해사(海事) 사이버 보안의 이해

머리말

제1장 총론
제1절 사이버 보안의 개념
1. 배경 : 해사 보안의 연혁
가. SUA 협약
나. 해적행위와 테러행위
다. ISPS Code
2. 사이버 보안의 개념
가. 안전과 보안
나. SOLAS와 ISPS
다. 사이버 보안
3. 해사 사이버 보안의 중요성
가. 해상 비즈니스 환경 변화
나. 선박 사이버 리스크의 증가
다. 해운 패러다임의 전환

제2장 해사 사이버 보안의 법제
제1절 해사 사이버 보안의 근거
1. 해사 사이버 보안 국제규제 동향
2. 해사 사이버 보안 규정
가. 국제 규정 (1) 국제조약
(가) MSC 제98차 회의 결의서 및 회람문서
(나) 항해의 안전에 대한 불법행위 억제를 위한 협약
(2) 산업계의 가이드 라인
(가) IMO 가이드 라인
(나) BIMCO 등 해운업계의 가이드 라인
(다) 각국 선급의 가이드 라인
(3) 정보보안 국제표준
(가) ISO 27001
(나) NIST 프레임 워크
(다) ISO 27001, KISA ISMS, KR 시스템 인증 비교
(4) 민간 검사규정
(가) KR 사이버 보안 시스템 지침
(나) 화주 검사규칙 : TMSA, Rightship
나. 국내 법제
(1) 해사법규
(가) SOLAS 협약을 수용한 선박안전법
(나) ISM Code를 수용한 해사안전법
(다) ISPS Code를 수용한 국제항해선박 및 항만시설의 보안에 관한 법률
(2) 형사, 경비관련법
(가) 형법
(나) 선박 및 해상구조물에 대한 위해행위의 처벌 등에 관한 법률
(다) 해양경비법
(3) 정보보안 관련 법제
(가) 정보통신망법
(나) 정보통신기반 보호법
(다) 전자정부법
(라) 물류정책기본법
(마) 국가통합교통체계효율화법
(바) 전자무역 촉진에 관한 법률
(4) 국가보안 관련 법령
(가) 국가보안법
(나) 국가사이버안전관리규정
(다) 보안업무규정 및 보안업무규정 시행규칙
(라) 국민보호와 공공안전을 위한 테러방지법
(마) 경비업법
(바) 통합방위법

제2절 개선방향
1. 해사 사이버 보안의 구축 및 유지
2. 통합법제 필요성
3. 집행주체의 명확화

제3장 해사 사이버 보안의 실무
제1절 해사 사이버 보안의 목적
1. 사이버 보안의 필요성
가. 규제대응과 사업의 연속성
2. 해사 사이버 보안의 대상
가. 사이버 공격
나. 보안의 3요소
다. 보안 3가지 대책
3. 해사 사이버 보안의 방법
가. 보안의 방법론 및 프레임워크
(1) ISO/IEC 27001
(2) NIST의 CSF
(3) Lloyd’s Register의 CES(Cyber-Enabled Ships)
(4) DNV-GL의 Recommended Practice
(5) ABS의 Guidance notes on the Application of Cybersecurity principles
(6) BIMCO 선상 가이드 라인, KR 가이드 라인의 사이버 보안 방법론
나. 사이버 보안 체계 구축 및 인증
(1) KR 사이버 보안 시스템 인증
(2) ISO/IEC 27001:2013 인증

제2절 해사 사이버 보안 리스크 관리
1. 개요
가. 사이버 안전과 사이버 보안
(1) 사이버 사고의 원인
(2) 사이버 리스크 관리란?
나. IT와 OT의 차이점
다. 계획과 절차
라. 선박 관리자와 선박 소유자와의 관계
마. 선박소유자와 선박 대리점과의 관계
바. 외부자와의 관계
2. 리스크 관리 실무
CRMA-01. 위협의 식별
가. 사이버 공격의 동기와 목적 나. 사이버 공격의 종류
(1) Malware
(2) Phishing
(3) Water holing
(4) Scanning
(5) Social engineering
(6) Brute force
(7) Denial of service
(8) Spear-phishing
(9) Subverting the supply chain
다. 사이버 공격의 단계
(1) Survey/reconnaissance
(2) Delivery
(3) Breach
(4) Pivot
CRMA-02. 취약성의 식별
가. 주요 선내 시스템의 취약성
(1) 화물 관리 시스템
(2) 선교 시스템
(3) 추진, 엔진관리 및 전력제어 시스템
(4) 접근 제어 시스템
(5) 승객 서비스 및 관리 시스템
(6) 승객의 공용 네트워크 접속
(7) 관리자, 선원 복지 시스템
(8) 통신 시스템
나. 선박과 육상 간 상호 접속
다. 일반적인 취약성
CRMA-03. 리스크 평가
가. 개요
(1) 고위 경영진의 역할
(2) 리스크 평가의 범위
(3) 고려사항
나. 중요도 평가
(1) CIA 모델에 의한 평가
(2) 평가 사례
(3) 회사에 의한 리스크 평가
(4) 제3자에 의한 리스크 평가
다. 리스크 평가 절차
(1) 사전 평가 활동
(2) 선박 평가
(3) 취약성 검토, 보고의 분석
(4) 제조사 통보
CRMA-04. 보호 및 탐지방법 개발
가. 다계층 방어 및 다방면 방어
나. 기술적 보호조치
(1) 네트워크 포트, 프로토콜 및 서비스의 제한 및 제어
(2) 방화벽, 라우터 및 스위치와 같은 네트워크 장치 구성
(3) 물리적 보안
(4) 탐지 차단 및 경고
(5) 위성 및 무선통신
(6) 무선접근 통제
(7) 악성코드 탐지
(8) 하드웨어와 소프트웨어의 보안구성
(9) 이메일과 웹브라우저의 보호
(10) 데이터 복구 기능
(11) 응용소프트웨어 보안
다. 절차적 보호조치
(1) 훈련 및 인식교육
(2) 방문자 접근통제
(3) 업그레이드와 소프트웨어 유지관리
(4) 안티 바이러스 및 악성코드 프로그램 업데이트
(5) 원격접속
(6) 관리자 권한의 사용
(7) 물리적 이동식 미디어 통제
(8) 데이터 삭제를 포함한, 장비 폐기
(9) 육상으로부터의 지원과 비상계획
CRMA-05. 비상계획의 수립
(1) 육상 네트워크와 본선 OT 시스템의 분리
(2) 안전경영시스템 (SMS)
CRMA-06. 사이버 보안 사고의 대응 및 복구
(1) 효율적인 대응
(2) 복구계획
(3) 사이버 사고 조사
3. 해상보험과의 관계
가. 해상보험의 종류
(1) 선체 및 기계류 보험
(2) 적하 보험
(3) P&I 보험
나. 보험의 기본원칙과 사이버 보안
(1) 감항성 담보
(2) 최대선의(Utmost good faith)와 상당한 주의의무(Due diligence)
(3) 근인 (causa proxima)
다. 해상보험의 개선방향
(1) 보험업계와 해사 관련기구의 역할
(2) 해운업계의 노력

부록
1. BIMCO 가이드 라인과 ISM Code 관련항목 대조
2. ISM Code
3. IMO 해상 사이버 보안 가이드 라인
4. TMSA Thrid Edition (Element 13 Maritime Security)
5. RIGHTSHIP (Section 4.7 Cybersecurity)
6. SIRE VIQ (Chapter 7 Maritime Security)
7. BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO, OCIMF and IUMI The Guidelines on Cyber Security Onboard Ships, July 2017 Ver.3
8. LR Cyber-enabled ships
9. DNV-GL Recommend practice
10. ABS Guidance notes The Application of Cybersecurity Principles

제1장 총론

사이버 정보가 생성, 저장, 유통되는 사이버 공간은 현대사회의 재화, 용역의 생산과 공급의 원천으로서 중요성과 의존성이 점점 커져왔고 그 훼손과 침해로 초래되는 피해는 이제 경제적 손실을 넘어 국가안보의 위협에까지 이른다.
제4차 산업혁명 시대가 본격화되고 전 세계가 초 연결 사회로 이어지고 있는 지금 산업계와 세계 각국은 국가와 기업의 사이버 보안 수준을 향상시키고자 각고의 노력을 다하고 있다.
우리나라도 이미 다양한 법령과 제도로써 사이버 보안에 대비하고 있다.

다만 해운업계는 사이버 위협으로부터 초래될 수 있는 피해수준이 어느 산업과 비교하더라도 막대함에도 공공기관, 금융, 교육 분야 등 사이버 보안을 선도하고 이미 상당한 관리수준에 이른 타 업계와 비교하면 유독 사이버 보안에 대한 인식수준과 대응이 현저히 부족한 편이다.

해운산업은 세계교역 90%의 물자를 국가 간 운송하는 국제성을 띄고, 초고가의 거대 선박을 운용하여 다양한 파생산업을 창출하는 고도의 부가가치 산업이다. 또 수출에 주력하는 국가 입장에서는 기간산업이라고 할 수 있는 중대한 영역이다. 현대 해상운송은 선박운항과 관련한 경제, 금융활동에 이르는 전 영역을 이미 IT를 기반으로 운영하고 있기 때문에 이제 더 이상 사이버 보안의 위협을 두고볼 수 없는 상황이 되었다.

이에 2016년 국제해사기구(IMO)는 각 선주들에게 국제안전관리규약(ISM Code)의 안전관리 시스템을 통해 사이버 리스크를 별도 관리하도록 권고했고, 화주단체인 OCIMF(국제 정유사 해운포럼 : Oil Companies International Marine Forum)와 RIGHTSHIP(광탄선 화주검사)은 자체 검사규정을 제정하여 선박의 사이버 보안 수준을 제고할 것을 주문하는 등 해운 유관단체의 주도로 조금씩 사이버 보안에 대한 인식전환이 시도되고 있다.
하지만 아직까지 업계 전반의 인식과 관리수준이 사이버 리스크의 엄중함에 비해 상당히 부족한 것이 사실이다.

본서는 다소 생소하게 느껴지던 사이버 보안의 기본 개념을 설명하고, 관련 규제와 제도가 발전한 연혁을 소개함으로써 사이버 보안업무의 기본 이해를 돕고, 보안인식을 제고시키는 한편 해상 사이버 보안 체계 구축의 실제 사례를 소개하여 해운업계 종사자들의 실무 능력을 향상시키고자 한다.

제1절 사이버 보안의 개념
1. 배경 : 해사 보안의 연혁

가. SUA 협약의 탄생 : 테러에 대한 국가 간 공조
2차 세계대전 이후의 최초의 해상 테러리즘 사건으로 Santa Maria호 사건이 자주 언급된다. 호화 여객선 Santa Maria는 1961년 승객 600여 명을 탑승시키고 캐리비안해를 항해하다 포르투갈 독재정치에 대항하는 테러리스트들에 의해 피랍되었다. 이 과정에서 7명의 인명이 사상하였으나, 당시의 국제법 원리상 미국 등 국제사회는 정치적 망명을 허용 받은 이들 테러범들을 처벌할 수 없었다.

Santa Maria호 사건 이후 한동안 잠잠했던 해상 테러 이슈는 1985년 Achille Lauro호 테러사건으로 다시금 전 세계인의 이목을 집중시키는데, 이 사건은 결국 IMO가 해상테러에 대응하는 국제조약을 긴급하게 마련하게 하는 결정적 계기가 된다.
팔레스타인 출신의 테러범들은 이탈리아 여객선 Achille Lauro호를 납치하고, 자신들의 탈출조건을 놓고 당국과 협상하다 휠체어를 타고 있던 장애인 승객을 산채로 해상에 던져버리는 충격적 만행을 저지르고 만다. 그러나 테러범들은 당국이나 국제사회의 이렇다 할 제지를 받지 않고 도피에 성공하게 된다. 결국 이 사건으로 해상테러 발생 시의 국제공조 필요성이 강력하게 대두됐고 UN총회의 결의, 권고와 IMO의 연구를 거쳐 해상테러에 관한 국가 간 협력 대응의 내용을 담은 SUA 협약(항해의 안전에 대한 불법행위의 억제를 위한 협약)이 탄생하게 된다. Convention for the Suppression of Unlawful Acts against the Safety of Maritime Navigation, 1988


나. 해적행위와 테러행위
해상위험을 의도적으로 야기하는 유력한 위협행위 중 ‘해적행위’에 대한 개념은 이미 관습상 개념으로 오래전부터 형성되어 해상보험이나 운송계약 관계에서 널리 사용되어 왔다. 이후 ‘해적행위’ 개념은 ‘1958년 제네바 공해협약’ Convention on the High Seas, 1958
으로 성문화되고, 1982년 UN 해양법 협약 1982년 유엔해양법협약 (UNCLOS : United Nations Convention Law of the Sea, 1982)
에도 반영된다.

해양법에 관한 1958 제네바 공해협약은 해적행위를 ‘선박 상의 재산에 대해, 사적목적을 위해 범행되는 어떤 불법적인 폭력행위, 구류 또는 약탈행위’라 정의한다.