스마트선박 보호 위한 해사보안 규제도 마련
[데이터넷] OT 타깃 공격이 급증하면서 세계 각국 정부가 강력한 규제를 마련하고 있다. 국가안보와 국민들의 생명·안전과 직결된 주요 인프라와 기관을 보호하기 위한 규제가 등장하고 있으며, 공급망까지 규제의무 대상에 포함시키면서 국내 기업의 대응책 마련이 시급해졌다. OT 조직의 보안전략 수립에 도움이 될 수 있는 OT와 관련된 보안규제와 OT 위협 동향을 살펴보고, 대응 기술과 모범사례를 소개한다. <편집자>
전 세계 매출 2% 부과하는 NIS2, 내년 10월 시행
EU의 네트워크 및 정보 시스템 지침 2(NIS2) 시행이 1년 앞으로 다가오면서 관련 기업과 기관이 분주하게 움직이고 있다. 이 지침에서는 규제 대상 조직에서 중대한 사고 발생 시 24시간 내에 조기 경고하고, 72시간 내에 통지하며, 1개월 내에 최종 보고서를 제출하도록 했다. 위험관리와 통지 의무 위반 시 필수조직(Highly Critical Sector)은 1000만유로(약 142억원) 혹은 직전 회계연도의 전 세계 총 매출액 2% 중 더 높은 금액을 부과한다. 중요조직은 700만유로(Critical Sector) 혹은 1.4% 중 더 높은 금액을 부과한다.
NIS2는 올해 1월 공식 발표됐으며, EU 회원국은 이 지침에 맞게 내부 법률을 개정해 내년 10월부터 시행해야 한다. NIS2는 사이버 리스크 관리를 의무화해 기업의 회복력과 연속성을 보장하면서 사이버 보안 요구사항을 준수하는 것을 목표로 하고 있다.
규제 대상은 ▲필수조직: 에너지, 운송, 뱅킹, 금융 시장을 위한 인프라, 제약·의료연구·병원을 포함하는 의료, 식수, 폐수, DNS 공급자·클라우드 서비스 사업자·데이터센터 사업자·CDN 사업자 등을 포함하는 디지털 인프라, 매니지드 사업자를 포함한 IT 서비스 관리 사업자, 공공기관, 우주 ▲주요 조직: 우편·택배 서비스, 폐기물 관리, 화학, 식품 제조·운송, 의료기기 제조, 온라인 마켓플레이스·검색엔진·SNS 플랫폼을 포함한 디지털 서비스 사업자, 리서치 조직 등이다.
규제 대상 조직은 ▲위험분석 ▲공급망 보안 ▲위험관리 ▲인적보안 ▲다중인증 ▲시스템·통신보안 ▲사고대응 ▲네트워크 보안 ▲인식·교육 ▲접근통제 ▲유지보수 ▲백업·복구 ▲정보시스템 보안 ▲암호화 ▲자산관리 ▲감사·추적 등 16개 분야의 요구사항을 지켜야 한다.
NIS2 시행 1년을 남겨두고 있는데, 이에 대한 대비는 여전히 미비한 상황이다. 노조미네트웍스 조사에 따르면 EU의 중요 인프라 기업 대부분이 NIS2를 상당한 도전과제로 보고 있으며, 80%는 취약점 매핑, 위협 헌팅 등에 대한 준비가 미흡한 것으로 나타났다. 우리나라 기업들은 공급망 보안분야에 관심이 많지만, 자사 비즈니스가 이 지침을 지켜야 하는지 여부를 아직 알지 못한다.
중요 인프라 보호 규제 강화
국민의 일상 생활에 영향을 미칠 수 있는 중요 인프라 보호와 관련된 규제가 점점 더 강력해지고 있다. 콜로니얼 파이프라인 랜섬웨어 사고 후 미국 국토 안보부의 교통안전국(TSA)은 교통 사이버 보안 요건을 발표하고 미국 철도 운영 조직, 공항, 항공기 운영 업체, 중요한 파이프라인의 사이버 복원력을 강화할 수 있도록 조치를 의무화했다. 이 보안요건은 미국에 진입하는 타국적 항공기 운영업체도 지켜야 한다.
교통·운송 분야 공격의 위험성은 전쟁중인 우크라이나에서 여러 차례 보여줬다. 유로 컨트롤, 일본 나고야항, 아일랜드 더블린 공항, 독일 뒤셀도르프 공항 등 세계 주요 국가 항구와 공항도 랜섬웨어·시스템 파괴 공격으로 막대한 피해를 입었다.
이를 막기 위한 TSA 보안 요건은 ▲IT-OT 시스템 손상 시에도 안전하게 작동할 수 있도록 네트워크 분할 정책·제어 개발 ▲중요 시스템 무단 액세스 방지 ▲사이버 보안 위협·비이상적 행위에 대한 지속적인 모니터링과 탐지 ▲펌웨어 보안 패치·업데이트 등을 포함하도록 했다.
우주 관련 인프라에 대한 보안 요건도 제정되고 있다. 위성 위치 확인, 원격 통제 시스템 등이 공격을 받을 수 있으며, 우주 기술 관련 핵심 정보가 유출돼 경쟁사 혹은 경쟁국가가 악용할 수 있다. 실제로 미국 사이버 인프라 보안국(CISA)은 국가기반 공격자들이 항공우주 기업을 표적으로 공격하고 있다고 공식 발표했다. 공격자들은 원격 액세스 프로그램과 방화벽 취약점을 악용해 타깃 조직에 침투했으며, 중요 정보 탈취를 시도했다.
선박·우주·로봇 … 새로운 산업 타깃 위협 등장
최근 해상분야는 스마트 무인선박이 운행되고 있으며, 위성통신을 이용해 육지에서 선박의 운항을 통제한다. 자율주행 기능을 적용한 스마트선박은 최적의 경로를 계산해 이동하기 때문에 에너지 사용을 줄이고 물류 운송 시간도 크게 줄일 수 있으며, 예측할 수 없는 기상이변과 장기간 해상 운항으로 선원의 건강과 생명을 지킬 수 있다.
그런데 해커가 통신을 교란시키거나 중간자 공격으로 명령을 탈취해 중요 기밀을 훔칠 수 있고, 잘못된 명령을 내려 사이버 해적이 선박을 무단으로 점령할 수 있다. 실제로 미국 대형 선박 제조사 브룬스윅 코퍼레이션이 8500만달러 규모의 피해를 입었으며, 해운사 머스크는 랜섬웨어 공격으로 3억달러의 이르는 경제적 손실을 입었다.
그래서 국제선급연합회(IACS)는 지난해 선박 및 기자재시스템 사이버 복원력 달성을 위한 통합 요구사항 UR E26, E27을 발행하고 내년부터 건조 계약되는 모든 선박에 이를 적용하도록 했다.
우리나라에서도 스마트선박과 우주, 로봇, 드론 보안 내재화를 위한 시범사업과 규정 마련에 속도를 내고 있다. 과학기술정보통신부는 신기술 적용 융합서비스 보안강화 시범사업으로 ▲스마트선박 보안위협 대응을 위한 AI 기반 사이버위협 탐지·자동분석 시스템 개발 지원(스마트선박) ▲위성 데이터 송수신 시스템에 대한 양자암호화 지원(우주) ▲5G 클라우드 기반 로봇시스템 암호 키 적용, 사용자 접근제어 보안 솔루션 개발 지원(로봇) ▲드론 운용, 영상정보 보호에 양자난수 기반 암호모듈 인증 지원(드론) 등을 진행하고 있다.
더불어 해사 사이버 안전제도 기반 마련을 위한 법제화를 검토, 중장기 로드맵을 수립하고 있으며, 지난 4월에는 선박 사이버안전 관리 지침(고시)을 제정하기도 했다.
이외에도 우리나라는 주요정보통신기반시설에 대해 보안 책임자를 두고, 매년 취약점 분석·평가를 시행하도록 하고 있으며, 국가표준 KS X IEC 62443-4-1, KS X IEC 62443-4-2를 마련하고 OT/ICS 보안을 강화하기 위해 노력하고 있다.
윤주연 한국인터넷진흥원 법제연구팀장은 “사이버 공격이 사회 안전을 위협하는 상황이 되면서, 사이버 보안에 대한 기술적 접근뿐만 아니라 제도적이고 규범적인 측면에서도 강조되고 있는 추세다. 공격자는 국경 제한 없이 위협 행위를 펼치고 있으며, 이것이 사회안전과 시민의 일상을 위협하고 있다”며 “선진국의 규제와 지침을 살펴보면서 우리나라에 필요한 지침 제정에 나서야 한다. 특히 보안 규제는 시스템 보호뿐만 아니라 데이터와 기기, 사람 등 연결되는 모든 것을 보호하고, 공격 시 빠르게 복원할 수 있는 방법도 찾아야 한다”고 설명했다.
