대한조선학회

	December, 2020
[해양산업통합클러스터(MAC NET) 컬럼] 해상 사이버 보안 동향 및 선박 사이버 안전 체계 구축 방안

<글 : 한국선급 사이버인증팀 임정규 책임검사원 & 손금준 책임검사원 jklim@krs.co.kr> <이 글은 해양산업통합클러스터(www.macnetkorea.com)의 '2019 MacNet 기술정책제언집' 에 발표된 글을 전재한 내용입니다.> 1. 해상 사이버 보안 동향 ▶ 해사업계 사이버 위협 및 리스크의 증가 해상 비즈니스 환경이 정보통신기술(ICT)의 도입으로 패러다임이 변화하고 있다. 블록체인, 인공지능(AI), 빅데이터, 디지털 플랫폼, 5G, 사이버 보안, 가상 물리시스템(CPS), 사물인터넷(IoT), 스마트 센싱 등 다양한 신기술이 해양산업에 도입·융합됨으로써 기술 변화와 혁신을 가져오고 있다. 블록체인은 기존 해상 물류 체계의 구성원 간 거래를 안전하고 간편하게 할 뿐 아니라 화물의 이동 경로를 실시간으로 확인할 수 있게 하여 물류산업의 효율성을 높이고 비용을 절감할 것으로 기대된다. 인공지능은 기록된 항해 데이터를 분석하여 연료 소모를 최소화하는 운항 경로 최적화에 활용될 수 있다. 로테르담, 싱가포르 등 세계 주요 항만은 신기술을 도입하여 스마트 해상 물류 체계를 구축하고 있다. 해사업계의 이러한 디지털 라이제이션은 사이버 위협 및 리스크를 높이는 요인이 된다. 2017년 6월 발생한 머스크(A, P. Moller Maersk) APM 터미널 자동화 시스템 사이버 공격은 전세계 해상 운송 및 물류 시스템을 지연시킨 대표적인 사례이다. 2018년 9월 발생한 샌디에이고, 바르셀로나 항만 사이버 공격은 해상 물류 체계를 구성하는 항만, 항만 운영 인프라, 선박 등이 사이버 공격의 표적이 되고 있음을 시사한다. ▶ 해상 사이버 보안 국제 대응 현황 해사업계에서는 해상 사이버 위협 및 사이버 리스크가 증가하고 있으며 자율운항 선박에 대한 국제적인 논의가 국제해사기구(IMO)를 통해 본격화되면서 해상 사이버 보안 대응 필요성을 인지하고 사이버 리스크를 관리·대응하기 위한 지침 및 규정을 개발하고 있다. · 국제해사기구(IMO) 2017년 6월, 제98차 해사안전위원회(MSC; Maritime Safety Committee)에서는 해상 사이버 리스크 관리에 관한 결의서(MSC.428(98))를 채택하였다. 회원국(Administration)은 2021년 1월 1일 이후 도래하는 첫 번째 안전 적합성 연차심사(DOC; Document of Compliance)까지 회사의 안전 관리 시스템(SMS; Safety Management System)에서 사이버 리스크를 통합·관리해야 한다. 한편 MSC 101차에 승인된 자율운항 선박(MASS; Maritime Autonomous Surface Ships) 해상 시운전 지침에서는 대상 시스템과 인프라의 사이버 리스크 관리가 보장될 수 있도록 적절한 조치를 취할 것을 요구하고 있다. · 국제 해운산업계 발트국제해사협의회(BIMCO), 국제건화물선주협회(INTERCARGO), 세계크루즈선사협회(CLIA), 국제유조선주협회(INTERTANKO) 등으로 구성된 선주 단체에서는 ‘선박 사이버 보안에 대한 적용지침’(3판)을 배포하였다. 이 지침에는 IMO MSC.428(98) 결의안에 따른 2021년 안전적합성 연차 심사에 대비하여 선주 및 운영자가 회사 및 선박 사이버 리스크를 안전 관리 시스템에서 통합·관리하기 위한 가이드라인을 제공하고 있다. 국제정유사포럼(OCIMF (1))에서는 탱커선 운항 선사 안전 관리 평가 기준(TMSA (2)) 3판 및 탱커선 안전성 평가 기준(SIRE VIQ) 7판을 개정하여 사이버 보안 정책·절차 이행, 사이버 리스크 평가 수행, 인식 제고 교육 등의 사이버 보안 요건 검사를 실시하고 있다. · 유럽연합(EU) 유럽연합의 사이버 보안 인증기관인 ENISA(European Network and Information Security Agency3)) 에서는 ‘항만 사이버 보안 지침’을 발표하였다. 랜섬웨어로 인한 항만을 대상으로 한 사이버 공격은 경제적·사회적 영향이 심각하므로 항만의 디지털화에 따른 새로운 사이버 위협을 해결하기 위한 거버넌스 정의, 기술적 사이버 보안 이행, 신속한 대응 체계 수립을 강조하고 있다. · 국제선급연합회(IACS) 사이버 보안 이슈를 논의하기 위해 사이버 시스템 패널을 2016년 신설하였으며, 선박 사이버 시스템의 안전성을 보장하기 위한 12가지 핵심기술 권고서를 2018년 개발하였다. 핵심 기술요소에는 네트워크 보안, 데이터 보증, 비상계획, 소프트웨어 유지보수 등이 포함되며 통합 권고서가 2020년 배포될 예정이다. 한국선급을 포함한 ABS, DNV-GL, LR 선급은 사이버 보안 가이드라인 및 지침을 배포하였으며 사이버 보안 부기부호(Notation)를 선박에 부여하는 인증 서비스를 제공하고 있다. ▶ 주요 국가별 정책 현황 · 영국 영국 정부는 2019년 1월, Maritime 2050 (4) 전략을 통해 해상 사이버 보안 체계 구축을 핵심과제로 선정하였다. 해상 사이버 보안에 대한 총체적인 솔루션 제공자로서 국가 사이버 보안 센터를 통해 사이버 위협을 평가하고 위협에 대한 정보 및 조언을 제공하기 위해서 산업계와의 긴밀한 협의 체계 구축을 목표로 하고 있다. 또한 영국 교통부(UK Department for Transport)는 2020년 1월, ‘항만 및 항만 시스템 사이버 보안 가이드라인’을 배포하여 항만 및 항만 시설의 사이버 보안을 달성하기 위한 모범 사례를 제공하고 있다. · 덴마크 덴마크 산업 자원부(Department of Industry, Business and Financial Affairs)는 2019년 1월, 사이버 공격으로부터 덴마크 선박의 안전을 보장하기 위해 해상 사이버 보안 전략(2019년~2023년)을 발표했다. 본 전략은 덴마크 해역의 항해 안전과 선박 운항, 추진 및 항해를 위한 시스템 및 소프트웨어 개발을 포함하고 있다. 덴마크 해사 당국(Danish Maritime Authority)은 해사 사이버 보안 전담 부서 (Maritime Cybersecurity Unit)를 설립하여 단계적으로 전략을 실행하고 있다. · 싱가포르 싱가포르 항만청(MPA; Maritime and Port Authority)은 해상 주요 정보 인프라(CII; Critical Information Infrastructure)에 대한 사이버 공격을 조기에 발견하고 대응하기 위해 사이버 보안 운영센터(MSOC : Maritime Cybersecurity Operation Centre)를 개설하였다. MSOC는 해상 CII에 대한 잠재적인 사이버 공격을 조기에 발견하고, 모니터링, 분석 및 대응을 통해 싱가포르의 해상 사이버 보안 태세를 강화할 것이다. 또한 해상 CII를 보호하고 사이버 보안 위협이나 사건을 조사하는 역할을 담당한다. 다른 항만 당국과 정보를 공유함으로써 사이버 위협 및 사건에 대한 상황 인식을 향상시키고 선상 시스템 보호 및 항만 사이버 보안을 강화할 예정이다. 2. 한국선급 사이버 보안 활동 한국선급은 2018년 3월, ISO 27001, IEC 62443 및 NIST(미국 국립표준기술연구소) Frame-Work 등 국제 보안표준과 IMO 및 BIMCO의 해상 사이버 보안 가이드라인 등을 준용하고, 안랩 등 국내 보안업체와 협력을 통해 해상 사이버 보안 관리 시스템 인증 체계를 구축했다. 이를 통해 회사 및 선박에 대한 해상 사이버 보안 시스템 인증 서비스와 선박의 네트워크 및 자동화 시스템 등에 대해 사이버 보안 형식 승인 서비스를 제공하고 있다. ▶ 해상 사이버 보안 시스템 인증 해상 사이버 보안 인증은 사이버 보안 관리 시스템을 갖춘 회사 또는 선박에 적용되며, 인증심사(문서검사, 현장검사)를 통과하면 회사는 적합성 인증서, 선박은 부기부호가 부여된다. 사이버 보안 성숙도에 따라 3단계 부기부호(CS1, CS2, CS (3)가 부여되며, 36개 검사 영역, 144개 검사 항목으로 구성되어 있다. 이는 해상 분야 사이버 관리에 대해서는 국내에서는 최초이며, 국제적으로도 3번째로서 타 유수의 선급보다 최근 해사업계 동향에 선제적으로 대응한 사례로서 해상 사이버 보안 대응관리에 대해 세계 최고 수준의 기술력을 갖춘 것으로 볼 수 있다. ▶ 해상 사이버 보안 시스템 형식승인 사이버 보안 형식승인은 선박 설치 전 제품이 규정에 적합하다는 것을 제조자에 대해서 증명하는 것으로서, 선박에 설치되는 사이버 시스템(기자재)에 적용된다. 사이버 보안 형식승인 지침은 시스템의 보안을 위한 기술 요건에 대해 11개 검사 영역, 124개 검사 항목으로 구성되어 있으며 문서검사, 현장검사를 통과하면 해당 시스템에 보안 등급(SL1~4)이 부여됨과 동시에 증서가 발행된다. 사이버 보안 형식승인은 IEC 62443 4-2, IEC 61162-460 국제표준을 기반으로 개발되어 스마트 선박 및 자율운항 선박을 포함하는 다양한 선박에 설치되는 사이버 시스템의 보안성을 검증한다. ▶ 한국선급 사이버 보안 향후 계획 한국선급은 현존선, 신조선, 특수선 등에 적용 가능한 해상 사이버 솔루션 개발을 위해 해운업계, 조선업계, 기자재업계, 사이버 보안 솔루션업계 등과 MOU를 맺어 기술 개발 활동을 추진하고 있다. 2020년에는 신조선 사이버 인증 서비스, 해상 소프트웨어 적합성 평가 서비스를 제공함으로써 해상 사이버 보안 대응 체계를 고도화하고 검사 기술력을 향상시킬 예정이다. 한국선급은 지난 2018년 6월, ‘국가인적자원개발 컨소시엄 교육’ 운영기관으로 지정되어 컨소시엄 체결 기업의 재직자를 대상으로 ‘해사 사이버 보안의 이해’, ‘해사 사이버 보안 관리실무’ 교육을 무상으로 제공하고 있다. IMO의 MSC.428(98) 결의서의 2021년 적용에 따라 국내외 선사와 조선소, 기자재 업체에서 임직원 교육에 대한 요청이 증가할 것으로 예상되므로 고객의 니즈를 반영한 맞춤형 교육 서비스를 강화할 예정이다. 3. 선박 사이버 안전 핵심 기술 분석 자율운항 선박 및 무인화 선박을 IMO 자율화 등급 3단계 이상으로 운용하기 위해서는 고도의 자동화·통합 제어 시스템 (5)이 탑재되어야 하며 내·외부 통신 시스템의 사이버 보안뿐만 아니라 실시간으로 교환하는 데이터 및 시스템의 사이버 안전 (6)에 대한 고려가 필수적으로 요구된다. ▶ 핵심기술 1 \| AI 기반 통합 사이버 보안 관리 시스템 기존 보안장비(Firewall, IPS/IDS 등)로는 지능적 지속 공격(APT; Advanced Persistent threat) (7) 또는 선박 내부자로부터의 사이버 위협 대응에 한계점이 있다. SIEM(Security Information and Event Management)을 이용한 보안 장비를 통합·관리하더라도 장비 업데이트보다 공격자의 취약점 발견 시점이 빠른 Zero-day 공격 (8)을 당할 수 있는 것이다. 따라서 선박 사이버 안전을 달성하기 위해서는 인공지능(AI; Artificial Intelligence) 기반 머신러닝 알고리즘을 적용하여 정형화된 사이버 위협뿐만 아니라 비정형화된 사이버 위협을 실시간으로 탐지하고 영향을 모니터링하는 통합 사이버 보안 관리 시스템 구축이 필요하다. 자율운항 선박은 현존선보다 데이터양이 급격히 증가하고 형태도 비정형화되므로, 자율운항 선박 내 AI 알고리즘 연구는 반드시 빅데이터 DB를 고려한 비정형 데이터 분석이 가능해야 한다. ▶ 핵심기술 2 \| 사이버 리스크 분석을 통한 설계 안전성 평가 사이버 리스크 분석은 선박 사이버 안전 설계 타당성을 검증하는 필수적인 요소이다. 선박 IT/OT 시스템에 대한 사이버 위협과 취약점을 식별하고 관리적·기술적 보안 조치를 통해 리스크 감소 방안을 적용해야 한다. 산업계 보안 표준인 IEC 62443에서는 주요 시스템을 Zone (9)과 Conduit (10)으로 시스템 경계를 구분하고 있으며 보안 등급(Security Level)에 따른 보안 요구사항(Security Requirement)을 영역별로 제시하고 있다. 사이버 리스크 분석을 통해 선박 내 각 Zone과 Conduit에 존재하는 취약점을 파악하고 설계 안정성을 평가해야 한다. 식별된 시스템 사이버 취약점 및 리스크를 개선하고 설계 안전성을 높이는 방법으로 심층방어기법(Defense in Depth) (11)을 활용할 수 있다. 여러 보안 계층으로 시스템을 보호함으로써 선박 사이버 사고에 대한 복원력(Resilient)을 향상시킬 수 있다. ▶ 핵심기술 3 \| 데이터 품질 관리 및 보증 기술 스마트 선박의 도래는 사람, 사물, 공간이 네트워크로 연결돼 선박이라는 하나의 통합 시스템으로 구축됨을 의미하며, 이는 선박 간, 선육 간, 선내 교환 데이터의 규모가 방대해지고 중요해짐을 의미한다. 이는 데이터 품질 관리(Data Quality Management)가 선박의 안전성을 결정짓는 요소로 작용될 수 있음을 의미한다. 데이터 품질(Data Quality)이란 ‘데이터의 최신성, 정확성, 상호연계성 등을 확보하여 이를 사용자에게 유용한 가치를 줄 수 있는 수준’으로 정의할 수 있다.(12) 데이터 품질은 센서 속성, 측정 위치, 데이터 수집 장비, 시간 동기화, 타임 스탬프 처리, 데이터 갭 등과 같은 많은 요소의 영향을 받는다. 따라서 선박 내 시스템 간 교환·관리되는 데이터의 품질 보증(Data Assurance) 기술은 매우 중요하다. 비즈니스에 적합하고 정확한 데이터를 안전하고 일관성 있게 제공함으로써 비즈니스 효율을 높이고 전략적 의사결정을 지원하기 위해서는 데이터의 구축부터 운영, 활용까지의 정보 생명주기(Life Cycle)를 고려한 전 단계에 걸쳐 적용되는 체계 확보가 필요하다. ▶ 핵심기술 4 \| 통합 소프트웨어 품질 인증 기술 액화천연가스운반선(LNGC; Liquedfied Natural Gas Carrer), 드릴십(Drillship), 자율운항 선박과 같은 고부가가치 선박은 통합 제어 시스템의 복잡도가 매우 높아 필연적으로 소프트웨어 오류 발생 빈도가 증가한다. 선박 운영 기술(OT; Operating Technology) (13) 시스템의 소프트웨어 취약점 (14)을 대상으로 하는 사이버 공격은 선박의 인명, 환경에 중대한 영향을 미칠 수 있는 사고로 이어질 수 있다. 따라서 선박 건조 단계에서 개별 제어 시스템의 소프트웨어 품질뿐만 아니라 통합 시스템의 고장 및 오작동을 테스트하기 위한 통합(Integration) 및 검증(Verification) 체계가 필요하다. 소프트웨어는 일반적으로 개발 단계의 문서화 검토, 개발자에 의한 기능 시험, 제3자에 의한 통합 및 인수 시험 등으로 구분할 수 있으며, 해사 분야에서는 3가지 검증 기술이 활용되고 있다. 시뮬레이션 시험은 Close Loop, Software in the Loop(SIL), Hardware in the Loop(HIL) 기술 등으로 구분할 수 있으며, 조선 분야에서는 소프트웨어로 제어되는 환경을 시뮬레이션화하여 선박에 탑재 전 광범위한 시험을 통해 결함을 식별할 수 있는 HILS(Hardware in the Loop Simulation)가 활용되고 있다. 조선·해양 분야에 구축된 HILS는 DP(Dynamic Positioning), Power Management(PMS), Steering Propulsion and Thruster Control System, Drilling Control, BOP Control 등 고부가가치 선박에 탑재되는 고위험 장비 등이 개발되어 있다. 4. 마치는 글 정부에서는 자율운항 선박, 지능화·자동화 항만 및 스마트 해상통신 간의 연계를 위한 ‘스마트 해상 물류 체계 구축 전략 스마트 해상물류 체계 구축전략 (15)’과 더불어 ‘자율운항 선박 기술 개발사업 (16)’을 통해 미래 선박 시장 및 해운항만 패러다임 전환에 대비하고 있다. 효율성과 안전성을 높이고 비용을 줄이며 경쟁력 있는 ‘스마트 해상물류 체계 구축’을 위해서는 항만, 항만 인프라, 선박을 사이버 공격으로부터 보호하기 위한 사이버 보안이 반드시 필요하다. 본 고에서 분석한 AI 기반 통합 사이버 보안 관리 시스템, 사이버 리스크 분석을 통한 설계 안전성 평가, 데이터 품질 관리 및 보증 기술, 통합 소프트웨어 품질 인증 기술은 선박 사이버 안전을 위한 핵심 기술이며 향후 선박 건조·설계·검사·운영 시 적극적으로 활용될 수 있도록 기술 개발 및 적용 로드맵을 수립할 것을 촉구한다. 참고문헌 1) 탱커 선박 및 터미널의 안전 운영 관리와 사고 방지를 위해 조직된 단체이며 Shell, BP, Cheveron, Total, Exxon Mobile을 포함한 83개 회원으로 구성 3) 2004년 EU의 사이버 보안을 위해 창설된 기구로서, 각국의 컴퓨터 바이러스와 해킹 실태 파악 등을 통해 각국 정보, 기업, 일반인에게 위험성을 알리는 역할 수행. EU 내 정보통신기술(ICT) 제품, 서비스 및 프로세스에 대한 사이버 보안 인증 프레임 워크를 구축 중 3) 2004년 EU의 사이버 보안을 위해 창설된 기구로서, 각국의 컴퓨터 바이러스와 해킹 실태 파악 등을 통해 각국 정보, 기업, 일반인에게 위험성을 알리는 역할 수행. EU 내 정보통신기술(ICT) 제품, 서비스 및 프로세스에 대한 사이버 보안 인증 프레임 워크를 구축 중 4) 산업, 기술, 무역, 환경, 인력, 인프라, 보안 등 7가지 주제를 중심으로 영국 정부가 해상 성장을 지원하기 위해 업계와 어떻게 협력할 수 있는지에 대한 로드맵을 설정한 장기 국가 전략 5) 자율 항해, 기관실 제어 통합 플랫폼, 충돌·사고 방지, 상황 인식, 의사결정 능력을 갖춘 ‘지능형 항해 시스템’, 기관 스스로 성능을 모니터링하고 고장을 예측·진단할 수 있는 ‘기관 자동화 시스템’, AIS, 레이더, 스마트센싱을 통한 ‘충돌 회피 시스템’ 등 6) 사이버 시스템의 장애로 인한 의도하지 않은 결과로부터 컴퓨터 네트워크 및 제어 시스템을 보호 7) 특정 대상을 목표로 다양한 해킹 기술을 이용하여 은밀하게 지속적으로 공격하는 행위 8) 해당 취약점에 대한 대응방안이나 패치가 나오지 않은 시점에서 이루어지는 공격을 의미. 1-day 취약점은 패치가 배포되었으나 패치를 적용하지 않은 장비를 대상으로 이루어지는 공격을 의미 9) 공통 보안 요구사항을 공유하는 물리적 혹은 논리적인 자산을 그룹화 10) 공통 보안 요구사항을 공유하는 두 개 이상의 Zone을 연결하는 통신 채널 11) 두 가지 이상의 다른 보안 메커니즘을 사용하는 다중계층전략 12) 공공데이터 품질관리 매뉴얼 v2.0, 한국정보화진흥원, P.12, 2018. 13) 내장된 시스템을 모니터링하고 제어하는 장치. 센서, 소프트웨어 및 관련 네트워킹을 의미. 선박에는 추진 시스템, 조타 시스템, 화물 운영 시스템 등이 포함 14) 소프트웨어 개발 시, 소프트웨어에 결함이 될 수 있는 논리적인 오류나 버그를 의미하며 해커는 정보 획득, 데이터 변경, 권한 탈취를 위해 이러한 소프트웨어 취약점을 이용(Exploit) 15) 스마트 해상물류 체계 구축전략, 과기관계장관회의, P.2, 2019.1.8 16) 자율운항 선박 핵심 기술(운항 자율+시스템 자율)을 개발하고, 체계적인 실증을 통한 조기 상용화 기반을 마련하기 위함이며, 해양수산부와 산업통상자원부가 공동으로 추진(2020년~2025년)

<글 : 한국선급 사이버인증팀 임정규 책임검사원 & 손금준 책임검사원 jklim@krs.co.kr>

<이 글은 해양산업통합클러스터(www.macnetkorea.com)의 '2019 MacNet 기술정책제언집' 에 발표된 글을 전재한 내용입니다.>

1. 해상 사이버 보안 동향

▶ 해사업계 사이버 위협 및 리스크의 증가

해상 비즈니스 환경이 정보통신기술(ICT)의 도입으로 패러다임이 변화하고 있다. 블록체인, 인공지능(AI), 빅데이터, 디지털 플랫폼, 5G, 사이버 보안, 가상 물리시스템(CPS), 사물인터넷(IoT), 스마트 센싱 등 다양한 신기술이 해양산업에 도입·융합됨으로써 기술 변화와 혁신을 가져오고 있다. 블록체인은 기존 해상 물류 체계의 구성원 간 거래를 안전하고 간편하게 할 뿐 아니라 화물의 이동 경로를 실시간으로 확인할 수 있게 하여 물류산업의 효율성을 높이고 비용을 절감할 것으로 기대된다. 인공지능은 기록된 항해 데이터를 분석하여 연료 소모를 최소화하는 운항 경로 최적화에 활용될 수 있다. 로테르담, 싱가포르 등 세계 주요 항만은 신기술을 도입하여 스마트 해상 물류 체계를 구축하고 있다.

해사업계의 이러한 디지털 라이제이션은 사이버 위협 및 리스크를 높이는 요인이 된다. 2017년 6월 발생한 머스크(A, P. Moller Maersk) APM 터미널 자동화 시스템 사이버 공격은 전세계 해상 운송 및 물류 시스템을 지연시킨 대표적인 사례이다. 2018년 9월 발생한 샌디에이고, 바르셀로나 항만 사이버 공격은 해상 물류 체계를 구성하는 항만, 항만 운영 인프라, 선박 등이 사이버 공격의 표적이 되고 있음을 시사한다.

▶ 해상 사이버 보안 국제 대응 현황

해사업계에서는 해상 사이버 위협 및 사이버 리스크가 증가하고 있으며 자율운항 선박에 대한 국제적인 논의가 국제해사기구(IMO)를 통해 본격화되면서 해상 사이버 보안 대응 필요성을 인지하고 사이버 리스크를 관리·대응하기 위한 지침 및 규정을 개발하고 있다.

· 국제해사기구(IMO)

2017년 6월, 제98차 해사안전위원회(MSC; Maritime Safety Committee)에서는 해상 사이버 리스크 관리에 관한 결의서(MSC.428(98))를 채택하였다. 회원국(Administration)은 2021년 1월 1일 이후 도래하는 첫 번째 안전 적합성 연차심사(DOC; Document of Compliance)까지 회사의 안전 관리 시스템(SMS; Safety Management System)에서 사이버 리스크를 통합·관리해야 한다. 한편 MSC 101차에 승인된 자율운항 선박(MASS; Maritime Autonomous Surface Ships) 해상 시운전 지침에서는 대상 시스템과 인프라의 사이버 리스크 관리가 보장될 수 있도록 적절한 조치를 취할 것을 요구하고 있다.

· 국제 해운산업계

발트국제해사협의회(BIMCO), 국제건화물선주협회(INTERCARGO), 세계크루즈선사협회(CLIA), 국제유조선주협회(INTERTANKO) 등으로 구성된 선주 단체에서는 ‘선박 사이버 보안에 대한 적용지침’(3판)을 배포하였다. 이 지침에는 IMO MSC.428(98) 결의안에 따른 2021년 안전적합성 연차 심사에 대비하여 선주 및 운영자가 회사 및 선박 사이버 리스크를 안전 관리 시스템에서 통합·관리하기 위한 가이드라인을 제공하고 있다. 국제정유사포럼(OCIMF (1))에서는 탱커선 운항 선사 안전 관리 평가 기준(TMSA (2)) 3판 및 탱커선 안전성 평가 기준(SIRE VIQ) 7판을 개정하여 사이버 보안 정책·절차 이행, 사이버 리스크 평가 수행, 인식 제고 교육 등의 사이버 보안 요건 검사를 실시하고 있다.

· 유럽연합(EU)

유럽연합의 사이버 보안 인증기관인 ENISA(European Network and Information Security Agency3)) 에서는 ‘항만 사이버 보안 지침’을 발표하였다. 랜섬웨어로 인한 항만을 대상으로 한 사이버 공격은 경제적·사회적 영향이 심각하므로 항만의 디지털화에 따른 새로운 사이버 위협을 해결하기 위한 거버넌스 정의, 기술적 사이버 보안 이행, 신속한 대응 체계 수립을 강조하고 있다.

· 국제선급연합회(IACS)

사이버 보안 이슈를 논의하기 위해 사이버 시스템 패널을 2016년 신설하였으며, 선박 사이버 시스템의 안전성을 보장하기 위한 12가지 핵심기술 권고서를 2018년 개발하였다. 핵심 기술요소에는 네트워크 보안, 데이터 보증, 비상계획, 소프트웨어 유지보수 등이 포함되며 통합 권고서가 2020년 배포될 예정이다. 한국선급을 포함한 ABS, DNV-GL, LR 선급은 사이버 보안 가이드라인 및 지침을 배포하였으며 사이버 보안 부기부호(Notation)를 선박에 부여하는 인증 서비스를 제공하고 있다.

▶ 주요 국가별 정책 현황

· 영국

영국 정부는 2019년 1월, Maritime 2050 (4) 전략을 통해 해상 사이버 보안 체계 구축을 핵심과제로 선정하였다. 해상 사이버 보안에 대한 총체적인 솔루션 제공자로서 국가 사이버 보안 센터를 통해 사이버 위협을 평가하고 위협에 대한 정보 및 조언을 제공하기 위해서 산업계와의 긴밀한 협의 체계 구축을 목표로 하고 있다. 또한 영국 교통부(UK Department for Transport)는 2020년 1월, ‘항만 및 항만 시스템 사이버 보안 가이드라인’을 배포하여 항만 및 항만 시설의 사이버 보안을 달성하기 위한 모범 사례를 제공하고 있다.

· 덴마크

덴마크 산업 자원부(Department of Industry, Business and Financial Affairs)는 2019년 1월, 사이버 공격으로부터 덴마크 선박의 안전을 보장하기 위해 해상 사이버 보안 전략(2019년~2023년)을 발표했다. 본 전략은 덴마크 해역의 항해 안전과 선박 운항, 추진 및 항해를 위한 시스템 및 소프트웨어 개발을 포함하고 있다. 덴마크 해사 당국(Danish Maritime Authority)은 해사 사이버 보안 전담 부서 (Maritime Cybersecurity Unit)를 설립하여 단계적으로 전략을 실행하고 있다.

· 싱가포르

싱가포르 항만청(MPA; Maritime and Port Authority)은 해상 주요 정보 인프라(CII; Critical Information Infrastructure)에 대한 사이버 공격을 조기에 발견하고 대응하기 위해 사이버 보안 운영센터(MSOC : Maritime Cybersecurity Operation Centre)를 개설하였다. MSOC는 해상 CII에 대한 잠재적인 사이버 공격을 조기에 발견하고, 모니터링, 분석 및 대응을 통해 싱가포르의 해상 사이버 보안 태세를 강화할 것이다. 또한 해상 CII를 보호하고 사이버 보안 위협이나 사건을 조사하는 역할을 담당한다. 다른 항만 당국과 정보를 공유함으로써 사이버 위협 및 사건에 대한 상황 인식을 향상시키고 선상 시스템 보호 및 항만 사이버 보안을 강화할 예정이다.

2. 한국선급 사이버 보안 활동

한국선급은 2018년 3월, ISO 27001, IEC 62443 및 NIST(미국 국립표준기술연구소) Frame-Work 등 국제 보안표준과 IMO 및 BIMCO의 해상 사이버 보안 가이드라인 등을 준용하고, 안랩 등 국내 보안업체와 협력을 통해 해상 사이버 보안 관리 시스템 인증 체계를 구축했다. 이를 통해 회사 및 선박에 대한 해상 사이버 보안 시스템 인증 서비스와 선박의 네트워크 및 자동화 시스템 등에 대해 사이버 보안 형식 승인 서비스를 제공하고 있다.

▶ 해상 사이버 보안 시스템 인증

해상 사이버 보안 인증은 사이버 보안 관리 시스템을 갖춘 회사 또는 선박에 적용되며, 인증심사(문서검사, 현장검사)를 통과하면 회사는 적합성 인증서, 선박은 부기부호가 부여된다. 사이버 보안 성숙도에 따라 3단계 부기부호(CS1, CS2, CS (3)가 부여되며, 36개 검사 영역, 144개 검사 항목으로 구성되어 있다. 이는 해상 분야 사이버 관리에 대해서는 국내에서는 최초이며, 국제적으로도 3번째로서 타 유수의 선급보다 최근 해사업계 동향에 선제적으로 대응한 사례로서 해상 사이버 보안 대응관리에 대해 세계 최고 수준의 기술력을 갖춘 것으로 볼 수 있다.

▶ 해상 사이버 보안 시스템 형식승인

사이버 보안 형식승인은 선박 설치 전 제품이 규정에 적합하다는 것을 제조자에 대해서 증명하는 것으로서, 선박에 설치되는 사이버 시스템(기자재)에 적용된다. 사이버 보안 형식승인 지침은 시스템의 보안을 위한 기술 요건에 대해 11개 검사 영역, 124개 검사 항목으로 구성되어 있으며 문서검사, 현장검사를 통과하면 해당 시스템에 보안 등급(SL1~4)이 부여됨과 동시에 증서가 발행된다. 사이버 보안 형식승인은 IEC 62443 4-2, IEC 61162-460 국제표준을 기반으로 개발되어 스마트 선박 및 자율운항 선박을 포함하는 다양한 선박에 설치되는 사이버 시스템의 보안성을 검증한다.

▶ 한국선급 사이버 보안 향후 계획

한국선급은 현존선, 신조선, 특수선 등에 적용 가능한 해상 사이버 솔루션 개발을 위해 해운업계, 조선업계, 기자재업계, 사이버 보안 솔루션업계 등과 MOU를 맺어 기술 개발 활동을 추진하고 있다. 2020년에는 신조선 사이버 인증 서비스, 해상 소프트웨어 적합성 평가 서비스를 제공함으로써 해상 사이버 보안 대응 체계를 고도화하고 검사 기술력을 향상시킬 예정이다.

한국선급은 지난 2018년 6월, ‘국가인적자원개발 컨소시엄 교육’ 운영기관으로 지정되어 컨소시엄 체결 기업의 재직자를 대상으로 ‘해사 사이버 보안의 이해’, ‘해사 사이버 보안 관리실무’ 교육을 무상으로 제공하고 있다. IMO의 MSC.428(98) 결의서의 2021년 적용에 따라 국내외 선사와 조선소, 기자재 업체에서 임직원 교육에 대한 요청이 증가할 것으로 예상되므로 고객의 니즈를 반영한 맞춤형 교육 서비스를 강화할 예정이다.

3. 선박 사이버 안전 핵심 기술 분석

자율운항 선박 및 무인화 선박을 IMO 자율화 등급 3단계 이상으로 운용하기 위해서는 고도의 자동화·통합 제어 시스템 (5)이 탑재되어야 하며 내·외부 통신 시스템의 사이버 보안뿐만 아니라 실시간으로 교환하는 데이터 및 시스템의 사이버 안전 (6)에 대한 고려가 필수적으로 요구된다.

▶ 핵심기술 1 | AI 기반 통합 사이버 보안 관리 시스템

기존 보안장비(Firewall, IPS/IDS 등)로는 지능적 지속 공격(APT; Advanced Persistent threat) (7) 또는 선박 내부자로부터의 사이버 위협 대응에 한계점이 있다. SIEM(Security Information and Event Management)을 이용한 보안 장비를 통합·관리하더라도 장비 업데이트보다 공격자의 취약점 발견 시점이 빠른 Zero-day 공격 (8)을 당할 수 있는 것이다. 따라서 선박 사이버 안전을 달성하기 위해서는 인공지능(AI; Artificial Intelligence) 기반 머신러닝 알고리즘을 적용하여 정형화된 사이버 위협뿐만 아니라 비정형화된 사이버 위협을 실시간으로 탐지하고 영향을 모니터링하는 통합 사이버 보안 관리 시스템 구축이 필요하다. 자율운항 선박은 현존선보다 데이터양이 급격히 증가하고 형태도 비정형화되므로, 자율운항 선박 내 AI 알고리즘 연구는 반드시 빅데이터 DB를 고려한 비정형 데이터 분석이 가능해야 한다.

▶ 핵심기술 2 | 사이버 리스크 분석을 통한 설계 안전성 평가

사이버 리스크 분석은 선박 사이버 안전 설계 타당성을 검증하는 필수적인 요소이다. 선박 IT/OT 시스템에 대한 사이버 위협과 취약점을 식별하고 관리적·기술적 보안 조치를 통해 리스크 감소 방안을 적용해야 한다. 산업계 보안 표준인 IEC 62443에서는 주요 시스템을 Zone (9)과 Conduit (10)으로 시스템 경계를 구분하고 있으며 보안 등급(Security Level)에 따른 보안 요구사항(Security Requirement)을 영역별로 제시하고 있다. 사이버 리스크 분석을 통해 선박 내 각 Zone과 Conduit에 존재하는 취약점을 파악하고 설계 안정성을 평가해야 한다.

식별된 시스템 사이버 취약점 및 리스크를 개선하고 설계 안전성을 높이는 방법으로 심층방어기법(Defense in Depth) (11)을 활용할 수 있다. 여러 보안 계층으로 시스템을 보호함으로써 선박 사이버 사고에 대한 복원력(Resilient)을 향상시킬 수 있다.

▶ 핵심기술 3 | 데이터 품질 관리 및 보증 기술

스마트 선박의 도래는 사람, 사물, 공간이 네트워크로 연결돼 선박이라는 하나의 통합 시스템으로 구축됨을 의미하며, 이는 선박 간, 선육 간, 선내 교환 데이터의 규모가 방대해지고 중요해짐을 의미한다. 이는 데이터 품질 관리(Data Quality Management)가 선박의 안전성을 결정짓는 요소로 작용될 수 있음을 의미한다.

데이터 품질(Data Quality)이란 ‘데이터의 최신성, 정확성, 상호연계성 등을 확보하여 이를 사용자에게 유용한 가치를 줄 수 있는 수준’으로 정의할 수 있다.(12) 데이터 품질은 센서 속성, 측정 위치, 데이터 수집 장비, 시간 동기화, 타임 스탬프 처리, 데이터 갭 등과 같은 많은 요소의 영향을 받는다. 따라서 선박 내 시스템 간 교환·관리되는 데이터의 품질 보증(Data Assurance) 기술은 매우 중요하다.

비즈니스에 적합하고 정확한 데이터를 안전하고 일관성 있게 제공함으로써 비즈니스 효율을 높이고 전략적 의사결정을 지원하기 위해서는 데이터의 구축부터 운영, 활용까지의 정보 생명주기(Life Cycle)를 고려한 전 단계에 걸쳐 적용되는 체계 확보가 필요하다.

▶ 핵심기술 4 | 통합 소프트웨어 품질 인증 기술

액화천연가스운반선(LNGC; Liquedfied Natural Gas Carrer), 드릴십(Drillship), 자율운항 선박과 같은 고부가가치 선박은 통합 제어 시스템의 복잡도가 매우 높아 필연적으로 소프트웨어 오류 발생 빈도가 증가한다. 선박 운영 기술(OT; Operating Technology) (13) 시스템의 소프트웨어 취약점 (14)을 대상으로 하는 사이버 공격은 선박의 인명, 환경에 중대한 영향을 미칠 수 있는 사고로 이어질 수 있다. 따라서 선박 건조 단계에서 개별 제어 시스템의 소프트웨어 품질뿐만 아니라 통합 시스템의 고장 및 오작동을 테스트하기 위한 통합(Integration) 및 검증(Verification) 체계가 필요하다. 소프트웨어는 일반적으로 개발 단계의 문서화 검토, 개발자에 의한 기능 시험, 제3자에 의한 통합 및 인수 시험 등으로 구분할 수 있으며, 해사 분야에서는 3가지 검증 기술이 활용되고 있다.

시뮬레이션 시험은 Close Loop, Software in the Loop(SIL), Hardware in the Loop(HIL) 기술 등으로 구분할 수 있으며, 조선 분야에서는 소프트웨어로 제어되는 환경을 시뮬레이션화하여 선박에 탑재 전 광범위한 시험을 통해 결함을 식별할 수 있는 HILS(Hardware in the Loop Simulation)가 활용되고 있다. 조선·해양 분야에 구축된 HILS는 DP(Dynamic Positioning), Power Management(PMS), Steering Propulsion and Thruster Control System, Drilling Control, BOP Control 등 고부가가치 선박에 탑재되는 고위험 장비 등이 개발되어 있다.

4. 마치는 글

정부에서는 자율운항 선박, 지능화·자동화 항만 및 스마트 해상통신 간의 연계를 위한 ‘스마트 해상 물류 체계 구축 전략 스마트 해상물류 체계 구축전략 (15)’과 더불어 ‘자율운항 선박 기술 개발사업 (16)’을 통해 미래 선박 시장 및 해운항만 패러다임 전환에 대비하고 있다. 효율성과 안전성을 높이고 비용을 줄이며 경쟁력 있는 ‘스마트 해상물류 체계 구축’을 위해서는 항만, 항만 인프라, 선박을 사이버 공격으로부터 보호하기 위한 사이버 보안이 반드시 필요하다.

본 고에서 분석한 AI 기반 통합 사이버 보안 관리 시스템, 사이버 리스크 분석을 통한 설계 안전성 평가, 데이터 품질 관리 및 보증 기술, 통합 소프트웨어 품질 인증 기술은 선박 사이버 안전을 위한 핵심 기술이며 향후 선박 건조·설계·검사·운영 시 적극적으로 활용될 수 있도록 기술 개발 및 적용 로드맵을 수립할 것을 촉구한다.

참고문헌

1) 탱커 선박 및 터미널의 안전 운영 관리와 사고 방지를 위해 조직된 단체이며 Shell, BP, Cheveron, Total, Exxon Mobile을 포함한 83개 회원으로 구성
3) 2004년 EU의 사이버 보안을 위해 창설된 기구로서, 각국의 컴퓨터 바이러스와 해킹 실태 파악 등을 통해 각국 정보, 기업, 일반인에게 위험성을 알리는 역할 수행. EU 내 정보통신기술(ICT) 제품, 서비스 및 프로세스에 대한 사이버 보안 인증 프레임 워크를 구축 중
3) 2004년 EU의 사이버 보안을 위해 창설된 기구로서, 각국의 컴퓨터 바이러스와 해킹 실태 파악 등을 통해 각국 정보, 기업, 일반인에게 위험성을 알리는 역할 수행. EU 내 정보통신기술(ICT) 제품, 서비스 및 프로세스에 대한 사이버 보안 인증 프레임 워크를 구축 중
4) 산업, 기술, 무역, 환경, 인력, 인프라, 보안 등 7가지 주제를 중심으로 영국 정부가 해상 성장을 지원하기 위해 업계와 어떻게 협력할 수 있는지에 대한 로드맵을 설정한 장기 국가 전략
5) 자율 항해, 기관실 제어 통합 플랫폼, 충돌·사고 방지, 상황 인식, 의사결정 능력을 갖춘 ‘지능형 항해 시스템’, 기관 스스로 성능을 모니터링하고 고장을 예측·진단할 수 있는 ‘기관 자동화 시스템’, AIS, 레이더, 스마트센싱을 통한 ‘충돌 회피 시스템’ 등
6) 사이버 시스템의 장애로 인한 의도하지 않은 결과로부터 컴퓨터 네트워크 및 제어 시스템을 보호
7) 특정 대상을 목표로 다양한 해킹 기술을 이용하여 은밀하게 지속적으로 공격하는 행위
8) 해당 취약점에 대한 대응방안이나 패치가 나오지 않은 시점에서 이루어지는 공격을 의미. 1-day 취약점은 패치가 배포되었으나 패치를 적용하지 않은 장비를 대상으로 이루어지는 공격을 의미
9) 공통 보안 요구사항을 공유하는 물리적 혹은 논리적인 자산을 그룹화
10) 공통 보안 요구사항을 공유하는 두 개 이상의 Zone을 연결하는 통신 채널
11) 두 가지 이상의 다른 보안 메커니즘을 사용하는 다중계층전략
12) 공공데이터 품질관리 매뉴얼 v2.0, 한국정보화진흥원, P.12, 2018.
13) 내장된 시스템을 모니터링하고 제어하는 장치. 센서, 소프트웨어 및 관련 네트워킹을 의미. 선박에는 추진 시스템, 조타 시스템, 화물 운영 시스템 등이 포함
14) 소프트웨어 개발 시, 소프트웨어에 결함이 될 수 있는 논리적인 오류나 버그를 의미하며 해커는 정보 획득, 데이터 변경, 권한 탈취를 위해 이러한 소프트웨어 취약점을 이용(Exploit)
15) 스마트 해상물류 체계 구축전략, 과기관계장관회의, P.2, 2019.1.8
16) 자율운항 선박 핵심 기술(운항 자율+시스템 자율)을 개발하고, 체계적인 실증을 통한 조기 상용화 기반을 마련하기 위함이며, 해양수산부와 산업통상자원부가 공동으로 추진(2020년~2025년)

SNAKZINE

비회원이 작성한 글입니다!