant Tube* 점검 테스트를 실시했음
* Radiant Tube: 냉연공장의 연속소둔라인의 Furnace 내부에서 Strip을 간접 가열하는 장치
- 이에 더해, 코로나19 확산으로 재택근무가 일상화되면서 재택근무자의 PC 해킹 시도가 증가하고 있어 정보 보안을 강화해야 한다는 목소리도 제기되고 있음
○ 전세계적으로 제조업 공장과 제철소에 대한 사이버 공격은 꾸준히 발생해왔고, 일본에서도 이는 반드시 해결해야 할 심각한 문제였음
- '12년 독일 철강사 티센크루프가 중국에 IP를 둔 해커들의 공격을 받은 바 있음
- 또한 '14.12월 독일의 정보보안청(BSI)이 발간한 보고서에 따르면, 독일의 한 제강소 네트워크가 사이버 공격을 받아 제어시스템이 망가졌고, 결국 용광로가 폭발하는 사고가 발생했음(보고서는 기업명과 소재지, 피해 일자를 밝히지 않았음)
- 일본의 닛케이 비즈니스도 '16.7월 "일본 국내 공장과 플랜트의 상당수가 컴퓨터 바이러스에 감염되어 있다"며 허술한 보안 관리에 대해 지적한 바 있음
○ 이에 일본제철과 JFE스틸은 제로 트러스트* 기반 시스템을 통한 보안 강화를 추진하고 있음
* 제로 트러스트(Zero Trust): '10년 미국의 시장조사기관 Forrester Research의 수석 애널리스트였던 존 킨더박(John Kindervag)이 처음 제안한 IT 모델로 '누구도, 아무 것도 신뢰하지 않는다'는 뜻. 전통적인 IT 보안 모델이 외부인은 철저히 경계하는 한편, 내부인에 대해서는 지나치게 신뢰했었다면, 제로 트러스트 기반 보안 모델은 기업의 내외부를 막론하고 인증 절차를 통해 확인된 사용자와 기기에만 리소스 접근을 허용하되 접근 범위를 최소화함
- 일본제철은 9월 발표한 '21년도 통합보고서에서, 제로 트러스트형 보안 체제 확립을 진행 중이라고 밝혔음
- JFE스틸의 닛타 테츠 상무는 8월말 자사의 DX 전략 설명회에서 '제로 트러스트'를 새로운 보안 모델로 고려하고 있다고 밝히며, '24년까지 자사 시스템으로 확립할 계획이라고 설명
○ 일본제철과 JFE스틸 양사는 새로운 보안체제 도입과 더불어 기존의 사내 보안 조직 강화를 통해 사고 발생시 대처 능력 강화도 함께 추진 중임
- 양사는 각각 사이버 보안 대응팀 'NSG-CSIRT', 'JFE-SIRT'을 통해 사내 네트워크와 사내 데이터에 접속하는 기기에 대한 감시를 강화하는 한편, 그룹사 전체 임직원들을 대상으로 사이버 보안 관련 교육을 통한 데이터 리터러시* 향상을 추구하고 있음
* 데이터 리터러시(data literacy): 데이터 수집·가공·분석 뿐 아니라 데이터 관리까지 포함하는 데이터에 대한 전반적인 활용 능력
• 일본제철의 사이버 보안 대응팀 NSG-CSIRT는 '13.12월에, JFE그룹의 JFE-SIRT는 '15.6월에 신설되었음
* 그림 1. JFE그룹의 사이버 보안 대응팀(JFE-SIRT) 구조도
* 그림 2. JFE그룹의 정보 보안 체제 내부 구조도
