(배경 및 목적)
e-navigation은 육상의 정보통신시스템과 독립되어 폐쇄적으로 운영되던 기존의 선박의 네트워크를 육상의 인터넷이나 안전정보 시스템 및 다른 선박의 네트워크와 연결시켜 선박의 연결성을 강화시킨다. 이러한 환경에서 e-Navigation이 전세계적으로 확산되고 효과적으로 이행되기 위해서는 전체 시스템의 안정적 운영이 중요하다. 특히 최근 육상에서 급증하던 사이버 범죄가 Maersk(2017), COSCO와 같은 대형 선사로 확대되는 경향을 보이고 있어 육상과 해상을 연결하는 정보시스템의 사이버 보안이 무엇보다 중요하다. 세계의 각 선박에 e-Navigation 시스템을 적용하기 전에 선박에 대한 사이버보안 확보방안이 마련되지 않는 다면 선주나 각 국가들은 e-Navigation 도입을 주저하게 될 것이다. 이에 따라 e-Navigation의 국제적 이행 및 확산을 위해 해사분야의 사이버보안 대응실태를 분석하여 개선방안을 도출할 필요가 있다.
전세계적인 사이버 범죄와 관련되어 비용이 2014년 4천450억불에서 2017년에는 6천불로 크게 증가하였고, 사이버 범죄의 형태도 다양해졌다. 선박을 비롯한 해사분야는 최근까지 사이버 범죄의 안전지대로 여겨졌으나 2017년 Maersk 사에대한 랜섬웨어 공격을 시작으로 대형 국제해운선사들이 연이은 공격을 받았다. 이에 따라 국제해사기구(IMO)와 관련 기관들은 선박에 대한 사이버보안 대응 가이드라인을 제정하고 해운회사의 안전관리체제 사이버보안 관리방안을 포함하도록 하는 등 다양한 대응방안을 마련하였다. 그럼에도 불구하고 개도국이나 회사의 규모가 영세한 선박에 대해 국제사회의 이러한 조치들이 효과적으로 시행되고 있는지는 검증된바가 없다. 이에 따라 IMO 등이 요구하는 선박사이버보안 요소에 대해 해운회사들이 어떠한 취약성을 가지고 있는지 파악하고 이에 대한 추가적인 개선방안을 마련할 필요가 있다.
(연구 범위 및 방법)
해사분야 전체의 사이버보안 실태를 파악하기 위해서는 해운회사, 터미널, 항만공사, 예도선 업체 등 다양한 분야에 대한 조사가 이루어져야 한다. 하지만 연구 기간과 자원의 한계로 이 연구에서는 해사분야에서 가장 핵심적인 요소인 선박에 대한 사이버보안 관리실태를 조사한다. 특히, 선박 중에서도 선박 자체의 물리적 사이버 보안이나 네트워크 특성 보다 회사의 선박에 대한 사이버 보안을 관리하는 실태에 대한 조사가 이루어진다. 그리고 전세계 국가 중 외항과 내항업이 발전되어 있고 e-Navigation 등 해사 ICT 분야에 인프라가 우수한 대한민국의 해운회사에 대한 분석을 통해 사이버보안에 대한 실태와 교훈을 도출한다.
이 연구는 150개 이상의 해운회사 및 선박관리회사를 대상으로 설문조사를 실시하여 그 중 유효한 설문 38개를 분석하였다. 질문은 총 46개고 그 중 일반사항을 제외한 선박의 사이버 보안 실태에 관한 설문은 3개 분야 27개 문항이다. 설문은 리커트 척도가 사용되었으며 Cronbach’s Alpha를 이용한 설문의 신뢰도는 0.934로 매우 높은 신뢰도를 나타냈다.
설문의 분석을 통해 27개 사이버보안 요소에 대한 한국 해운회사의 취약성을 분석하였는데 여기에는 한국해양개발원(KMI)의 선행연구를 활용하여 리커크 척도로 조사된 설문결과를 통계적으로 처리하였다. 또한 조사대상 해운회사의 각 종 특성과 사이버 보안요소별 취약성간의 상관관계를 Pearson 상관관계 지수를 활용해 분석하였다.
(취약성 및 상관관계 분석)
해운회사들의 사이버보안 역량을 분석한 결과 대체로 양호한 것으로 분석되었다. 다만 조직과 인적자원이 다른 분야에 비해 다소 취약한 것으로 분석되었다. 또한 대형선사에 비해 소형선사가 더 취약한 것으로 분석되었다. 행정적 보안, 기술적 보안, 물리적 보안 등 3개 분야의 사이버보안요소에 대한 분석결과 물리적 분야가 가장 취약한 것으로 나타났고 행정적 분야의 취약성이 가장 양호한 것으로 분석되었다.
해운회사의 사이버보안 취약성과 회사의 특성(회사의 보안관리자 수, 관리선박의 수, 관리선박의 총 톤수, 회사의 보안관리 역량요소)간의 상관관계분석을 실시하였다. 이중 회사의 보안관리자 수는 회사의 사이버보안 취약성과 Pearson 상관계수가 0.159로 매우 낮게 나와 두 요소간 상관관계가 거의 없는 것으로 분석되었다.
해운회사의 관리선박 수와 회사의 사이버보안 취약성과의 상관관계는 보안인력 수와의 상관관계보다 다소 높은 0.314로 분석되었고, 관리선박의 총 통수의 합은 0.4009의 상관관계값을 나타냈다. 회사의 보안관리 역량요소(조직, 인력, 전문성, 교육 및 훈련)이 비교 대상 중 가장높은 상관관계를 가져 피어슨 상관관계 계수가 0.641로 분석되었다.
(결론)
우리는 4차 산업혁명에 따른 기술개발과 정보화 기기간의 연계성 강화로 사이버 위협이 급증하고 있음을 확인하였습니다. 또한 사이버 위협의 안전지대였던 해양산업에서 사이버 범죄가 빈번하게 발생하고 있으며, 향후 10년간 전자항법선, 자율항법선 등 첨단 ICT 기술의 도입으로 사이버 위협이 최대 이슈가 될 것으로 전망하고 있다.
IMO를 중심으로 BIMCO, Oil Majors, Bulk Shipper Association 등 관련 기관들은 사이버 보안 가이드라인을 발간하고 선박의 SMS에 사이버 보안 규정을 통합하며 유조선 및 벌크선을 대상으로 한 화주 검사 항목에 사이버 보안 요소를 포함시키기 위해 노력하고 있다.
이 연구는 해운업체의 사이버 보안 취약성에 대한 평가를 통해 이들 유관기관의 노력이 해운산업 분야에서 어떻게 구현되고 있는지를 분석하였다. 또한, 사이버 보안 취약점 강화 방안을 모색하기 위해 해운사의 취약성과 다양한 기업 특성이 어떤 상관관계가 있는지를 분석하였다.
이 연구의 첫 번 째 연구 질문은 해운 회사의 사이버 보안 요소 구현에 관한 것이다. 6.2장에서는 국내 해운사들이 BIMCO 등이 발행하는 사이버보안 가이드라인의 중요 사이버보안 요소를 비교적 잘 구현하고 있는 것으로 분석되었다. 반면, 개별 기업간 사이버보안 취약점의 편차가 컸고, 소기업군의 보안 취약성은 2.9점으로 대기업군 3.69점에 비해 상당히 낮은 것으로 확인되었다.
두 번째 연구문제와 관련하여 6.3장에서는 사이버 보안 취약성과 회사 특성 간의 상관관계를 분석하였다. 여기에서, 회사의 사이버 보안 역량요소가 취약점과 가장 큰 상관관계를 가지고 있는 것으로 확인되었으며, 사이버 보안 관리자 또는 관리 선박의 수는 사이버 보안 취약점과 상대적으로 낮은 상관관계를 가지고 있었다.
IMO 및 국가 사이버보안 취약점 개선전략에 관한 세 번째 연구질문에 대해서는 7.1장 논의 결과와 앞의 두 연구질문의 결과를 토대로 다음과 같은 제안이 가능하다고 판단된다.
첫째, 정책의 대상을 명확히 할 필요가 있다. 6.3장의 분석에서 알 수 있듯이, 그룹 전체의 취약성은 개별 회사 또는 특정 그룹에 따라 크게 차이가 나는 것이 일반적이다. 소규모 해운회사는 대형 해운회사보다 취약할 가능성이 높고, 일반 화물선을 관리하는 회사는 유조선이나 화주협회의 검사를 받는 벌크선을 관리하는 회사보다 취약할 가능성이 높다. 게다가, 내항 해운 회사들은 국제 해운 회사들보다 더 취약할 가능성이 높다. 따라서, 정부나 국제기구의 한정된 자원을 효과적으로 활용하기 위해서는 보다 취약한 분야에 집중하여 사이버 보안 취약점을 개선하는 정책을 추진하는 것이 바람직하다.
둘째, 기업이 준수해야 하는 사이버 보안 요소를 명확히 하고 단순화할 필요가 있다. BIMCO 또는 ISO/IEC에서 발간한 보안지침의 내용은 광범위하고 전문적이어서 일반 직원이 이해하기 어렵다. 회사의 규모에 관계 없이 대부분의 운송 회사는 사용하지 않는 장비의 사용자 정보 보호에 대한 항목 및 장치가 잠긴 서랍의 기내에서 사용되는 중요한 데이터를 저장하는 항목에서 낮은 취약성 점수를 받았다. 이는 방대한 사이버 보안 가이드라인에 숨어 있는 이 두 가지 항목을 기업이 제대로 파악하지 못한 데 따른 것으로 판단된다. 따라서 기업이 준수해야 할 사이버 보안 요소를 단순하고 간단하게 만들면 기업의 사이버 보안 대응 수준을 높일 수 있을 것이다.
셋째, 배가 설계될 때부터 사이버 보안을 고려해야 한다. 사이버 보안 요소 중 시설이나 구조 변경이 필요한 T4(2.87점), P4(2.94점), P5(2.75점) 등은 평균(3.47점)보다 낮은 점수를 받았지만 이를 개선하는 데는 많은 시간과 비용이 소요된다. 따라서, 배가 건조된 후에는 쉽게 개선될 수 없다는 문제가 있다. 또한 앞으로 e-Navigation 적용 선박이나 자동화선박이 늘어나면 선박에 대한 직접적인 사이버 보안 위협도 크게 증가할 것이다. 따라서 앞으로는 IMO의 조선기준에 사이버 보안규정을 추가하는 것이 바람직하다.
마지막으로, 배를 이용한 사이버 해적과 테러의 증가는 우리가 예상했던 것보다 훨씬 더 심각한 영향을 미칠 수 있다. 선박에 대한 ICT 기술의 적용과 인공위성을 이용한 인터넷의 보편화됨에 따라 선박에 대한 사이버 위협은 날로 증가할 것이다. 따라서, IMO, 각 회원국, BIMCO 등 관심 있는 기관들은 현재의 사이버 보안 대응 정책의 효과를 다시 한번 점검하고 보다 효과적인 전략을 마련해야 할 때이다. 또한, 세계적인 수준의 사이버 보안 대응은 해운 회사나 한 국가 차원에서 달성할 수 없는 목표이므로 IMO를 중심으로 한 국제 협력과 노력을 통해 지속적으로 사이버 보안 대응역량을 강화해야 한다. |
