[현대해양] 디지털화, ICT 융합, 자동화 및 네트워크 기반시스템 의존도가 높아짐에 따라 해사업계의 사이버 위협도 커지고 있다. 지난 10월 28일 국회 정보위원회 국정감사에서는 대우조선해양이 세번째 해킹을 당했다는 내용이 드러났다. 비슷한 사례는 꾸준히 있어왔다. 2017년 머스크는 해킹으로 3주간 시스템 마비와 3,000억 원의 손실을 봤다. 2018년 COSCO 쉬핑의 화물운송 지연, 지난해 6월 샤히드 라자이(Shahid Rajaee) 이란 항만의 화물손실 등도 모두 해킹으로 인한 피해였다. 그러나 전문가들은 앞으로는 지금까지와 다른 더 큰 규모의 사이버 해킹이 시작될 것이라고 경고한다.
선박 사이버 공격의 위험성
지금까지의 사이버 공격은 선사의 보안상 취약점을 노려 재정적 피해를 유발하는 양상으로 진행됐다. 그러나 자율운항선박이 도입되면 사이버 공격이 선박 자체의 탈취 시도로 확대될 가능성이 커진다. 원격으로 선박이 통제되는 경우 동일한 사양 및 시스템을 가진 다수의 선박에 대해 동시다발적 사이버 공격도 가능해지므로 피해범위도 기하급수적으로 늘어날 수 있다. 전문가들은 사고 처리도 쉽지 않을 것이라고 말한다.
임정규 한국선급 사이버인증팀 책임검사원은 “기존의 사이버 공격이 IT(Information technology:정보기술) 시스템에 대한 것이었다면, 앞으로의 선박 사이버 공격은 OT(Operational Technology:운영기술) 시스템이 메인”이라고 말했다. 그는 “IT 시스템의 경우 해킹이 되면 윈도우 업데이트로 해결되는 경우가 많지만, OT 시스템에 의한 원격조정이 해킹되는 경우 이조차 어려울 수 있다”고 설명했다.
지난해 영국의 보험거래소 기업 런던로이즈(Lloyd's of London) 보고서는 “만약 15개 아시아 항만이 해킹 공격을 받는다면 경제적 손실은 1,100억 달러를 초과하는 수준일 것이며, 특히 OT 시스템 해킹 피해에는 보험적용이 되지 않는다”고 전하기도 했다.
국제 해사 관련 업계는 발빠른 대응 중
해사 관련 국제 단체들 역시 선박 사이버 보안에 주목하고 있다. 국제해사기구(IMO)는 ‘해상 사이버 리스크 관리에 관한 결의서(MSC.428(98))’를 통해 국제 항행 선박들에 올해 1월 1일 이후 사이버 리스크 관리체계를 구축할 것을 강제하고 있다. 발트국제해사협의회(BIMCO), 국제건화물선주협회(INTERCARGO), 세계크루즈선사협회(CLIA), 국제유조선주협회(INTERTANKO) 등으로 구성된 국제 해운업계는 ‘선박 사이버 보안에 대한 적용지침’(3판)을 배포했는데, 여기엔 IMO MSC.428(98) 결의안에 따른 2021년 안전적합성 연차 심사에 대비, 선주 및 운영자의 회사 및 선박 사이버 리스크 통합·관리 가이드라인을 제공하고 있다. EU의 사이버 보안 인증기관인 ENISA(European Network and Information Security Agency)도 ‘항만 사이버 보안 지침’을 발표했다. 영국, 덴마크, 싱가포르 등 선박 관련 주요 국가들은 모두 정부 차원에서 사이버 보안 전담부서를 설립해 사이버 보안 태세 강화를 위해 힘쓰고 있다.
우리는 어떨까? 해양수산부는 지난해 3월 「해사(선박안전) 사이버 보안대책 마련」 연구용역을 실시한 바 있다. 과제는 ‘해사분야 시스템 취약성 분석, 해킹 등 사이버위협 대응체계 구축 및 자율운항선박 등 스마트기술에 대한 보안정책 마련과 해사 사이버보안 관련 기관별 보안정책 추진체계 제시 및 기관 간 협력체계 구축방안 제시’였다. 이 용역은 9개월간 5,000만 원의 예산으로 진행됐고 지난해 말 종료됐다. 그러나 아직 용역 결과는 확인할 수 없었다.
해수부 담당자는 “이 용역은 2022년 관련 법률화 가능성에 앞서 제안 수립을 위해 진행됐다”며 “보안 사항들이 많이 포함돼 있어 정보공개는 내년으로 예정돼 있다”고 전했다. 그는 “2022년 관련 전문가 회의 등을 진행할 계획이다”라고 덧붙였다.
한국선급은 2018년 3월 국제 보안표준과 IMO 및 BIMCO의 해상 사이버 보안 가이드라인 등을 준용, 국내 보안업체와 협력을 통해 해상 사이버 보안 관리 시스템 인증 체계를 구축했다고 밝혔다. 한국선급은 이를 통해 해상 사이버 보안 시스템 인증 서비스와 선박의 네트워크 및 자동화 시스템 등에 대해 사이버 보안 형식 승인 서비스를 제공하고 있다.
인식제고, 전담조직 구축, 대응방안 수립
사이버 보안 체계 구축을 위한 방안으로 임 검사원은 “인식제고, 전담조직 구축, 사고 대응 방안 수립”을 꼽았다.
그는 해상 사이버 사고는 아직 수면위로 드러나지 않았기에, 대다수의 해운 관계자들이 필요성을 느끼지 않고 있다는 점을 지적한다. 임 검사원은 “CEO가 먼저 필요성을 인식하고 투자하는 것이 필요하다”라며, “현조선에 보안체계를 적용하는 부분이나, 신조를 하며 보안체계를 만드는 부분 모두에 신경을 써야 할 것”이라고 덧붙였다.
더불어 일반 IT 기술과 선박에 관한 지식을 모두 지닌 책임자를 중심으로 한 전담조직도 필요하다.
마지막으로 사고 대응 방안 수립이 돼야한다. 임 검사원은 “예방으로 사고를 막을 수 있으면 좋겠지만 사고가 났을 경우에는 빠른 조치와 재교육, 정보 공개 등으로 재사고를 예방하는 리스크 관리가 필요하다”고 강조했다.
지난달 23일 세계최초 100% 전기 운항 자율운항 컨테이너선인 노르웨이의 ‘야라 버클랜드(Yara Birkeland)호’가 취항했다. 정부는 지난 10월 ‘자율운항선박 선제적 규제혁신 로드맵’을 발표하는 등 자율운항선박의 상용화를 적극 추진할 계획이라고 밝힌 바 있다. 자율운항선박은 효율성·안정성·친환경성 등을 높이며 운영비 절감 효과까지 기대되는 전 세계적 흐름이다.
임정빈 한국해양대교수는 “IMO에서도 보안 심각성에 대해 이야기하고 있는 것처럼 선박 사이버 테러의 위험성은 너무나 분명하다”며 “사이버 보안쪽은 전쟁·테러 측면, 블록체인 등 금융적 측면에 대한 부분인지에 따라 준비할 부분도 다르기 때문에 더 많은 이들이 관심을 가져야 할 부분이라고 본다”고 전했다.
