[현대해양] “보안업계에 손홍민은 많은데, 김민재가 없다” 강병탁 (사이버 보안업체)AI스페라 대표의 말이다. 그는 우리나라 사이버 보안 수준에 대해 “우리나라가 뚫는(해킹)능력은 세계 탑(Top)급인데, 방어에는 특화된 인재가 부족하다”며 “결국 해외 유수 보안업체 솔루션을 이용하게 되면서 국내 보안 산업계의 악순환이 이어지고 있다”고 말했다.
해사 사이버 보안
사이버 보안에서 해커 공격을 기술적으로 차단하는 것이 전부가 아니다.
사이버 보안(保安)이라고 함은 사이버 공격을 방지하거나 그 영향을 완화하기 위한 모든 기술, 조치 또는 관행이다. △기술적 수단 △보안 정책 △보안 안전장치 △가이드라인 △위기관리 방법 △보안 행동 △교육과 훈련 △모범 사례 △보안 보증 △보안 기술 등이 사이버 보안 영역에 포함된다.
해사(海事) 사이버 보안은 해사 사이버 공격으로부터 선박운항시스템을 보호함으로써 선박운항시스템과 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 등 안전성을 유지하기 위한 모든 기술, 조치 등으로 정의할 수 있다.
해사 사이버 보안만의 특징이 있다. 선사 사이버 보안업계 관계자는 “통상 정보기술(IT, Information Technology) 시스템 보안에 집중하는 타 산업과 달리 선박은 IT 시스템과 운영기술(OT, Operational Technology) 시스템이 융합된 환경인 점이 큰 차이다”라고 설명했다. IT 시스템은 컴퓨터, 소프트웨어, 데이터베이스, 통신, 서버 등을 관리하고 처리하는 것이라면 OT 시스템은 하드웨어 및 소프트웨어를 사용해 산업용 장비를 제어하는 방식이다. 최근 인도 선박의 경우 엔진, 발전기 등 주요 장비들이 사물인터넷(IoT)과 접목돼 OT 시스템영역으로 분류된다.
사이버 보안 위협에는 어떤 종류가 있나?
2023년 11월 28일 Riviera 보도에 따르면 영국로펌 HFW(Holman Fenwick & Willan)와 사이버 보안업체인 CyberOwl과 공동 연구에서 “설문 조사에 응답한 해양산업체 14%가 2023년에 IT네트워크와 컴퓨터 잠김을 해제하기 위해 몸값(Ransom) 비용으로 무려 320만 달러를 지불했다”고 전했다.
▶랜섬웨어(Ransomware)는 파일, 문서 등 높은 가치가 있는 데이터를 암호화해 공격 대상이 접속 권한을 되찾고 싶으면 몸값(Ransom)을 지불하도록 설계된 멀웨어의 일종이다. ▶멀웨어(Malware)는 '악성 소프트웨어(Malicious Software)'의 약자다. 컴퓨터 또는 설치한 모든 소프트웨어에 해를 끼치려 고안한 소프트웨어인데, 민감한 정보를 훔치거나 사용자 모르게 사용자의 이메일 계정에서 가짜 이메일을 송부, 감염된 시스템에 영구적 손상 등 다양한 형태가 있다. ▶피싱(Phishing)은 개인정보 (Private Data)와 낚시(Fishing)의 합성어다. 인터넷 이용자들에게 유명 회사를 사칭하는 이메일을 보내고, 위장된 홈페이지로 접속을 유도해 계좌번호, 주민등록번호, 로그인 비밀번호, 인증서 암호 등의 개인정보를 입력하도록 함으로써 이들 정보를 받는 방식이다. 스피어 피싱(Spear Phishing)은 개인정보를 활용해 수신자가 특정 조치를 취하도록 유도하는 표적 피싱 형태다.
▶서비스거부(DoS, Denial of Service)·분산서비스거부(DDoS, Distributed Denial of Service)공격은 모두 서버에 과부하를 발생시켜 서비스를 중단시키는 것을 목표로 한다. 전자는 서버에 대량의 트래픽(Traffic)나 데이터를 보내어 웹사이트 또는 리소스를 사용할 수 없게 만들고, 후자는 여러 대의 컴퓨터가 서버에 과부하를 발생시키는 방식이다. ▶제로데이(Zero-day) 익스플로잇(Exploit)은 소프트웨어 또는 디바이스 공급업체가 이들의 결함을 수정할 시간이 전혀 없다(Zero) 는 사실을 의미한다. 알려지지 않았거나 해결되지 않은 보안 결함을 활용해 공격하는 방식이다.
해사 사이버 공격·위협은 어떤 종류인가?
해사 사이버 공격에 있어 2017년 6월 덴마크에 소재한 세계 최대 해운사인 머스크(Maersk)는 랜섬웨어 공격으로 인해 직접적인 매출 감소, 추가 근로, 수습 비용 등이 발생했다. 알려진 손실이 약 3억 달러였다. 2022년까지 공개된 해상 사이버 공격의 유형을 보면, 주로 멀웨어(랜섬웨어)였고, 일부 스피어 피싱, DDos가 있었다.
국내 한 사이버 보안업체 관계자는 “어느 회사라도 자사가 사이버 공격으로부터 피해를 입었다는 정보를 선뜻 공개하지는 않는다. 사이버 보안 측면에서 다른 또 누군가의 공격 대상이 될 수도 있고, 기업에 부정적 영향을 끼칠 수 있기 때문이다”며, “그래서 알려진 사이버 공격·피해 사례는 아주 일부다”고 말했다. 또 그는 현 사이버 공격의 심각성에 대해 “국내 모 회사의 경우, 하루 1만 건 이상의 사이버 공격을 받는다”고 귀띔했다.
2024년 사이버 위협 전망
지난해 12월 과학기술정보통신부(장관 이종호, 이하 과기부)의 2024년 사이버 보안 위협 전망 자료에 따르면 △공급망(Supply Chain)에 공격해 사용자에게 전달되는 소프트웨어나 하드웨어 변조 증가 △생성형 인공 지능(AI)를 악용한 사이버 범죄 가능성 증가 △OT·산업제어시스템(ICS, Industrial Control System) 및 IoT 환경의 보안 위협 증가 △정치·사회적 이슈를 악용하는 사이버 위협이 고조될 것으로 내다봤다.
국내 사이버 보안업체, ‘이글루’의 2024년 사이버 보안위협 및 기술전망 보고서는 “오픈소스 생태계가 새로운 게임 체인저로 작용하면서 새로운 공격표면(Attack Surface)들이 발생하고 위험의 체인화가 가속화되고 있고, 공격자들은 소프트웨어 취약점을 이용한 공급망 공격 이외에도 생성형 AI로 무장해 종전의 보안 체계를 무력화하고 우회 방법을 찾고 있다”고 기술하고 있다.
해사 사이버 보안의 국제적 기준
선박·육상 간 통신 시스템 고도화와 디지털 기술의 접목 등으로 해사 사이버 보안의 중요성이 국제사회에서도 고조됐다.
▶국제해사기구(IMO)
2016년 5월 해상안전위원회(MSC) 제96차 회의에서 미국이 주도해 ‘해사 사이버 위험 관리방안 임시 가이드라인’이 마련됐다. 2017년 4월 제41차 해상교통간소화위원회(FAL) 회의에서 ‘해상 사이버 리스크 관리 지침’이 승인되고, 같은 해 6월 MSC 제98차 회의에서 ‘해상 사이버 리스크에 관한 결의서(Resolution MSC. 428(98))’가 채택, 2021년 1월 1일 이후 도래하는 첫 번째 안전관리체제(SMS, Safety Management System)에 사이버리스크관리를 포함토록 권고됐다.
해운업계 관계자는 “이 결의서가 IMO 권고사항이라지만 미국, 독일, 호주, 싱가포르, 마샬 아일랜드 등 22개국 이상에서 국제안전경영코드(ISM Code) 대상 기업들에게 SMS에서의 사이버리스크관리 이행을 요구하고 있어 실질적인 강제라고도 볼 수 있다”고 말했다. 특히 그는 “미국에서 이를 미 이행했을 경우 항만국통제(PSC, Port State Control) 검사에서 출항정지 Code 30(억류 결함사항)을 받는다”라고 덧붙였다.
해수부는 “2023년 외항선사 기준 ISM 적용 113개사 중 101개 사(89%) ISM 매뉴얼에 사이버위험관리방안을 반영해 620척 중 512척(83%)에 이미 적용 중인 것으로 확인했다”고 밝혔다.국내 여객선, 500톤 이상 화물선 등은 한편 「해사 사이버안전 관리지침」이 적용된다.
▶국제선급협회(IACS)
IACS(International Association of Classification Societies)는 2020년 사이버 복원력에 대한 가이드라인을 발표했고, 이를 기반으로 2022년 4월 선박 사이버 복원력 통합 요구사항(UR, Unified Requirements) E26(Cyber Resilience of Ships)을 발표했다. ‘E’는 전기 및 전자설비 범주에 해당한다는 뜻이다. 그런데 대상 업계의 준비가 미진해 철회, 2023년 9월 채택된 UR E26과 개정판이 2024년 7월 1일부로 시행될 예정이다.
선사에 직접적으로 적용되는 UR E26은 사이버 복원력의 대상이 선박이다. 선박의 설계, 건조, 시운전, 운항까지 선박 운용주기 동안 OT 및 IT 장비를 선박 네트워크에 안전하게 통합하는 것을 목표로 한다. 이는 장비식별(Identify), 보호(Protect), 공격탐지(Detect), 대응(Respond), 복구(Recovery) 등 주 5가지 요건이 충족돼야 한다.
UR E26은 2024년 7월 1일 이후 건조계약을 체결하고 IACS 선급에 입급한 500톤 이상 화물선, 여객선(여객 12명 이상 탑승), 자항이동식해양구조물(Self-propelled Mobile Offshore Units)에 적용된다. IACS 선급은 국내 한국선급(KR)을 포함해 ABS(미국), BV(프랑스), CCS(중국), CRS(크로아티아), DNV(독일), IR(인도), LR(영국), NK(일본), PRS(폴란드), RINA(이탈리아), TURK(튀르키예) 등 총 12개 선급 회원으로 구성돼 있다.
사이버 보안 중 기술적 보안
김성록 현대 LNG IT팀 매니저는 “현재 신조선 발주 등을 예정하고 있는 선사 IT관계자들은 오는 7월 1일부터 발효되는 UR E26 요건을 만족시키려면 사이버 보안의 다양한 기술적 영역이 반드시 갖춰져야 한다”고 말했다. 그는 “사이버 보안은 종국적으로 기밀성, 무결성, 가용성을 유지하기 위함인데, 이를 위해 선사들은 △물리적 보안 △관리적 보안 △기술적 보안 측면에서 대응·조치를 취하고 있다”고 설명했다.
‘물리적 보안’은 설비보안, 휴대용 저장매체 통제, 휴대용 장비 보호, 시스템 재사용 및 장기 파기, 제한구역 접근 통제 등을 말한다. ‘관리적 보안’은 각종 보안관련 관리 절차 및 규정 제정·유지이다. ‘기술적 보안’은 정보자산에 대한 보안을 말한다.
특히 기술적 보안에서 △컴퓨터 네트워크 인프라를 무단 액세스, 오용, 수정 또는 서비스 거부로부터 보호하는 ‘네트워크 보안’ △애플리케이션 및 관련 데이터의 무단 진입 및 오용을 방지해 사내 및 클라우드 기반 애플리케이션을 보호하는 ‘어플리케이션 보안’ △중요한 정보를 무단 액세스, 노출, 수정 또는 파괴로부터 보호하는 ‘데이터 보안’ △애플리케이션, 데이터, 스토리지, 개발 도구, 가상 서버 및 클라우드 인프라를 포함한 기업의 클라우드 기반 서비스와 리소스를 보호하는 ‘클라우드 보안’ △서버, 데스크톱, 노트북 및 모바일 장치 등을 공격으로부터 보호하는 ‘엔드 포인트 보안’ 등등 다양하게 세분화된다.
강병탁 대표는 “사이버 보안의 기술적 측면에서 일반인들은 사이버 보안 하나만 아는데, 병원에 소아과, 산부인과, 정형외과, 내과 등 전공이 나눠지듯 사이버 보안에서도 네트워크, 어플리케이션, 데이터, PC, 시스템, 계정 클라우드, 사이버 위협 인텔리전스(CTI) 등 분야별 전문영역이 구분되고 각자 독립성도 가진다”고 지적했다. 즉 기술적 보안 측면에서 특정 한 보안 분야 전문가가 모든 영역을 맡을 수 없고, 각 영역 별 전문가의 지원이나 협력이 필요하다.
UR E26 충족 보안장비
IACS UR E26 요구사항을 충족할 수 있는 보안장비로는 △네트워크 관리시스템(NMS, Network Management System) △침입탐지시스템(IDS, Intrusion Detection System)/ 침입방지시스템(IPS, Intrusion Prevention System) △통합 로그관리 시스템(SIEM, Security Information and Event Management) 등이 있다.
국내 보안 업계 관계자 L씨는 “IDS는 알려진 취약점의 패턴을 기반으로 공격시도를 탐지하는 장비이고 IPS는 IDS에 자동 차단 기능을 추가한 것으로 모두 ‘네트워크 보안 솔루션’으로 구분한다”고 설명했다. 또 “NMS는 네트워크 장비의 실시간 모니터링 및 관리를 통해 서비스 단절을 최소화하고 트래픽 정보수집 및 분석 등의 기능을 제공, SIEM은 IDS, IPS, 방화벽(Firewall) 등의 보안 솔루션을 하나로 통합관리 시스템으로 이 둘은 ‘보안관제 솔루션’으로 분류한다”고 덧붙였다. 그는 “이들 3개 장비는 모두 해외 솔루션인데 현재 국내 선사를 대상으로 국내 보안업체와 함께 솔루션을 개발·보완하고 있다”고 밝혔다.
정부의 사이버 보안 육성
해수부는 해사 사이버 안전에 관해 다각도로 검토하고 있다. 해수부 한 관계자는 “올 하반기에 △법·제도마련 △표준매뉴얼 제작·배포 △관련기술연구·개발·실증, 국제표준화·상용화지원 △교육·훈련프로그램 개발·실시 △해사 사이버안전 인력 양성 △사고 등 정보공유·분석 체계 구축 △선박·사업장대상안전진단, 실태평가, 컨설팅 지원 등의 내용을 담은 '해사 사이버 안전 종합대책을 수립할 예정이다”라고 밝혔다.
지난달 2일에는 해수부와 과기부 각 해양 분야 디지털 혁신 촉진을 위한 업무협약을 체결했다. 이로 양 부처는 △해사 사이버보안 기술 고도화 △해사 사이버보안 교육·훈련 및 인력 양성 △사이버 공격·위협 정보 공유 및 신속한 대응·복구 지원 등 사이버 보안 업무를 협력키로 했다.
한편 지난 3월 과기부는 한국벤처투자에서 실시하는 모태펀드 2차 정시 출자 공고를 통해 『사이버 보안 펀드』 투자 운용사를 모집한다고 밝혔다. 이 펀드 조성 첫 해에 정부가 200억 원을 모태펀드에 출자해 총 400억 원 규모의 펀드를 조성하고, 2027년까지 4년간 출자를 통해 총 1,300억 원 규모 이상의 펀드 조성을 목표하고 있다. 이 펀드는 사이버 보안 분야 유망 스타트업과 중소기업 육성을 위해 주목적 투자 대상을 AI, 제로 트러스트(Zero Trust) 등 사이버 보안 기술을 보유한 혁신 기업과 사이버 보안 기업의 인수합병(M&A)에 50% 의무 투자한다.
사이버 보안 교육, 인재 양성
과기부는 지난해 12월 2024년 사이버 보안 인재양성 20% 증액 편성해 사이버 보안 10만 인재양성에 돌입했다. 과기부는 2023년도에 정보보호특성화대학 2곳을 더 추가하고, 화이트햇스쿨, S-개발자, 시큐리티 아카데미 등 교육기관을 신설해 지난 한 해 이미 1만 9,000명의 사이버 보안 인재를 양성했다고 밝혔다.
선사 한 관계자는 “선박에서 IT관련 문제가 발생 시 현장 해기사들과 사이버 보안 관련 대화를 하다보면 해기사들의 사이버 보안 지식이 거의 없어 대화의 어려움이 있을 정도다”리며, “현 해기사 및 예비 해기사들의 사이버 보안 교육이 절실하다”고 토로했다.
유진호 한국선급 책임검사원의 ‘해양산업 디지털 전환을 위한 사이버보안 전문 인력양성 방안연구’ 논문에서 “사이버보안 전문 인력양성이 가장 효율적으로 해양산업디지털 전환에 따른 사이버 복원력을 유지하는데 효율적인 방법이다”라며, “IMO의 1978년 선원의 훈련·자격증명 및 당직 근무의 기준에 관한 국제협약(STCW)을 기반으로 교육훈련이 필요하다”고 주장했다.
p48-web-resources/image/13.png)