정책동향일본
일본 경제산업성, 사이버보안 대응력 5단계 격부(格付)제도 2026년 10월 시행 예정
보도일: 2026년 3월 1일|수집일: 2026년 3월 9일
요약
일본 경제산업성이 기업의 사이버공격 대응력을 ★3~★5의 3단계로 평가하는 '공급망 보안대책 평가제도(SCS 평가제도)'를 2026년 10월 시행 예정이다. 자동차 부품 산업의 랜섬웨어 피해(2022년 도요타 공급망 마비 사건)가 제도 검토의 계기가 되었으며, 자동차 공급망 전반에 직접 영향을 미칠 전망이다.
본문
일본 경제산업성(METI)이 추진하는 '공급망 강화를 위한 보안대책 평가제도(サプライチェーン強化に向けたセキュリティ対策評価制度)'는 기업의 사이버보안 대책 수준을 별점(★)으로 가시화하는 제도이다. ★3, ★4, ★5의 3단계 평가가 예정되어 있으며, 2026년 10월에 ★3·★4부터 운영을 개시할 계획이다.
★3(기본 수준)은 일반적 사이버공격 대응력, 역할·책임 명확화, 인시던트 대응 절차 정비가 주요 요구사항이다. ★4·★5(고도화)는 업무 중단이나 기밀정보 유출 등 업계 횡단적 영향을 고려한 대책을 요구하며, 정부기관·중요인프라 기업을 대상으로 한다. 평가 항목은 미국 NIST CSF 2.0에 준거하여 거버넌스, 공급망 관리, 리스크 식별, 방어, 검지, 대응·복구를 포함한다.
이 제도의 검토 배경에는 2022년 3월 자동차 부품 제조업체(小島プレス工業)에 대한 랜섬웨어 공격으로 도요타 전 공장이 하루 가동 중단된 사건이 있다. 자동차 산업의 공급망 보안 취약성이 국가 차원의 과제로 인식되면서 제도화가 추진되었다. 시행 후 대기업뿐 아니라 중소 부품업체에도 평가가 적용될 수 있어, 자동차 공급망 전반의 보안 수준 향상이 기대된다.
시사점
일본이 사이버보안 대응력을 국가 격부(등급)제도로 가시화하는 것은, 자동차 공급망 전체의 보안 수준을 Tier 1/2/3까지 체계적으로 평가하는 첫 사례가 될 수 있다. OEM뿐 아니라 부품사의 보안 역량이 직접적으로 평가받는 시대가 다가오고 있다.