선박 통합 관리 시스템 도입 PoV

IMO는 Resolution MSC.428(98)에 따라 선주와 선박 관리사들이 사이버 리스크 관리를 안전 관리 체계(SMS)에 통합하고 이행하도록 권고하였으며 IACS UR E26, 27 의거 ‘24년 7월 1일부 건조계약선박의 IT/OT 보안에 대한 중요도가 증가되었다. 따라서 선박 사이버보안 관리 및 운영을 효율적으로 수행하기 위한 사이버보안 관제 솔루션 도입의 필요성이 커졌고 총 3가지 솔루션 PoV를 진행하였다. 해당 솔루션들은 선박 네트워크 모니터링을 주요 기능으로 하여 외부에서 선내망을 침입하려는 시도를 탐지할 수 있으며, 탐지 결과를 육상에서 확인할 수 있다.

제1회 해사 사이버보안 육/해상 합동 비상대응훈련

2023년 10월 31일 제 1회 해사 사이버보안 육/해상 합동 비상대응훈련이 시행되었다. 이 훈련은 선박 주요 시스템에 대한 사이버 공격을 대응하고 운항 지연 및 기기손상 없이 복구 하기 위한 대응 구축을 목적으로 하였다. 이날 개최된 비상대응훈련에는 해양수산부 해양경찰청, 한국인터넷진흥원, 한국선급, 국내 보안전문업체 등이 참여하였다. 선박의 서버와 항해장비에 랜섬웨어 감염상황을 가정하여 훈련이 진행되었으며 참관 기관으로부터 사고대응 개선점 및 현 정책의 문제점 등 의견을 수렴하였다. 훈련 후, 피드백을 통해 사이버보안 사고 대응 절차 및 관련 사항을 개선 및 검토 중에 있다.

DRM 도입

문서중앙화시스템(DRM)은 사내 문서 및 정보를 효율적으로 관리하고 공유하기 위한 체계적인 시스템으로 다양한 형태의 문서, 파일, 데이터 등을 중앙집중식으로 저장하고 관리할 수 있다. 따라서 정보보안 강화를 위해 모든 회사 정보자산(개인 메일 백업자료 포함)은 DRM에 보관하여야 하며 업무용 PC에는 윈도우 운영체제와 업무용 소프트웨어만 설치되어 있어야 한다.

보안 USB 도입

보안 USB는 외근/출장 시 사용을 목적으로 보급된 USB로 이중보안이 적용되어 있다. BitLocker와 개별 보안 프로그램이 설치되어 있으며 각각의 암호가 설정되어 있다. 회사 사이버보안 절차서 상 90일 주기로 암호 변경 및 관리는 필수적이며 보안프로그램을 사용하여 DATA이동 및 저장이 이루어져야 한다. 현재 업무용 PC에는 보안 USB만 인식 가능하며, 개인 USB 사용이 통제된다. 사용이 필요한 경우 개별적 신청이 필요하다.

회사 사이버보안 내부심사

회사 전임직원 대상으로 해사 사이버보안 관련하여 자체보안점검 및 내부심사 조항에 따라 심사가 진행되었다. 공통 관찰사항으로 외부인 사무실 출입 시 출입대장 작성 및 보안 스티커 부착 요구가 확인되었고, 사이버자산 반출입시 그룹웨어 통한 신청서 작성 권고가 그 다음으로 많이 지적되었다. 내부심사 후 시정조치를 통해 개선하였으며 회사 사이버보안 절차서에 따라 연 1회씩 내부심사가 진행되고 있다.

회사 사이버보안 인증

에이치엠엠오션서비스는 KR 회사 사이버보안 인증을 받고 있으며 2021년 최초인증 후 매년 연차인증검사를 받고 있다. 연차인증검사는 KR 해상 사이버보안 시스템 지침의 회사사이버보안 적합성 항목에 따라 진행되었다. 검사 주요 항목으로는 사이버자산 관리현황, 물리적 보안 이행 상태, 사이버보안 교육 결과 등이 있으며 인증 획득을 위해 평소 PC 보안 상태 유지, 사내 자산관리 및 적극적인 교육 참석 등의 노력이 필요하다. 인증 검사 후 피드백을 통해 사이버보안 강화를 위한 다양한 방안을 검토하고 있다.

선박 사이버보안 인증

선박에 대해 사이버보안 연차인증 검사가 이루어졌다. 최초인증검사는 2021년도에 이루어졌고 연차인증을 통해 인증 갱신 중에 있다. 선박 사이버보안 절차서를 기반으로 작성된 산출물들이 인증 검사 항목으로 제출되었고 사전 서류제출과 KR 검사원과의 인터뷰를 통해 원격 검사로 진행되었다. 선박의 적극적인 협조로 연차인증을 원활히 취득하였다.