UR E26,E27 적용 시점 연기

국제선급협회(IACS)는 조사된 새로운 요구사항 및 적용 가능한 업계 피드백을 반영하여 사이버 안전에 관한 통합 요구사항(URs)의 업데이트된 버전을 발표했다.IACS는 지난해 UR E26 '선박의 사이버 복원력'과 UR E27 '선내 시스템 및 장비의 사이버 복원력’을 발간했다. 기존 발표된 UR E26, E27의 적용대상은 2024년 1월 신조계약 된 선박이었다. 그러나 공표 이래로, 업계의 사이버 보안 업무 경험이 증가함에 따라 IACS는 피드백에 따른 추가적인 개선과 함께 요구사항에 대한 표준화된 접근방식의 필요성을 확인했다. 소형 선박과 특수 목적 선박에서 새로운 사이버 요구사항의 이행과 관련된 문제를 해결하기 위해, UR의 준수 가능 범위는 선박 유형과 크기에 따라 필수 및 비필수로 분류되었다. UR E26, E27의 이러한 변경 사항으로 인해 업데이트된 버전이 원본을 대체하게 되며, 2024년 7월 1일 이후 건조 계약된 신조선에 적용된다. 업계의 혼란을 피하기 위해 기존 발표된 원본은 완전히 철회되었다. UR E27의 개정판은 현재 IACS 웹사이트에서 확인할 수 있으며, UR E26의 개정판은 아직 마무리 중이며 올해 말 이전에 발표될 예정이다. 로버트 애슈다운 IACS 사무총장은 "선박 환경에서 지속적으로 적용될 수 있도록 업계의 피드백을 IACS 요구사항에 반영하는 것은 사이버 복원력 강화 조치가 실효성을 가지기 위해 필수적이다＂라고 말했다. 관련업계는 IACS의 명확한 이번 결정을 반기는 분위기이다.

자료 참고 : SMART MARITIME NETWORK, IACS Updates maritime cyber rules and implementation date

국제사이버보안인증협회(ICSCA)는 “ISO 23806 선박 사이버 안전 인증” 도서를 출판한다고 밝혔다. 해상 운송 산업과 사업 지원을 위한 통합된 다용도 공급망 네트워크는 제 4차 산업혁명에 의해 도입된 다양한 디지털 솔루션으로 크게 혜택을 받고 있다. 디지털화와 자동화 및 기계 학습 솔루션의 통합은 네트워크로 연결된 정보기술과 개별 기관의 운영기술 간의 증가된 연결성과 생성, 처리, 교환 및 저장되는 대량의 데이터에 의존하고 있다. 해상 산업 전반에 광범위한 컴퓨터시스템 적용 및 첨단 ICT 발전으로 IMO의 e-Navigation 도입과 자율운항선박의 개발 등 선박 및 해운산업은 선교시스템, 추진 및 기관 관리 및 전력제어시스템, 화물관리시스템에 대한 사이버시스템의 도입이 가속화되었으며, 이는 선박의 사이버 공격에 대한 위험성이 증가함을 의미하며 사이버보안의 중요성에 대한 국제사회나 IMO의 인식이 고조되고 있다. 국제표준화기구(ISO)에서는 선박의 운항 전반에 걸쳐 안전하고 건전한 운항에 영향을 미치는 사이버 위험을 식별하고 평가하기 위한 요구사항을 제공하는 ISO 23806:2022 표준을 지난 2022년 11월 발행하였다. ISO 23806:2022 선박 사이버안전 인증은 해양 경영진이나 회사 또는 기타 식별된 이해관계자에게 선박의 운영 시 효과적인 사이버 위험관리를 지원하기 위해 안전관리시스템(SMS)에 포함되거나 참조되도록 설계된 절차에 대한 요구사항과 권장사항을 제공한다.

국제해사기구(IMO)의 대응

국제연합(UN) 산하 국제해사기구(IMO ; International Maritime Organization)에서는 2017년 6월 개최된 해양안전위원회(Maritime Safety Committee) 제 98차 회의에서 사이버 위험 및 위협과 취약성에 대한 인식을 증진하기 위한 긴급한 필요성을 고려하여 IMO Resolution MSC.428(98) 임시지침서를 대체하는 MSC-FAL.1/Circ.3 '해양 사이버 위험관리에 관한 지침서(Guidelines On Maritime Cyber Risk Management)'를 첨부서에 기술된 형태로 승인하였으며, 2022년 6월 개정되었다. 이 지침서는 선박을 현재와 미래의 사이버 위협과 취약점으로부터 보호하기 위한 해상 사이버 위험관리에 대한 높은 수준의 권고사항을 제공한다.

국제선급협회(IACS)의 대응

국제선급협회(IACS ; International Association of classification Society)에서는 2020년 7월 선박 인도 시, 사이버 복원력이 서비스 수명 동안 지속적으로 유지할 수 있는 기술 정보를 제공하는 IACS Rec No.166 '해상 사이버 위험관리 지침(Guidelines on Maritime Cyber Risk Management)'를 개발하고 2022년 4월 개정하였다. 또한, 안전관리시스템에서 사이버 위험(Maritime Cyber Risk Management in Safety Management Systems)을 통합하여 사이버 공격으로부터 보호,관리하는 프로세스를 통하여 선박의 사이버 복원력에 대한 최소한의 요구사항 UR E26(Cyber resilience of ships)과 E27(Cyber resilience of on-board systems and equipment)을 2022년 4월 배포하였다.

국제항만협회(IAPH)의 대응

국제항만협회(IAPH ; International Association of Ports and Harbors)에서는 2021년 10월 IMO MSC-FAL.1/Circ.3에 따른 해상 사이버 위험관리 지침을 보완하기 위해 '항만 및 항만 시설에 대한 사이버보안 지침(Cybersecurity Guidelines for Ports and Port Facilities)'을 통과시켰다. 이 지침은 항만 운영의 위험과 취약성을 평가하는 방법과 맞춤형 사이버보안 보호, 탐지 및 완화 조치를 구현하여 사이버보안 프로그램을 구성 및 관리할 수 있는 전체적인 접근 방식을 채택하는 방법에 대한 통찰력에 대하여 조직의 경영진에게 제공될 수 있도록 설계되었다.

국제해운회의소(ICS)의 대응

국제해운회의소(ICS ; International Chamber of Shipping)에서는 2020년 12월 선박 내의 관련 규정 및 모범 사례에 따라 적절한 사이버 위험관리 전략을 개발하는 데 도움을 주는 '선박 내 사이버 보안에 대한 지침(Guidelines on Cyber Security Onboard Ships)＇을 개발하고 2022년 2월 개정판 Ver 4.0을 배포하였다. 이 지침은 사이버보안에 대한 대응 방안을 선박 보안 담당자나 IT 부서장이 아닌 경영자 선에서 정의될 것을 권고하고 있으며 사이버보안 위험에 대한 대응 기술적인 방안과 절차적인 방안을 제시하고 있다.

미국 국립표준기술연구소(NIST)의 대응

미국 국립표준기술연구소(NIST ; National Institute of Standards and Technology)는 2023년 8월 강력한 사이버보안 프로그램 구축을 위한 표준으로 평가받고 있는 '사이버보안 프레임워크(CSF, Cybersecurity Framework)' 개정을 예정한다고 발표했다. CSF 2.0에서는 조직(govern), 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)라는 6가지 주요 기능을 사용하여 성공적이고 전체적인 사이버보안 프로그램의 주요 요소를 설명하고 있으며, 조직 상황, 위험관리 전략, 사이버보안 공급망 위험관리 등과 같은 다양한 측면을 다루는 산업, 정부, 학계, 비영리 조직을 포함하여 모든 규모와 부문의 조직에게 끊임없이 변화하는 사이버보안 환경을 대처할 수 있도록 방향성을 제시하고 있다.

Maritime Cybersecurity 최근 동향

국제선급협회(IACS)에서 배포한 선박의 사이버 복원력을 위한 사이버보안 통합 요구사항(UR E26) 및 선상 시스템의 사이버보안 통합 요구사항(UR E27)은 기존에 2024년 1월 이후에 건조 계약을 체결하는 신조선에 적용될 예정이었으나 최근 2024년 7월 이후에 건조계약을 맺은 선박으로 대상이 변경되었다. UR E26,E27 요구사항에 따라 선박 건조 시 조선소 및 제조업체에게 사이버보안 관련 요건 준수를 평가할 예정이다. 특히 국제적으로 인정을 받고 있는 스마트자율운항선박을 건조하는 국내 조선업계는 선박의 사이버위험 관리체계를 사업장의 안전관리시스템에서 통합적으로 운영될 수 있도록 사전에 준비하여야 한다.

자료 참고 : 데일리시큐_ 국제사이버보안인증협회,’ISO 23806 선박 사이버 안전 인증’ 도서 발간