> 
[뉴스투데이=강륜주 기자] 조선·해운업계 제도, 규제, 선진기술 등을 미리 파악해 관련 산업을 지원하는 한국선급(KR·회장 이형철)이 사이버안전 조언자로 나선다.
사이버 공격은 회사와 선박 내 시스템과 오작동·고장을 내는 중요 데이터를 유출하기 위해 정보기술(IT) 및 운영기술(OT), 컴퓨터 네트워크 또는 개인용 컴퓨터 장치를 대상으로 하는 모든 유형의 공격을 말한다.
20일 관련업계에 따르면 정보통신기술(ICT)이 발전하면서 선내 운영기술(OT)과 정보기술이 접목해 업무효율성이 높아지고 있다.
다만 이러한 선박과 회사 업무 환경 변화는 선박 시스템으로 승인되지 않는 접근과 악성코드 감염 등 '사이버 사고' 발생 가능성을 높인다. 이에 따라 관련 업계에서 사이버 보안에 각별한 주의를 기울이고 있는 추세다.
특히 전세계 랜섬웨어 공격 빈도는 갈수록 늘어나고 있다.
글로벌 기업보험 업체 알리안츠 글로벌 기업 및 전문가(AGCS)에 따르면 2021년에는 2020년과 비교해 2배에 달하는 6억2300만 건의 랜섬웨어 공격이 있었다.
또한 2022년 상반기에는 랜섬웨어 공격 빈도가 2021년에 비해 23% 감소했지만 연간 누적 총계로 따지면 2022년 상반기가 2017년, 2018년, 2019년 전체 연도를 초과했다.
랜섬웨어 피해를 입은 수 많은 기업 가운데 하나가 해양 기술관련 대기업 '보이저 월드와이드(Voyager Worldwide)'다. 전세계 1000곳이 넘는 해운 회사를 고객으로 두고 있는 이 업체는 지난해 12월 랜섬웨어 공격으로 모든 시스템이 중단되는 사례가 발생했다.
한국선급 관계자는 "랜섬웨어는 범죄 수법이 갈수록 고도화되고 있어 기업에 대한 주요 위협이 되고 있다"고 밝혔다.
그는 또 "이러한 잠재적 취약성 때문에 현재 글로벌 투자자를 포함해 많은 기업이 사이버 공격으로부터 보호·방어할 수 있는 능력(이하 사이버 복원력)을 면밀히 조사하고 있다"며 "많은 기업들인 랜섬웨어 공격을 환경·사회·지배구조(ESG)를 위협하는 수준으로 느끼고 있다"고 덧붙였다.
■ 관련업계, 사이버보안 기술 개발 위해 잰걸음
한국선급에 따르면 국제선급연합회(IACS)가 지난해 선박 및 선내 기자재의 사이버 복원력을 위한 공통규칙 'UR E26'과 'UR E27'을 발행했다. 이에 따라 2024년 1월1일 이후 건조 계약되는 신조선에 대한 사이버 복원력 관련 선급 검사가 강제화될 예정이다.
UR E26은 선박의 설계, 건조, 시운전, 운항까지 선박의 운용주기 동안 운영기술 및 정보기술 시스템의 사이버 복원력을 요구하는 공통규칙이다.
UR E26은 △식별 △보호 △탐지 △대응 △복구 등 모두 5가지 측면에서 선박의 사이버복원력을 높인다.
이에 비해 UR E27은 선박에 탑재되는 다양한 기자재의 사이버 복원력을 위한 요구사항을 담고있으며 신뢰할 수 없는 네트워크와의 통신을 할 때 추가 보안기능을 요구한다.
한국선급 관계자는 뉴스투데이와의 통화에서 "사이버 보안에 직접 대처하지 않고 사이버 보안 체계 표준인 UR E26과 UR E27 등을 확인하고 인증하는 일을 맡고 있다"고 말했다.
이에 따라 한국선급은 UR E26·E27을 반영한 선급 검사체계 기반을 마련하고 관련 문의에 원활하게 대응하기 위해 '사이버 복원력 검사체계 구축 테스크포스팀'(TFT)을 지난 2월 출범했다.
TFT는 올해 2월부터 12월까지 11개월 동안 UR E26·E27에 따른 선급 규칙 개발, 신조선 및 기존 선박 사이버보안 검사 프로세스 구축, 형식승인 서비스 개발 등 업무를 맡는다.
아울러 한국선급은 HD현대(옛 현대중공업그룹)과 IACS UR E26 의무적용 시행에 적극 대응하기 위해 지난해 9월부터 ‘선박의 주요 시스템 및 관련 장비의 사이버 복원력 적용‧검증을 위한 연구개발’ 프로젝트를 진행해왔다.
이 프로젝트에서 HD현대중공업과 HD한국조선해양은 선박 주요 시스템을 중심으로 사이버 복원력 네트워크를 설계하고 사이버 리스크 관리 프레임워크 기반 기술 절차와 방법론을 수립해 대응체계를 갖췄다.
이와 함께 한국선급은 관련 사이버 복원력 개념설계에 대한 타당성, 안전성, 적합성을 검증하고 개념을 승인했다.
이에 따라 한국선급은 올해 안으로 사이버복원력 서비스 체계구축을 마무리해 2024년 이후 적용되는 사이버복원력에 대한 선급검사 역량과 기술력을 확보하고 고품질 기술서비스를 제공해 고객 서비스 만족도를 높이는 것을 목표로 하고 있다.
한국선급 관계자는 “한국선급은 관련 기술 및 인증 역량을 강화해 고객이 높은 수준의 사이버 복원력을 확보할 수 있도록 기술지원을 아끼지 않겠다”고 말했다.
■ 사이버 보안 의식 수준 높이기 위한 교육 실시
한국선급은 선사, 기자재업체, 조선소 등 해사분야 이해관계자의 사이버보안 의식 수준을 높이기 위해 사이버보안 교육도 진행한다.
한국선급은 인터넷 환경이 불안정한 선박 상황을 고려해 사이버 보안 교육훈련 도구 'KR CS++'를 출시했다. KR CS++는 'USB 타입'과 '테블릿 타입'으로 나뉜다.
특히 KR CS++는 구체적이고 실무적인 콘텐츠로 구성돼 선원에 대한 사이버 보안 교육훈련을 효과적으로 할 수 있다.
또한 한국선급은 해사 사이버보안 전문업체 '오렌지씨큐리티'와 운영해 온 사이버보안 이러닝 교육 과정을 개편했다. 이번 교육 과정 개편을 통해 교육 대상자별 맞춤형 교육을 제공했다.
새 교육 과정은 △해사 사이버보안 인식 제고 △해사 사이버보안 실무 관리 △사이버보안 담당자 △사이버보안 형식승인으로 이뤄진다.
해사 사이버보안 인식 제고 과정은 선원들을 포함한 일반 임직원의 해사 사이버보안 인식을 높이기 위한 과정으로 해사 사이버보안 이해 및 해사 사이버보안 관리 실무 모듈로 구성된다.
해사 사이버보안 실무 관리 과정은 선박 사관과 기술자를 위한 교육으로 해사 사이버보안 인식 제고 과정에 한국선급 원격 사이버 검사에 대한 모듈을 포함한다.
또한 사이버보안 담당자 과정은 사이버보안 시스템 관리와 선급 사이버 검사 준비를 담당하는 사이버보안 담당자 또는 관리자를 대상으로 한 과정이다. 이 과정은 해사 사이버보안 실무 관리 과정과 함께 △관리적 보안 △사이버 자산 △위협 및 기술적 보안 △해사 사이버보안 리스크 평가 이해 교육을 실시한다.
한국선급 관계자는 “정보통신기술 발달과 컴퓨터 기반 시스템이 선박에 적용되면서 사이버 리스크에 취약해졌다"며 "사이버 보안을 철저하게 준비하는 과정이 산업계에 필수가 됐다"고 강조했다.
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.
