北朝鮮偵察総局傘下のハッカー組織「アンダリエル」は今年初め、韓国国内資産運用会社を対象に文書中央化サーバーをハッキング後、サーバーに暗号をかけ、「金を渡せば暗号を解除する」と脅迫した。資産運用会社は、サーバーにあるデータに対するバックアップファイルがあり、お金の要求には応じなかった。しかし、その代わり、該当サーバーを捨てなければならなかった。金融界の関係者は、「かつてのハッカーは無差別攻撃に乗り出したとすれば、今年に入ってからセキュリティが脆弱な金融会社をターゲットに集中的に攻撃する方法に変わった」と話した。
国内金融業界のハッキングによる情報流出被害者が、昨年の5人から今年は6月基準で3142人に急増するなど、金融界もハッキングのリスクにさらされていることが分かった。野党「国民の力」の姜旻局(カン・ミングク)議員室が、金融監督院から提出を受けた資料によると、国内金融業界のハッキング事故は昨年は4件、今年も6月まで4件となっている。しかし、昨年は、ハッキングの試みにも関わらず情報流出の被害が少なかったのと違って、今年は漏れた個人情報が急増した。今年ハッキング侵害事故が起きた金融会社は、△iMバンク、△野村金融投資、△KBライフ生命保険、△韓国スタンダードチャータード銀行だった。
2020年~2025年6月までの約6年間を考えてみると、ハッキングによる情報流出が最も多く発生した業権は、△貯蓄銀行(3万6974人)、△証券業権(1万883人)、△生命保険業権(2673人)、△銀行業権(474人)の順だ。これは、金融当局に報告義務がある銀行、証券会社、保険会社、カード会社などのハッキング事例のみ集計された数値だ。当局への報告義務はないが、最近ハッキング被害にあった資産運用会社や法人保険代理店(GA)まで含めれば、関連数値は大幅に増えるものと見られる。
姜議員は、「金融当局は、金融会社のセキュリティ脅威対応水準を常時監視するための統合管制体系を早く構築し、周期的に金融会社向けIT常時協議体と懇談会を実施するなど、活動を強化しなければならない」と強調した。
新政府は、情報セキュリティ関連金融会社の責任を厳しく問う金融政策を予告した。李在明(イ・ジェミョン)大統領は、「繰り返されるセキュリティ事故の責任転嫁を根絶する」として、金融保安義務違反などで金融保安事故の発生時に懲罰的課徴金を課すと公約した。
情報セキュリティに対する取締役会の責任を強化する内容の電子金融監督規定の改正案も、8月5日から施行される。同改正案は、会社の情報保護最高責任者(CISO)が取締役会に電子金融取引の安全性と信頼性に重大な影響を及ぼす事案を報告するよう定めている。
金融界の関係者は、「金融会社も、情報セキュリティ関連の良質専門家を置いて予算を投資しなければならない」と強調した。
全主榮 aimhigh@donga.com
About Dong-A Ilbo