해운 업계에서 사이버 보안 사고가 계속 증가하고 있다. 예를 들어, 올해 초 노르웨이 선급 DNV는 ShipManager 소프트웨어를 통해 랜섬웨어 공격을 받아 서버가 종료되었다. 이 공격은 DNV의 서비스를 사용하는 전체 선대의 약 15%정도인 약 1,000척의 선박을 운항하는 약 70명의 고객에게 영향을 미쳤다. 물류 네트워크에 의존하는 수많은 이해 관계자들이 상호 연결되어 있고 보안취약한 이 산업의 특징은 랜섬웨어 공격을 시도하려 하는 사이버 범죄자들에게 특히 매력적인 부분이다.

랜섬웨어 공격이란

랜섬웨어는 기업이 금액을 지불할 때까지 시스템 또는 네트워크에 대한 접근을 차단하도록 설계된 악성 소프트웨어의 일종이다. 사이버 범죄자들은 피해자들의 운영을 방해함으로써 수익을 갈취할 수 있고 추출된 데이터를 다크 웹에서 추가로 판매할 수 있다. 선박이 점점 디지털화되고 인터넷, 네트워크 및 위성 전송에 의존함에 따라, 사이버 범죄자들은 육상과 해상에서 시스템에 침투할 새로운 형태를 찾고 있다.

일반적인 형태의 해상 랜섬웨어 공격에는 피싱 전자 메일, 취약한 시스템 및 네트워크에 대한 직접 해킹, 악의적인 광고 또는 손상된 웹 사이트 등이 포함될 수 있으며, 이를 통해 랜섬웨어는 광고를 클릭하거나 파일 다운로드를 통해 컴퓨터를 감염시킬 수 있다. 랜섬웨어는 로컬 컴퓨터 뿐만 아니라 네트워크 전체에 침투할 수 있으며, 다른 업체와 상호 연결된 시스템이 손상된 경우도 있다.

랜섬웨어 공격으로 발생하는 사이버 보안 침해는 해양 산업에 즉각적이고 지속적인 영향을 미칠 수 있다. 중요한 데이터를 암호화하여 주요 시스템의 접근 및 제어를 제한할 수 있다. 특정 시스템에 접근하지 못하면 운영이 중단되어 지연이 발생할 수 있으며, 경우에 따라 화물관리에 치명적이다. 또한 내부 정보 유출 및 기업의 신뢰도에 미칠 영향도 우려된다. 특정 차단된 주체나 개인에게 몸값 지불이 이행될 경우 적절한 데이터 보안 보호 장치가 마련되지 않아 고객, 직원 또는 비즈니스 파트너로부터 소송이나 정부의 규제 집행 위협 등의 법적 결과가 발생할 수 있다.

랜섬웨어 공격 방지 대책

전 세계를 항해하는 선박 특성상 선박에서 사용하는 프로파일 및 시스템은 육상 시스템이 제공하는 보호 기능과 다르다. 장비 간에도 다양한 수준의 기술이 있으며, 특히 오래된 선박에서는 보안 보호를 유지하기 위해 독립적인 소프트웨어와 다양한 업그레이드 또는 패치가 필요할 수 있다. 일반적으로 일반 정보 기술(IT), 통신 및 관리 기능을 제공하는 기능, 장비를 직접 모니터링하고 제어하는 운영 기술(OT) 등 다양한 시스템이 탑재되어 있다. 또한 일반적으로 IT 시스템과는 별개로 외부 접근이 가능한 네트워크에 노출되지 않는 OT 시스템은 USB 사용 같은 로컬에서 수행되는 업데이트를 통해 침투되거나 원격 네트워크 연결이 사용될 때 공격 받을 수 있다.

IT 시스템과 OT 시스템 모두 사이버 예방 및 탐지 조치가 있어야 하며 사이버 보안 계획에 포함되어야 한다. 따라서 가급적 분기별 선박 대 육지 인터페이스를 이해하고 취약성을 식별하는 것이 필수적이다. 선주와 운영자는 선상에서 사이버 공격을 방지하고 그에 따라 대응함으로써 선박에 대한 위협을 제한하는 조치를 취할 수 있다. 사이버 보안 계획 및 정책을 수립하여 취약성, 위협 및 영향을 식별해야 하고 육상과 선상에서 선원들에게 적절한 교육 및 인식제고를 실시해야 한다. 정기적인 소프트웨어 업데이트와 다중 인증은 중요한 데이터의 암호화와 선상에서 적절한 사이버보안을 구현하기 위한 필수사항이다.

사이버보안 사고 대응 방법

기업은 사이버 보안 사고에 대응하고 복구하는 방법을 이해해야 한다. 대응 계획은 관련 모든 우발 상황을 해결하기 위해 매년 업데이트되어야 하며, 선박 승선원은 시스템 액세스가 손상될 경우를 대비하여 하드 카피를 선내에 보관해야 한다. 선박의 안전 관리 시스템의 절차는 선박이 중요한 시스템과 장비의 손실을 경험하는 경우 이미 선상에서 초동조치가 진행되어야 한다. 또한 대응 계획에는 통신 관리에 관한 정보가 포함되어 있어 사건 발생 시 육상 지원을 받을 수 있는 채널이 있는지 확인해야 한다. 사고 후 복구는 사고를 조사하고 증거를 보존하기 위한 초기 평가로 구성되어야 한다. 사건과 그 영향을 평가하는 것은 재발 방지를 위한 지속적인 개선에 도움이 될 것이다.

자료 참고 :Maritime Ransomware : Impacts and Incident Response

상선을 목표로 한 이메일 피싱과 악성코드 침입시도

USCG는 해상안전정보게시판을 통해 최근 상선을 노린 이메일 피싱과 악성코드 침입 시도를 발표했다. 사이버 공격자들은 port@pscgov.org 과 같은 공식 PSC(Port State Control) 기관으로 위장한 전자 메일 주소를 사용하여 공식 도착 통지(NOA) 내용을 포함한 중요한 정보를 얻으려고 시도하고 했다. USCG는 또한 선상 컴퓨터 시스템을 방해하도록 설계된 악성 소프트웨어에 대한 보고를 받았다. 선박 선장들은 국가대응센터(National Response Center, NRC)에 의심스러운 활동을 즉각적으로 보고했으며, 이를 통해 해경과 다른 연방 기관들은 글로벌 해양 네트워크를 통한 사이버 위협에 대응할 수 있었다.

이메일 요청이 의심스럽다면, 확인해야한다

USCG는 해상 관계자들에게 요청하지 않은 전자 메일 메시지에 응답하기 전에 전자 메일 보낸 사람의 유효성을 확인할 것을 촉구한다. 이메일 요청의 정당성에 대해 의심스럽다면, 선박 담당자는 확인된 연락처 정보를 사용하여 PSC 기관에 직접 연락을 시도해야 한다. 또한 선박 소유자와 운영자는 사이버 공격의 영향을 줄이기 위해 사이버 방어 조치를 계속 평가해야 한다.

자료 참고 : WORKBOAT_ Cyber attackers target commercial vessels