해커 집단의 사이버 공격

  해커 그룹 ‘Lab-Dookhtegan’이 최근 이란 해운업계를 겨냥한 대규모 사이버 공격을 자처했다. 이들은 NITC와 IRISL 소속 선박을 대상으로 한 이번 작전에서 60척 이상(유조선 39척, 화물선 25척)의 통신망을 마비시켰다고 주장했다.

  공격은 상당히 체계적으로 이루어졌다. 해커들은 먼저 이란 IT·통신 지주회사인 Fanava Group의 위성통신 인프라를 침해한 뒤, 이를 통해 선박의 위성 터미널을 제어하는 리눅스 기반 시스템에서 루트 권한을 확보했다. 이후 통신 제어 소프트웨어(Falcon 등)를 중단시켜 육상관제와의 연결, AIS, 위성 링크가 모두 작동 불능 상태가 되었다. 일부 분석에서는 해커들이 저장 파티션 6개 이상을 ‘제로(0)’로 덮어쓰거나, 약 5개월간 잠복해 선대 전체의 모뎀·시리얼 정보를 매핑했다는 정황도 제기됐다.

  공격 시점 또한 주목된다. 사건은 마침 오만만(Gulf of Oman)에서 이란 해군이 해상 기동을 수행하던 시기와 겹쳐 더 큰 혼란을 초래했다. 해커들은 이번 작전이 2025년 3월 자신들이 주장했던 ‘이란 선박 116척 통신 마비’ 사건의 연장선이라고도 밝혔다.

  해운업계에서는 이번 사건을 계기로 VSAT 터미널, AIS, 선박 통신 등 노후 소프트웨어와 미패치 장비가 집중된 영역이 가장 취약하다는 점이 다시 확인됐다고 지적한다. 전문가들은 “통신 인프라가 마비되면 선대 전체가 즉시 작동불능 상태가 될 수 있다”고 경고했다.

  결국 이번 사건은 특정 국가의 문제가 아니라, 글로벌 해운업계 전체가 공유하는 구조적 위험을 보여준 사례로 평가된다. 이에 따라 해운사, 위성통신업체, 해사 사이버보안 기관 모두가 공급망 기반 위협 대응 체계 강화를 재검토해야 한다는 의견이 제기되고 있다.

출처: safety4sea, Industrial Cyber, Maritime-Innovations.com

지정학적 갈등 속 해운업계 전방위 표적화

  전 세계 무역의 약 90%를 담당하는 해사 산업이 최근 다양한 사이버 공격 세력의 핵심 표적이 되는 흐름이 나타났다. Cyble의 최근 보고서에서는 지난 1년간 해운·해사 분야를 겨냥한 사이버 공격이 100건 이상 확인되었으며, 지정학적 갈등 확대로 인해 공격의 빈도와 강도가 지속적으로 높아진 것으로 분석되었다.

  정치·사회적 이슈에 따라 활동하는 해킹 단체들은 AIS 데이터를 활용해 이스라엘 연계 선박을 공격 대상으로 삼았고, 러시아와 연계된 해커들은 우크라이나를 지원하는 유럽 항만을 겨냥해 공격을 전개했다. 또한 중국 정부와 관련된 것으로 알려진 해커 조직이 글로벌 선급(Classification Society) 기관을 침해하면서 전 세계 해운 공급망에도 위험이 확대되었다.

  2025년 3월에는 미군의 후티 반군 공격과 같은 시기에 반(反)이란 성향의 해킹 조직 Lab Dookhtegan이 이란 선박 116척의 VSAT 통신을 교란하는 공격을 수행했다. 이 작전은 선박 간 및 선박–항만 간 통신을 끊어놓는 방식으로 진행되었고, 후티 반군에 무기를 공급했다고 지목된 기관들을 직접 겨냥했다. 이는 통신망을 공격해 함대 단위의 대규모 교란이 실제로 발생할 수 있음을 보여준 사례가 되었다.

  한편 페르시아만과 호르무즈 해협 등 주요 해상 요충지에서는 GPS 재밍과 스푸핑 현상이 꾸준히 증가했다. 이로 인해 AIS 위치 보고와 항법 시스템 정확도가 저하되었고, 일부 지역에서는 선박이 사실상 ‘눈먼 항해(Blind Navigation)’ 상태에 놓이는 사례도 나타났다. 이러한 전자적 간섭은 충돌·좌초 등 운항 사고 가능성을 높였으며, 전략적 해역의 항해 안전성과 지역 안보에도 영향을 미쳤다.

  지정학적 긴장과 군사적 활동이 계속 확대되면서 해운업계는 점점 더 복합적인 사이버 위협에 노출되고 있다. 이에 따라 해운·항만·선급·통신사 등 해사 생태계 전반에서 종합적인 보안 대응과 회복력 강화가 필요한 상황이 되었다.

출처: cyble.com, “Maritime Sector Faces Surge in APT and Hacktivist Cyber Threts”