[비즈한국] 近期发生的系列黑客攻击事件造成相关损失不断扩大,政府已着手全面重新审查安全体系。政府正推动相关方案,包括在确认黑客攻击迹象时,无需企业申报即可进行职权调查,并实施惩罚性罚款。不过也有观点指出,政府自身也需要“动手术”。外界认为,政府管理真空和薄弱的协作体系也是导致黑客攻击事件背后的原因之一。
在过去5年里,仅国防部、国土交通部、个人信息保护委员会等5个政府部门就确认了3.8万余起个人信息泄露事件,政府自身也难以从泄露事故中置身事外。正因如此,越来越多的声音呼吁将黑客攻击事故视为国家层面的危机,而非仅仅是企业风险,并应开启针对网络安全的全面革新。

政府应对不力的表现何在?
政府在信息安全方面的作用分为两大支柱:以“安全认证制度”为主的事前管理,以及通过“入侵事故调查与制裁”进行的事后应对。自4月SK电讯黑客攻击事件以来,每月重复发生的大规模信息泄露事件表明,政府在事前预防和事后应对体系上均存在漏洞。
近期遭受黑客攻击的SK电讯、Yes24053280、乐天信用卡、KT030200等企业,均为获得了韩国最高级别安全认证“ISMS-P(信息保护及个人信息保护管理体系认证)”的企业。其中,乐天信用卡在服务器被黑客攻击的两天前,才刚从金融保安院获得该认证。这意味着它们被认可具备了有效应对网络入侵威胁的能力。除金融业以外,绝大多数企业和机构通过韩国互联网振兴院(KISA)获得ISMS-P认证。
业界观点认为,政府为保障信息通信网安全性而引入的安全认证,实际上只是仅满足最低标准的“形式化制度”。为企业进行模拟黑客攻击和渗透测试的国内安全咨询行业相关人士表示:“ISMS-P只是确认在特定时期内是否遵守了必要安全要求的基准点,并不能保证系统的绝对安全。企业必须在持续管理和运营的过程中应对新的威胁。”

事后应对的漏洞也显露无遗。在处理非法小额支付事件时,KT于18日向KISA举报了6起服务器入侵迹象,而这些迹象在之前4个月的安全检查中已被确认。科学技术信息通信部在SK电讯黑客攻击事件后,曾组建民官联合调查团,对通信公司和主要平台公司的安全状况进行过检查。当时科技部发布的公告称“未发现异常”。
科技部第2次官柳济明在19日的联合发布会上,针对检查不力的争议解释称:“只是确认了KT和LG Uplus032640没有发现SK电讯遭遇的那种恶意代码。”他补充道:“虽然进行了强度相对较高的调查,但在物理条件和客观状况上,确实没能对整体安全状态进行全面调查。”
初期应对迟缓和反复出现的隐瞒质疑,也体现了政府应对的不足。现行法律规定,只有在受害企业或机构自愿申报时才能进行调查。事故后政府的“劝告”等措施缺乏约束力也是显著的局限性。政府曾劝告SK电讯在发生黑客事故受损时制定100%负责赔偿的方案,并扩大违约金免除对象,但公司并未采纳。

“需重新整顿认证制度,构建指挥塔”
被指为KT非法小额支付事件犯罪手段的“毫微微蜂窝基站(Femtocell)”在现行信息保护管理体系中处于缺失状态,这凸显了重新整顿事前认证制度的必要性。
出身于谷歌的国会科学技术信息放送通信委员会成员李海敏议员强调:“现在的认证制度反而让人怀疑是在给企业开脱。必须根据现实情况全面改编安全认证体系,至少针对黑客攻击事故,为了让企业负责任地解决问题,有必要探讨实施惩罚性损害赔偿制度。”
前述安全业界人士表示:“虽然像目前的ISMS认证那样进行普及应用有难度,但为了能够评估企业的实际防御能力,需要根据现实威胁进行强化。应当要求企业在获得认证后定期提交脆弱性评估结果,或确保具备一定水准以上的安全人员及预算,从而引导其进行持续性的安全管理。”
政府已着手紧急制定对策。政府正推动修订《信息通信网法》等,扩大调查权限,以便仅凭黑客攻击迹象即可采取职权调查,并强化持有大量个人信息的企业和机构的安全义务。方针是,若违反安全义务,将适用惩罚性罚款以提高事故应对能力。正在探讨的修订案包含设立“入侵事故调查审议委员会”,以便在重大事项上经过专家审议后即可进行职权调查。
专家和国会都强调了政府的责任和作用。人们越来越意识到,一系列安全事故不仅仅是企业的问题,更是国家层面的政策课题。

特别是考虑到韩国原有的“网络隔离(所有业务电脑与互联网断开连接的概念)”原则正在弱化,有观点提出需要新的安全范式。
24日作为参考人出席国会科放委黑客事件听证会的高丽大学信息保护研究生院金胜柱教授解释道:“新冠疫情时期开始发生变化,随着后续人工智能(AI)政策的引入,连接范围扩大了。原本完全断开网络的内部网系统曾处于‘无菌室’一样的状态,但随着(网络入侵)瞬间涌入,这些系统正在无力地崩溃。”金教授表示:“应当在早期探测、脆弱性预先防御、事故发生时阻断与化解体系的基础上巩固网络安全。”
针对政府部门间各行其是的现状,有人提出了通过指挥塔进行综合应对的必要性。国内金融公司的信息泄露事件根据金融委员会的告示由金融保安院管理,而其他行业发生的事故则根据《信息通信网法》和《信息保护产业法》等由科学技术信息通信部下属的KISA负责。由于黑客攻击受害不分领域,因此评价认为必须构建统一的管理监督体系。
中央大学产业保安系教授张恒培解释道:“虽然目前具备了金融保安院、KISA、国情院各司其职,由国家安保室统筹的形式化体系,但实际上在组织规模和机动性方面存在局限,且以协商会形式分散,应对能力确实较低。如果能像国务调整室那样,在安全领域通过实实在在的指挥塔来做出决策,才能真正发挥作用。”