보안뉴스 창간 18주년을 축하합니다!!

Home > 전체기사

ICT 기반 차세대 선박의 사이버 위협 증가... ‘사이버 복원력’ 중요성 부각

입력 : 2024-02-29 15:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국제선급협회, 선박 사이버복원력 기준 배포...신규 건조 선박 사이버복원력 의무 적용
해앙수산부, ‘자율운항 선박 규제혁신 로드맵’ 발표...자율주행 선박 보안성 강화 의지 밝혀
국내, 네트워크 모니터링과 보안관제 집중...해외, 선박 설계~사이버보험 등 광범위한 접근


[보안뉴스 김영명 기자] 전 세계에서 선박에 대한 사이버 보안 강화 움직임이 뜨겁다. 선박은 국제해사기구(IMO: International Maritime Organization)가 2019년부터 도입 중인 차세대전자항법체계(e-Navigation)를 기반으로 선박 운항의 효율성과 안전성을 확보할 수 있는 초석을 마련했다.

[이미지=gettyimagesbank]


IMO는 2021년 1월부터 안전관리체계(IMS) 인증심사에서 사이버 안전을 포함하도록 권고하고 있으며, 국제선급협회(IACS)는 ‘선박 사이버 복원력(UR E26·27)’ 기준을 배포해 2024년 1월 1일 이후 건조가 계약된 신규 선박부터 사이버 복원력을 의무 적용하도록 했다. 우리나라 해양수산부는 2031년까지 자율운항 선박 기술개발 촉진과 조기 상용화를 위해 ‘자율운항 선박 선제적 규제혁신 로드맵’을 마련해 완전 자율주행 선박의 보안성 강화에 나서겠다고 밝혔다.

국내외 조선·해양업, ‘사이버 보안’ 중요성 떠올라
이글루코퍼레이션의 리포트에 따르면 최근 2년간 선박을 대상으로 한 사이버 공격 사례로 지난해 1월 노르웨이의 DNV(노르웨이선급협회) 홈페이지가 랜섬웨어에 감염, 해양산업 전체 점유율의 21%를 차지하는 선박 생애주기 관리 소프트웨어 업체의 선박관리 소프트웨어 서버가 해킹돼 악성코드가 심겼다. 이 사고로 70여 고객사의 선박 1,000여척이 영향을 입었다. DNV 측은 피해 최소화를 위해 시스템에 연결된 IT 서버와 ShipManager를 종료했다.

2022년 12월에는 싱가포르의 선박 항해 내비게이션 솔루션 업체 Voyager Worldwide의 시스템이 랜섬웨어로 다운됐으며, 포르투갈 리스본 항만은 록빗(LockBit) 해킹그룹의 공격으로 시스템이 다운되고 항구관련 문서와 화물정보 등의 정보가 탈취됐다. 같은 달 유럽 해양IT 회사·선주사 4곳은 랜섬웨어에 감염된 이후 해킹그룹 PLAY가 다크웹에 기업 중요 데이터를 공개하기도 했다.

이렇듯 선박 대상 사이버 공격이 잇따르면서 국내외 조선·해양업계에서는 사이버 보안의 중요성이 이슈로 자리잡고 있다. 먼저 각국의 선급협회들이 선급 간의 협력 및 규칙의 통일을 도모하기 위해 조직한 국제선급협회(IACS)는 선박 사이버 보안 규칙인 UR E26과 E27을 발의했다. 이 규칙에 근거해 2024년 7월 이후에 계약되는 선박은 사이버 보안체계를 필수로 갖추도록 했다.

국제표준화위원회(IEC/ISO)는 2022년 3월에 선박 사이버 보안 표준 IEC/ISO를 제정, 선박 항해·통신 시스템에서 사이버 보안을 필수 요소로 포함시켰다. 이 ISO 표준은 한국이 제시한 ’IPv6 기반 선박 보안 네트워크 국제표준안(ISO NP23816)을 국제 공식표준으로 채택한 것이다. ISO NP23816은 △기존 선박 및 미래의 선박, 네트워크 및 서비스의 상호 연결 촉진 △선박(함교~기관실) 및 선박 외부정보와의 상호운영성 보장 △자율운항 선박에 적용되는 향상된 사이버 보안 및 탄력성, QoS(Quality of Service), Internet of Ships/Things를 통해 빅데이터 애플리케이션 지원 등의 특징이 있다.

[이미지=gettyimagesbank]


우리나라 조선업계, 다가오는 위협에 어떻게 대응하나
우리나라의 조선업은 세계 1위를 놓치지 않고 최고의 기술경쟁력을 자부하고 있다. 하지만 인공지능(AI)과 블록체인, 빅데이터와 5G 등 ICT 기술의 발전은 해양산업 생태계에 지각변동을 가져오고 있다. 기후변화를 중심으로 한 환경 변화, ICT 기술 발전을 두 축으로 한 변화의 중심에는 자율운항 기술이 자리하고 있고, 이를 안전하게 구현하기 위한 ‘사이버 보안’이라는 키워드가 부상하고 있다.

해양 모빌리티 사이버 보안 전문기업 싸이터의 조용현 대표는 “IACS에서 의무화한 사이버 복원력은 우리나라의 기술력이 세계 어떤 나라보다도 더 앞서 나가고 있다”며 “특히 네트워크 모니터링과 보안관제, 해양 또는 선박에 특화된 위협정보 수집 시스템 분야에서 상당한 기술 우위를 점하고 있다”고 말했다.

해외 주요 선진국들은 선박 사이버 보안과 관련해 선박 보안설계(Secure by Design) 기술, 선박 데이터 보안 기술, 법·제도 및 교육훈련 등에 초점을 맞추고 있다. 우리나라는 네트워크 모니터링과 보안관제 등 특정영역에 집중한다면, 해외에서는 선박 설계에서부터 선박 사이버보험 등 광범위한 분야를 아우르고 있다. 이는 국내외에서 선박 사이버 보안을 바라보는 시각의 차이가 있기 때문이다.

자율운항선박 관련법 국회 통과, 글로벌 시장 개척 나서야
해양수산부는 2022년 초, ‘자율운항선박 분야 선제적 규제혁신 로드맵’을 발표하며 ‘자율운항선박 기술발전 3단계(세부 7단계) 시나리오’를 공개했다. 해당 시나리오를 토대로 하면 우리나라는 2025년까지 부분운항자율, 2026년~2030년에는 운항자율, 2031년까지는 완전자율운항 등 3단계로 자율운행선박 기술개발이 진행된다. 다만, 자율운항 선박 로드맵은 사이버 보안보다는 안전운항과 더욱 밀접한 측면이 있다.

우리나라 국회는 지난해 12월, ‘자율운항선박 개발 및 상용화 촉진에 관한 법률’(제19909호, 자율운항선박법)을 통과시켰다. 법 제4장 제19조(자율운항선박 및 기자재의 안전성 평가) 4호는 ‘자율운항선박과 육상 및 해상 간 데이터 교환을 위한 호환성 및 보안성’으로 자율운항선박 시범운항 및 실증에 필요한 경우 안전성 평가를 실행할 수 있다고 명시했다. 이 법은 오는 2025년 1월 3일부터 시행된다.

싸이터 조용현 대표는 “지난 연말 자율운항 선박과 관련한 법이 제정되면서 선박 사이버 보안의 중요성이 더욱 커졌다”고 말했다. 이어 “앞으로 우리 보안기업은 국내 자율운항 선박의 사이버 보안을 강화하기 위해 더욱 적극적으로 연구하고 기술을 개발해야 한다”며 “이와 함께 글로벌 자율운항 선박 보안 기준에 맞춰 국제적인 경쟁력을 확보하고 관련된 기술을 수출하는 데도 앞장서 나서야 할 것”이라고 당부했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)