선박 사이버보안 인증

  선급으로부터 선박 사이버보안 인증을 취득하고 매년 갱신 검사를 통해 인증을 유지하고 있다. 이 인증 검사는 선급 해상 사이버보안 시스템 지침의 검사 기준에 따라 검사를 진행하며, 검사의 종류는 최초검사, 연차검사, 정기검사가 있다.

  최초검사와 정기검사의 경우 사이버보안 시스템의 전반적인 사항을 검사하며, 연차검사는 사이버보안 시스템이 선급 지침의 요건을 준수하여 유지되고 있음을 검사한다. 이 검사는 현장검사 또는 원격검사로 이루어지며, 당사의 경우 최초검사부터 원격검사로 검사를 진행한 바 있다. 원격검사는 사전 제출한 증적 자료를 기반으로 대상 선박의 MASTER와 화상회의 인터뷰로 진행을 하며, 추가 증적 자료를 제출하여 선급 지침의 요구사항을 만족하면 인증 갱신이 마무리 된다. 한편, 선박 사이버보안 RECORD BOOK의 자료는 이 인증검사에서 대부분의 지침에 대한 증적 자료로 활용된다.

  승무원의 사이버보안 인식 제고와 선박 사이버보안 절차 이행 여부 확인을 위해 해사디지털팀이 지속적으로 내부심사를 진행하고 있으며, 선박 사이버보안 인증 적용 대상 선박을 확대할 예정이다.

<선급 사이버보안 원격검사 화면>

MARSEC 지침 105-4 미국 항구의 중국 크레인

  2024년 2월 21일, 미 해안경비대는 MARSEC 지침 105-4를 발행하여 중국에서 제조된 STS 크레인과 관련된 취약성과 위협을 해결하기 위한 추가 조치가 필요하다고 밝혔다.

  미 해안경비대는 중국에서 제조된 STS 크레인이 원격 장소에서 제어, 서비스 및 프로그래밍될 수 있으며 따라서 잠재적으로 악용되어 국가 운송 시스템의 해양 요소를 위협할 수 있다고 판단했다. 미 정부는 판단의 근거에 대한 추가 세부 정보를 공개하지 않았지만, 미 해안경비대는 중국에서 제조된 STS 크레인과 관련된 미국의 중요 인프라를 방해하기 위한 중국의 관심 및 내장된 취약성과 관련된 위협 정보로 인해 추가 조치가 필요하다고 밝혔다. 이러한 위협 평가는 보안 인프라를 표적으로 하는 볼트 타이푼과 같은 진보된 지속적 위협 행위자들의 보고서와 광범위하게 일치한다. 미 해안경비대는 이러한 사이버 위협과 취약성을 해결하기 위해 추가 조치를 취해야 한다고 결론지었다. 미국 내 23개 주요 항구에서 사용되는 모든 STS 크레인의 약 80%가 중국에서 제조되었다고 추정된다.

  일반적으로 미 해안경비대의 MARSEC 지침 텍스트에는 항구 소유자와 운영자가 취해야 할 추가 조치가 포함되어 있지만, 이는 미국 법률에 따라 민감한 보안 정보(SSI)로 간주되어 공개되지 않는다. 이 지침은 2024년 2월 21일 발표됨과 동시에 효력을 발휘하며, 영향을 받는 미국 항구의 소유자 및 운영자는 즉시 해당하는 미 해안경비대 선원에게 연락하여 MARSEC 지침 105-4에 대한 접근 권한을 획득하고, 이를 처리하기 위한 49 C.F.R. 제1520에 따라 절차를 따라야 한다.

미국의 선박, 항구, 항만 및 해안 시설의 안전 보호와 관련된 규정 개정

  2024년 2월 21일, 바이든 대통령은 미 해양 영역에서의 사이버 위협을 명시적으로 다루기 위해 33 C.F.R. 제6부의 규정을 개정하는 행정명령 14116호를 발표했다. 33 C.F.R. 제6부의 규정은 미 해안경비대에게 광범위한 권한을 제공한다. 통상적으로, 미 해안경비대는 이 권한을 통해 물리적 보안과 관련된 위험을 완화해 왔으나, 대통령의 행정명령에 따라 이제 이 권한이 명시적으로 해양 영역의 사이버 위험을 다루고 완화하기 위해 확장되었다.

  행정명령에는 사이버 사고를 정의하는 조항이 추가되었으며, 어떠한 선박, 항구, 항만 또는 해안 시설과 관련하여 발생하거나 위협되는 실제 또는 위협되는 사이버 사고에 대한 증거를 미 해안경비대, 연방수사국(FBI) 및 사이버 보안 및 인프라 안전국(CISA)에 보고할 의무가 설정되었다. 이 행정명령에 따른 보고 요건은 33 C.F.R. § 101.305에 명시된 기존의 다른 유형의 보안 사고에 대한 보고 요건과 별개로 추가된 것이다.

해상 운송 시스템의 사이버 보안

  미 해안경비대는 33 C.F.R. 부제 H 아래에 발행된 기존 해양 안전 규정을 업데이트하기 위한 제안 규정을 발표했다. 제안 규정은 미국 국기 선박, 미국 내에 위치한 규제된 해안 시설 및 미국 외대륙붕의 특정 규제된 시설에 적용되는 사이버 보안 요구 사항을 확장하는데 초점을 맞추고 있다.

  기존 MTSA 규정은 선박 및 시설의 물리적 보안뿐만 아니라 무선 및 통신 시스템, 컴퓨터 시스템과 관련된 요구 사항도 포함한다. NPRM의 의도는 MTSA 규정을 업데이트하고 확장하여 해양 영역에서의 사이버 보안 조치에 대해 강화하고 있다.

  제안 규정은 새로운 섹션인 33 C.F.R. § 101.600-665에 설명된 33 C.F.R. 제101부에 최소한의 사이버 보안 요구 사항을 추가한다. 일반적으로, 현재 승인된 보안 계획을 갖추고 있어야 하는 선박, 규제된 해안 시설 또는 OCS 시설의 경우, 제안된 해양 사이버 보안 규정이 적용된다. 제안 규정은 미국 항구에 입항하는 외국 국기 선박에는 적용되지 않는다.

  제안 규정은 미국 국기 선박, 규제된 해안 시설 및 OCS 시설의 소유자 및 운영자가 사이버 위협과 취약점에 대비하고 예방하며 대응하기 위한 조치를 취하도록 요구한다. 구체적으로, 이러한 사이버 위협과 취약점을 먼저 식별하고 해결하기 위해, 제안 규정은 선박 또는 시설 소유자 또는 운영자가 사이버 보안 평가를 수행하도록 요구한다. 사이버 보안 평가를 기반으로 선박 또는 시설의 소유자 또는 운영자는 효과적인 사이버 보안 계획을 개발하고 시행해야 한다.