1.1 연구 배경 및 목적
초고속 인터넷, 모바일 4, 5세대 등 통신 기술의 발전과 인터넷 연결이 가능한 통신 단말(컴퓨터, 스마트폰, 태블릿PC, 자율주행 자동차 등)의 유형 증가에 따라 대량의 사이버 위협이 시도되고 있으며, 사이버 공격 기술 또한 나날이 진화, 고도화되고 있다 (Ko and Jo 2021).
해사분야 또한 스마트 선박의 출현과 디지털 기술의 확대로 인한 해상에서의 사이버 사고가 증가됨에 따라 국제해사기구(IMO, International Maritime Organization)는 국제 선박 및 항구등을 국제 안전 관리(ISM, International Safety Management) 코드와 같은 다양한 규범과 조치를 통해 해양 보안 및 안전을 주요 목표중 하나로 삼았다 (Park, 2020). 이에 국제해사기구(IMO)는 MSC (Maritime Safety Committee).428(98)을 발행/채택하여 (KMI, 2023) 안전관리체계(ISM, International Safety Management Code) 내 사이버안전을 포함하도록 권고하고 (IMO, 2017), 2021년 1월 이후 도래하는 첫 번째 Document of Compliance(DOC) 심사 시 확인하도록 주관청에 권고하고 있다 (Lee et al., 2020).
뿐만 아니라, Baltic and International Maritime Council (BIMCO, 2016)은 2016년 선박 사이버보안 가이드라인을 발간하고, The Oil Companies International Marine Forum (OCIMF, 2017)은 2017년 Tanker Management and Self Assessment (TMSA) 3에 사이버보안 위험 식별에 관한 절차 및 요건을 포함하였으며, (2018) 2018년 Ship Inspection Report (SIRE) Vessel Inspection Questionnaire(VIQ) 7에 사이버보안 요건을 추가하는 등 민간기구 주도로 선박 사이버보안에 대한 활발한 활동이 이루어지고 있다 (Gang, 2018).
이러한 시대적 흐름에 발맞추어 ‘국제선급연합회(IACS, International Association of Classification Societies)는 2022년 4월 선박 건조 및 선박 기자재 개발에 관한 요구사항으로 UR(Unified Requirement) E26 (2022), UR E27 (2022)을 발행하고, 2024년 7월 1일 건조 계약되는 선박에 적용할 예정이다.
UR E26은 4.1 식별(선내 사이버 자산관리), 4.2 보호(무선통신을 포함한 선내 네트워크 토폴로지 구성), 4.3 탐지(선내 네트워크 모니터링), 4.4 대응(사이버 사고 대응 절차) 및 4.5 복구(백업 등 복구 절차) 등의 요구사항을 포함하고 있으며, 특히, 4.3 탐지 요구사항 대응을 위해 현대중공업그룹은 Paessler AG 그룹의 Network Monitoring System(NMS)을 기반으로 개발된 Hi-Secure를 발표하였으며(THE KOREA ECONOMIC DAILY, 2024.), 일본 NYK선사는 사이버보안 핵심 활동으로서 관리 선박 내 Security Information Event Management(SIEM) 솔루션 도입을 추진 중임을 소개하였다 (Shibata, 2023).
선박용 NMS, SIEM 등 사이버보안 모니터링 도구는 선박 사이버보안을 위한 핵심 기술로서, 단순히 선박의 보안 위협 모니터링 외 사이버 사고 분석, 선박 검사/심사 등 사이버보안 관련 활동을 위한 필수 시스템으로 활용될 수 있다. 다만, NMS는 Simple network management protocol(SNMP)을 활용하여 네트워크 장치로부터 장비의 상태 정보를 수집·모니터링하는 솔루션으로 네트워크 장치에서 일상적으로 발생되는 다양한 이벤트 정보가 무분별하게 알람으로 표출될 수 있으며, 사이버 위협 발생 시 선원이 해당 네트워크 장치에 접근하여 로그 원본 파일을 분석하여, 사이버 위협에 대한 대응 방안을 직접 제시할 수 있어야 한다.
IACS UR E26 4.3 탐지 요구사항에 대한 대응 기술로서 NMS는 Table 1과 같이 부족하지 않으나 선박-육상 간 통신 환경, 네트워크에 미친숙화된 선원의 역량 등 선박이라는 특수한 환경속에서 NMS가 얼마나 효율적인지는 숙고해 보아야 한다.
Table 1
SIEM and NMS difference
Function |
SIEM |
NMS |
Asset health monitoring |
O |
O |
Asset data management |
O |
X |
Traffic information |
O |
O |
Log linkage |
O
(Data normalization after collecting various syslogs (Log, API, DB, Agent)) |
△
(Manage original logs after collecting designated logs) |
Alarm notification |
O
(Create alarms with various criterias) |
△
(Unable to manage (alarm when occurs)) |
Risk |
O
(Application by event, visualization display) |
X
(No risk management Functions) |
본 논문에서는 NMS가 SIEM 대비 비용적으로 큰 강점을 가지고 있음에도 불구하고, 사이버 위협 대응을 위한 선원의 의사결정 지원, 무분별한 알람 자제를 통한 항해 업무 효율 향상, 원활하지 못한 원격 지원 환경 등을 감안하여 직관적으로 비전문가인 선원이 사이버 위협에 용이하게 대응하는 기술로서 SIEM이 보다 효율적이라고 판단하였다. 이에 선박에 최적화된 SIEM 개발을 위하여 본 논문에서는 선박에서 발생 가능한 이벤트(로그)별 위협 여부 및 위협의 종류 등을 판단하기 위한 보안 정책 모델을 제안한다. 2장에서는 IMO 등 해사분야의 사이버보안 요구사항을 분석하였고, 3장에서는 선박 내 설치된 보안 장치, 네트워크 장치 등을 포함한 선박의 네트워크 토폴로지 및 트래픽/이벤트 현황을 분석하였다. 4장에서는 2장, 3장의 분석 결과를 토대로 효율적인 SIEM 운영을 위한 탐지 정책을 제시하고 이에 대한 실선 적용 결과를 기술하고 5장에서는 결론을 제시하였다.