국가 차원 대책 마련 시급…업계·전문가 참여도 필수
[데이터넷] 정보통신 기술과 VSAT 위성통신기술의 발전에 따라, 선박의 인터넷 상시 접속이 보급되고, 선박의 운항 데이터를 육상에서 모니터링 하는 등 선박과 육상 간의 데이터 공유가 급증하는 반면, 선박용 기기의 컴퓨터화나 선박과 육상 간의 상시 접속에 따라, 선박의 내외부로부터의 바이러스나 멀웨어 감염, 불법 액세스 등과 같은 사이버 공격에 처할 리스크가 높아지고 있다.
따라서 해운에 있어서 선박 사이버 리스크는 선박 운항에 있어서 운항 불능 상태로 만들 수 있는 선박 운항을 지원하는 항해 기기, 엔진 기관 및 제어 네트워크 등의 OT(Operation Technology) 기기가 선박 사이버 시큐리티에서 보호해야만 하는 대상이 되며 그 외에도 선박의 PC나, 선박 간 육상 간의 위성통신, 그리고 무선 통신 등 IT 부분이 우선적으로 각종 사이버 공격으로부터 보호되어야만 한다.
잇따르는 해사 사이버 공격 사고
최근 선박 등에 대한 각종 사이버 공격 사례들이 세계 곳곳에서 많이 일어나고 있다. 2017년 6월 세계 최대 해운회사 AP 묄러-머스크가 랜섬웨어 사이버 공격에 의해 2주 동안 머스크 해운 관련 계열사인 머스크 라인 등 머스크가 전 세계에서 운영하는 항만 터미널 IT 시스템이 마비돼 한동안 화물 선적과 하역 작업이 모두 중단되는 등 2~3억 달러 손실을 보는 사건이 발생하였다.
2020년 9월 세계 제3위의 해운·컨테이너 운송 기업인 CMA CGM도 네트워크 주변 기기에 영향을 주는 랜섬웨어 공격으로 관련 기업의 예약 사이트 등이 엑세스가 되지 못하여 오프라인으로 대처하는 사건이 발생했다.
국내에서도 2011년 전남 진도의 해상교통관제센터가 해킹을 당하는 사건이 있었으며, 2019년 3월, H선사 선박의 메인컴퓨터가 랜섬웨어에 감염된 사고도 알려지고 있으며, 전 세계 해역에서 GPS 스푸핑에 의한 선박에서의 GPS위치 정보 변경이나 교란 등의 행위가 수 많은 선박을 대상으로 발생하고 있음도 보도되고 있다.
해사 사이버 보안 가이드라인 발표
이같은 사이버 공격의 심각성이 대두되면서 해운업계에서는 사이버 보안에 대한 관심이 높아지고 있다. 2016년 발틱해국제해운협회 (BIMCO)에 의한 선내의 사이버 보안 가이드라인을 시작으로, 2017년 6월 국제해사기구(IMO)가 국제안전코드(ISM 코드)에 근거, ‘안전관리시스템(SMS)을 통한 사이버 위험 관리’를 2021년 1월부터 선주나 운항자에게 권고하는 가이드라인도 채택했다.
미국도 국내 총 생산량의 4분의1에 공헌하고 있는 해상 수송 시스템(MTS)의 사이버 시큐리티를 2017년의 국가안전보장전략에 국방, 국토안전보장과 함께 최우선 사항으로 지정하고 있으며, 2020년 12월 트럼프 대통령이 서명한 미국 해사 사이버 보안 계획도 백악관에서 공표하고 있다.
일본에서도 2016년부터 일본선박기술연구협회(JSTRA)가 해사 분야에 있어서 사이버 시큐리티 대책에 관한 조사 연구위원회를 발족하여 3년간 사전 연구를 실시했으며, 일본해사협회(ClassNK)도 2018년에 선박 사이버 시큐리티에 관한 가이드라인을 공표하고 2019년부터는 사이버 시큐리티에 관한 인증 서비스를 구축 운영하고 있다.
국가 차원 해사 사이버 보안 정책 시급
우리나라는 한국선급에서 해사 사이버 보안 인증 제도를 운영하고 있으며, 선사와 선박의 사이버 보안을 위한 ‘해상 사이버 보안 관리시스템 지침’도 마련해 운영하고 있다.
해사 관련 사이버 공격이 심각해지는 상황에서 한국선급의 대책만으로는 부족하다. 수출입이나 원유 물량 등 대부분의 선박 수송 의존은 물론이고 조선 강국으로 알려진 우리나라 해양 환경에서 해군이나 해양경찰청, 해양수산부 등 국가 차원의 해사 사이버 보안 정책이 마련되고 시행되는 것이 필요하다.
선주, 운항자 그리고 조선소를 위한 선박 계획과 건조 시의 보안 가이드라인과 취항 중 선박 보안 가이드 라인 제정은 물론이고, 선급, 선주, 선박회사, 조선소 등 관련 해사 사이버정보공유분석센터(M-ISAC) 구성 및 운영, 선박 기기의 사이버 취약성 점검, 해사 사이버 보안 훈련, 해사 사이버보안 연구개발과 인력 양성 등 해사 사이버 안보를 향상시킬 수 있는 각종 제도들이 마련되고 운영될 수 있도록 해야 한다.
물론 해사 사이버 보안 분야가 국가사이버안보전략에도 당연히 포함돼야 하며,국내 사이버보안 전문가들의 더 많은 관심 또한 필요하다.
