해수부, ‘제2차 해사 사이버안전 전문가 토론회’
9월 6일 부산 롯데호텔 해사 사이버안전 정책 및 기술 개발 현황 등 논의
해수부, 11월 ‘해사 사이버안전 종합대책’ 수립·발표
최근 자율운항선박 개발, 정보통신기술 발달로 선박과 육상 간 정보 통신망·시스템이 급격히 발전하면서 해사 사이버 공격도 증가하고 있다. 이를 대응하기 위해 해사 사이버 보안 전문인력과 함께 별도 규정 마련, 선박 보안시스템 확충 등의 방안이 소개됐다.
해양수산부가 9월 6일 부산 롯데호텔에서 ‘제2차 해사 사이버안전 전문가 포럼’을 개최했다. 이번 포럼은 해수부와 국가정보원이 주최하여 산업계, 학계, 관계기관 등의 전문가와 함께 선박 대상 사이버 공격의 위험성과 이에 대한 예방·대응을 논의했다.
이번 포럼은 ‘첨단 해양 모빌리티 시대, 미래 사이버안전 확보 방안’이라는 주제로 △해사 사이버안전 정책 현황과 방향성 △첨단 해사산업의 사이버안전 확립을 위한 기술 개발 △해사 사이버안전 전문가 양성과 체계 확립의 방향성 등에 대한 발표와 토론이 진행됐다.
조승환 해수부 장관은 “이번 포럼에서 논의된 사항이 정책에 적극 반영될 수 있도록 충분히 검토하고 논의할 예정”이라며 앞으로도 해사 사이버안전과 관련된 논의의 장이 지속될 수 있도록 지원해 나가겠다”고 말했다.
최성용 “해사분야, 선박 등 사이버 안전관리 별도 규정 마련, 올해 11월 ‘해사 사이버안전 종합대책’ 수립”
최성용 해양수산부 해사안전정책과장은 국제적인 해사 사이버안전 동향을 짚어보고 향후 해사 사이버 안전정책 방향을 제시했다.
최 과장에 따르면, 해사산업이 자율운항선박, 디지털 해상교통정보 등이 융합된 첨단 해양 모빌리티 산업으로 재편되면서 선박을 대상으로 최근 사이버공격 사고도 증가하고 있는 추세이다. 2017년 2월에는 컨테이너 선박의 항법장치가 사이버 공격을 받아 운항 통제권이 상실됐고 2019년 3월에는 자동차운반선 내부 컴퓨터가 경찰청을 사칭하는 이메일에 첨부된 악성파일에 의해 랜섬웨어에 감염되어 해상 컴퓨터는 포맷할 수밖에 없는 사고가 있었다. 2019년 7월에는 유조선의 항법장치가 사이버 공격을 받아 이란혁명수비대에 나포되는 사태가 벌어졌다.
이와 관련 국제해사기구(IMO)는 ’16년 5월 미국 등의 주도로 ‘해사 사이버 위험관리 방안 임시 가이드라인’을 마련했다. ‘21년 이후 선사에 사이버위험 관리방안을 안전관리체계(ISM) 매뉴얼에 포함하도록 권고하고 있다. 올해 8월 외항선 기준으로 113개사 중 101개사가 수립했으며 620척 중 512척에 적용했다.
또한 미국은 ’21년 ‘국가해양사이버보안계획’ 발표, 일본은 일본해사협회가 선박 사이버 안전에 관한 가이드라인 마련, 마셜제도는 IMO의 권고에 따라 ’21년 이후 첫 번째 인증심사 전까지 사이버 안전관리 관련 사항을 자국의 선사 ISM 매뉴얼에 포함토록 강제화했다. 최 과장은 “미국해안경비대(USCG)는 항만국 통제관이 사이버 위험관리의 안전관리체계 통합 여부와 기본적인 사이버보안 현황 검사를 실시하도록 하고 있다”며 “미국에 입항하는 외국선박에 대해 사이버 위험 관리가 SMS에 통합되어 있지 않거나 이행되지 않을 경우 결함으로 식별하고 출항정지 명령을 내린다”고 설명했다.
국제정유사해운포럼(OCIMF)의 경우 사이버보안을 화주 점검 사항에 포함하고 탱커선사 및 광석 운반선사에 사이버안전 활동을 요구하고 있다. 또한 발틱국제해사협의회(BIMCO)는 화주·선급협회 공동으로 회원사의 사이버위험 관리 지원을 위해 사이버보안 동향조사 및 가이드라인을 제작·배포하고 있다.
국제선급협회(IACS)는 ’22년 사이버보안 UR E26, 27 프레임워크를 배포하고 선내 시스템 및 장비의 사이버 복원력에 대한 요구사항, 사용자와 선내 컴퓨터 기반 시스템 간의 인터페이스와 관련된 추가 요구사항 및 신규 장치를 선상에서 구현하기 전 제품 설계·개발 요구사항을 제공하고 있다. 적용 대상은 ’24년 1월 1일 이후 건조 계약된 신규 선박에 적용될 예정이다.
한국의 경우 국가정보원의 ‘사이버안보 업무규정’ 및 ‘국가사이버안전관리 규정’이 존재하지만 해사분야, 선박 등의 안전관리에 특화된 별도의 규정은 마련돼 있지 않다. 최 부장은 “선박운항 관련 취약시스템, 안전관리 요소 등 IMO 지침서 내용을 기반으로 규정을 마련하고 전문인력 양성 등 정책사항을 일부 반영해야 한다”고 강조하면서 외항선사에는 제도 강제화가 예상되는 필수사항 사전 인지 및 반영 지원, 내항선사에는 사이버안전 관리체계 이해 및 자체적인 사이버안전 관리체계 구축 지원을 제안했다.
해수부는 지난 4월에 사이버 공격·위협에 선제적으로 대응하기 위해 정부와 민간이 해야 할 역할을 권고 성격으로 규정한 ‘해사 사이버안전 관리지침(고시)’을 제정하여 시행했으며, 이를 기반으로 올해 11월 중 ‘해사 사이버안전 종합대책’을 수립하여 발표할 계획이다. 올해 12월까지는 해사 사이버안전 표준매뉴얼을 제작·배포할 방침이다. 또한 ’24년까지 △해사 사이버안전 전문가 포럼 개최 정례화 △ISM 대상 선박·사업장 대상 안전진단, 실태평가 △선박운항시스템 등 취약요소 발굴·개선 등 안전관리 컨설팅 △해사 사이버안전 관련 법률 제정 등으로 대응한다는 방침이다.
박상원 “‘사이버보안 인식 제고 및 교육’ 중요, 민·관·연 공동 협력체계 구축해야”
박상원 한국해양수산개발원(KMI) 전문연구원은 KMI가 해상분야 사이버 보안관리의 취약성을 분석하고 민·관·연 공동 협력체계 구축과 인재 양성을 강조했다.
중앙해양안전심판원의 준해양사고 통보 사례 분석에 따르면, 5년 수집된 자료 1,108건 중 7건은 사이버보안 관련 사고였고 발신자를 알 수 없는 메일이 수신되는 경우도 있었다. 박 연구원은 “위성을 통한 선박 통신이 가능해지면서 해킹으로 선내 네트워크 접속 시 선박 운항 전체에 영향을 미칠 수 있으므로 대책 마련이 필요하다”고 밝혔다.
이와 관련 KMI는 해상분야 사이버 보안관리 취약성에 대한 개선 요인 중요도를 분석한 결과 ‘사이버보안 인식 제고 및 교육’ ‘네트워크 접근제어’ ‘사이버 공격 탐지 및 차단’이 중요한 것으로 나타났다. 또한 해양경찰(VTS) 대상의 설문조사 결과, 해상교통관제 인원 중 보안담당자는 대부분의 보안관련 작업이 중요하며, 시급한 활동이라 판단했다. 비보안담당자와 보안담당자 인식이 크게 차이 나면서 비보안 담당자에 대한 인식 개선이 필요하다고 KMI는 밝혔다.
자율운항선박 관련 위험도 평가 결과 중 선박교통관리부문에서는 어선, 통선, 급유선 등 움직임 예측이 어려운 소형선과 자율운항선박의 조우하여 거리가 가까워지는 상황을 가장 위험도 높은 상황으로 평가됐다. 그다음으로 자율운항선박의 사이버 공격으로 통제 불가 및 통신 불가 상황이 가장 높은 것으로 나타났다.
이와 관련 박 연구원은 “사이버안전관련 이유에 대한 정확한 정의가 없어 보고하기도 어려운 상황이다. 사이버 안전에 대한 명확한 정의가 필요하고 이를 관리할 수 있는 체계가 마련되어야 한다”며 “해상교통관제 조직에 대한 사이버안전 인식 조사 결과 보안 담당자·비담당자 사이의 인식 차이가 크게 나타나고 있다. 국제항로표지협회(IALA)는 조직 전반에 대한 사이버안전 인식 필요를 권고하고 있고 이를 바탕으로 국내에서도 조직 전반에 사이버 안전을 위한 교육 등 인식개선 활동이 필요하다”고 제언했다. 또한 사이버안전 사고는 파급효과가 큰 사고로 민·관·연 공동 협력체계 구축과 함께 핵심 인재 양성이 필요하다고 박 연구원은 강조했다.
서정택 “선박 기자재 보안 취약…선박 산업제어시스템, 백신 최적화 등으로 대응”
서정택 가천대학교 교수는 선박 내 네트워크 및 해양 제어시스템을 파악한 후 ICS 보안기술 적용 방안을 발표했다.
자율주행선박 개발이 시작되면서 선박 내 제어시스템과 최신 ICT 기술이 결합하는 만큼 사이버 위협에 취약해진다는 우려가 나오고 있다. 서 교수의 발표자료에 따르면, 선박 내 제어시스템은 △선박 항해 기록장치 △화물 제어 및 모니터링 시스템 △알람 모니터링 장치 △통합 선교 시스템 △통합 항해 시스템 △전자 해도 표시시스템 △변속기 제어 모듈 또는 기어 박스 제어 장치 △선박자동식별장치 △선수방위제어시스템 △자동 제어시스템 △항적제어시스템 등 으로 사이버공격의 표적이 되는 선박 기자재이다.
서 교수는 “자율운항선박에 적용되는 해양환경 CPS 보안은 기존의 IT보안, 차량보안수준과 크게 다르다”며 “선박만의 산업제어시스템 보안 모델을 적용해야 하고 제어시스템과 마찬가지로 IT·OT 네트워크 환경을 분리, 마이크로 세그멘테이션, 각각의 레벨에 맞는 보안대책을 적용해야 한다”고 강조했다. 이와 함께 각각의 네트워크 경계마다 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS)을 적용하고 외부 공격자가 진입할 수 있는 지점인 선박·위성·육지 간의 통신에도 방화벽, VPN 등의 적용이 필수라고 서 교수는 제안했다. 특히 서 교수는 “해상 선박 대상으로 항상 백신을 업데이트하고 패치관리를 수행해야 한다. 특히 정보 수집, 정보 클린, 정보 전달 3개 영역으로 구분하여 관리가 필요하다”고 강조했다.
이외에도 서 교수가 강조한 해양 선박 제어시스템에 대한 보안 고려사항으로 △입력 데이터의 유효성 확인 및 암호 모듈적용 △선박 내 통신 노드 간 송수신되는 패킷 수집·분석하여 화이트 리스트 생성 △AI 기반 이상징후탐지 시스템 △일방향 자료전달 시스템 △보안모니터링 시스템 △선박 내 제어시스템 보안위협 평가 및 조치 적용 프로세스 제공 △사이버 위협 취약점 종합 분석 및 평가를 제안했다.
박개명 “사이버보안 전문가 확보, 선박·기자재·항만 관련 실 장비 연동 보안시험 인프라 필요”
박개명 한국선급(KR) 사이버인증팀장은 각국의 사이버안전 기술현황과 국내 사이버안전 관련 인프라 현황을 발표했다.
박 팀장의 발표자료에 따르면, 노르웨이와 프랑스, 일본은 선박의 사이버 보안 강화를 목적으로 통합플랫폼과 해양 분야의 다양한 솔루션을 제공하고 시스템의 구조적 분석 및 보안 강화에 특화되어 있다. 네트워크 보안, 위협 인지, 위협 대응 및 사이버 훈련 솔루션을 개발하여 제공하고 있다. 호주의 경우 표준 환경에서 발생하는 네트위크 이상징후를 감시하고 있으며 사용자 및 시스템의 행동패턴 분석으로 이상징후 및 악성코드에 대해 탐지·대응하고 있다. 또한 사용자 신원 확인 후 필요에 따라 접근권한을 제어해 시스템 보안을 강화하고 있다.
한국의 경우 한화시스템이 ‘시큐에이더’시스템을 통해 인증 문서 관리 및 현장실사 체크리스트 제공으로 인증 획득 시간 단축, 직관적 위협 도시 및 실시간 보안 상태 진단으로 빠른 사이버 위협에 대응하고 있다. CIA 기반 자산관리 및 자산간 네트워크 토플로지 제공으로 효과적으로 리스크를 관리하고 있다. 또한 통합보안관리 솔루션을 개발하는 회사인 이글루시큐리티는 ‘SpiDer OT for maritime’을 통해 선박을 운항하는 IT 비전문가인 선원이 사이버 위협 및 자산 현황의 이상 유무를 손쉽게 인지와 모니터링을 할 수 있는 시스템을 개발했다.
특히 박 팀장은 해사사이버안전 인프라 구축과 교육 과정을 소개했다. 인프라 구성안을 통해 박 팀장은 “스마트 항만과 선박을 시뮬레이션으로 테스트할 수 있는 교육장을 마련하여 모형선박과 기관장비, 항해장비를 구축하여 사이버안전에 대비할 수 있다”고 소개하고 특히 교육 과정에 대해선 해양대학교, 기자재업체, S/W 개발사, 조선소, 선주, 선박관리사, 선급, 사이버안전 전문기업이 협업하여 기본·기술·해사 교육을 실시해야한다고 강조했다. 세부 교육과정은 기본교육에서 △관리·물리·기술적 보안 △국제 해사 사이버안전 동향 및 규정, 기술교육에서 △패킷분석, 방화벽 등 네트워크 장비 이해·실습 △웹서비스, 악성코드 공격 사례 분석·실습 △선박 네트워크 및 장비 리스크 평가, 해사교육으로는 △현존선 사이버안전 관리 규정 및 대응 △신조선 사이버안전 규정 및 검사 △선박 기자재 사이버안전 규정 및 해설을 교육한다.
이와 관련 KR은 올해 9월 19~22일 4일간 KR 공동훈련센터에서 ‘스마트선박 사이버보안 전문인력 양성 교육과정’을 진행했다. 박 팀장은 “네트워크 보안 기술자, 취약성 진단 전문가, OT 장비 침투 전문가 등 해사 사이버보안 전문가를 확보해야 한다. 또한 선박·기자재·항만 관련 실 장비와 연동된 해사 산업 관련 인프라와 사이버보안 침투 및 시험할 수 있는 인프라를 구축해야 한다”며 “교육 기관을 확보하여 해사 사이버보안 자격 교육을 확대해야 한다”고 제언했다.