2024-03-02 10:05 (토)
국제사이버보안인증협회, 'ISO 23806 선박 사이버 안전 인증' 도서 발간
상태바
국제사이버보안인증협회, 'ISO 23806 선박 사이버 안전 인증' 도서 발간
  • 길민권 기자
  • 승인 2023.10.20 11:20
이 기사를 공유합니다

해양 선사와 조선사의 IT & OT 국제 사이버보안 인증 실무가이드

국제사이버보안인증협회(ICSCA)는 “ISO 23806 선박 사이버 안전 인증” 도서를 출판한다고 20일 밝혔다.

해상 운송 산업과 사업 지원을 위한 통합된 다용도 공급망 네트워크는 제4차 산업혁명에 의해 도입된 다양한 디지털 솔루션으로 크게 혜택을 받고 있으며, 디지털화와 자동화 및 기계 학습 솔루션의 통합은 네트워크로 연결된 정보기술(IT; Information Technology)과 개별 기관의 운영기술(OT; Operational technology) 시스템 간의 증가된 연결성과 생성, 처리, 교환 및 저장되는 대량의 데이터에 의존하고 있다.

해상 산업 전반에 광범위한 컴퓨터시스템 적용 및 첨단 ICT 발전으로 IMO의 e-Navigation 도입과 자율운항선박의 개발 등 선박 및 해운산업은 선교시스템, 추진 및 기관 관리 및 전력제어시스템, 화물관리시스템에 대한 사이버시스템의 도입이 가속화되었으며, 이는 선박의 사이버 공격에 대한 위험성이 증가함을 의미하며 사이버보안의 중요성에 대한 국제사회나 IMO의 인식이 고조되고 있다.

국제표준화기구(ISO)에서는 선박의 운항 전반에 걸쳐 안전하고 건전한 운항에 영향을 미치는 사이버 위험을 식별하고 평가하기 위한 요구사항을 제공하는 ISO 23806:2022 표준을 지난 2022년 11월 발행하였다. ISO 23806:2022 선박 사이버안전 인증(Ships Cyber safety Certification)은 해양 경영진이나 회사 또는 기타 식별된 이해관계자(항만 및 항만업체 등)에게 선박의 운영시 효과적인 사이버 위험관리를 지원하기 위해 안전관리시스템(SMS, safety management system)에 포함되거나 참조되도록 설계된 절차에 대한 요구사항과 권장사항을 제공한다.

국제연합(UN) 산하 국제해사기구(IMO ; International Maritime Organization)에서는 2017년 6월 개최된 해양안전위원회(Maritime Safety Committee) 제98차 회의에서 사이버 위험 및 위협과 취약성에 대한 인식을 증진하기 위한 긴급한 필요성을 고려하여 IMO Resolution MSC.428(98) 임시지침서를 대체하는 MSC-FAL.1/Circ.3 '해양 사이버 위험관리에 관한 지침서(Guidelines On Maritime Cyber Risk Management)'를 첨부서에 기술된 형태로 승인하였으며, 2022년 6월 개정되었다. 이 지침서는 선박을 현재와 미래의 사이버 위협과 취약점으로부터 보호하기 위한 해상 사이버 위험관리에 대한 높은 수준의 권고사항을 제공한다.

국제선급협회(IACS ; International Association of classification Society)에서는 2020년 7월 선박의 인도시 사이버 복원력이 서비스 수명 동안 지속적으로 유지할 수 있는 기술 정보를 제공하는 IACS Rec No.166 '해상 사이버 위험관리 지침(Guidelines on Maritime Cyber Risk Management)'를 개발하고 2022년 4월 개정하였다. 또한, 안전관리시스템에서 사이버 위험(Maritime Cyber Risk Management in Safety Management Systems)을 통합하여 사이버 공격으로부터 보호ㆍ관리하는 프로세스를 통하여 선박의 사이버 복원력에 대한 최소한의 요구사항 UR E26(Cyber resilience of ships)과 E27(Cyber resilience of on-board systems and equipment)을 2022년 4월 배포하였다.

국제해운회의소(ICS ; International Chamber of Shipping)에서는 2020년 12월 선박 내의 관련 규정 및 모범 사례에 따라 적절한 사이버 위험관리 전략을 개발하는 데 도움을 주는 '선박 내 사이버 보안에 대한 지침(Guidelines on Cyber Security Onboard Ships)'를 개발하고 2022년 2월 개정판 Ver 4.0을 배포하였다. 이 지침은 사이버보안에 대한 대응 방안을 선박 보안 담당자나 IT 부서장이 아닌 경영자 선에서 정의될 것을 권고하고 있으며 사이버보안 위험에 대한 대응 기술적인 방안과 절차적인 방안을 제시하고 있다.

국제항만협회(IAPH ; International Association of Ports and Harbors)에서는 2021년 10월 IMO MSC-FAL.1/Circ.3에 따른 해상 사이버 위험관리 지침을 보완하기 위해 '항만 및 항만 시설에 대한 사이버보안 지침(Cybersecurity Guidelines for Ports and Port Facilities)'을 통과시켰다. 이 지침은 항만 운영의 ​​위험과 취약성을 평가하는 방법과 맞춤형 사이버보안 보호, 탐지 및 완화 조치를 구현하여 사이버보안 프로그램을 구성 및 관리할 수 있는 전체적인 접근 방식을 채택하는 방법에 대한 통찰력에 대하여 조직의 경영진에게 제공될 수 있도록 설계되었다.

미국 국립표준기술연구소(NIST ; National Institute of Standards and Technology)는 2023년 8월 강력한 사이버보안 프로그램 구축을 위한 표준으로 평가받고 있는 '사이버보안 프레임워크(CSF, Cybersecurity Framework)' 개정을 예정한다고 발표했다. CSF 2.0에서는 조직(govern), 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)라는 6가지 주요 기능을 사용하여 성공적이고 전체적인 사이버보안 프로그램의 주요 요소를 설명하고 있으며, 조직 상황, 위험관리 전략, 사이버보안 공급망 위험관리 등과 같은 다양한 측면을 다루는 산업, 정부, 학계, 비영리 조직을 포함하여 모든 규모와 부문의 조직에게 끊임없이 변화하는 사이버보안 환경을 대처할 수 있도록 방향성을 제시하고 있다.

ISO/IEC 27001 정보보안 경영시스템(Information Security Management System; ISMS)은 조직내 정보자산의 위험관리 프로세스를 적용하여 정보의 기밀성(confidentiality), 무결성(integrity), 가용성(availability)을 보존하고, 이해당사자에게 위험의 적절한 관리에 대한 확신을 부여하며, 다양한 조직(기업)환경 내에서 정보보호를 계획, 구현, 전략수립, 유지 보수 및 관리할 수 있는 검증된 프레임워크를 제공하며, ISO는 2022년 10월 3차 개정판을 발행했다.

국제선급협회(IACS)의 선박의 사이버복원력을 위한 사이버보안 통합 요구사항(UR E26) 및 선상 시스템의 사이버보안 통합 요구사항(UR E27)은 2024년 1월 이후에 건조 계약을 체결하는 신조선에 적용되며, 선박 건조시 조선소 및 제조업체에게 사이버보안 관련 요건 준수를 평가할 예정이다. 특히 국제적으로 인정을 받고 있는 스마트자율운항선박을 건조하는 국내 조선업계는 선박의 사이버위험 관리체계를 사업장의 안전관리시스템에서 통합적으로 운영될 수 있도록 사전에 준비하여야 한다.

본 도서는 국제표준화기구(ISO)에서 발행한 ISO 23806:2022 선박 사이버안전 인증과 관련하여 국제 ISMS 인증심사원, 국내 ISMS-P 인증심사원, 정보보호최고책임자(CISO), 정보보안책임자(CIO, CSO), 현업 프로젝트 컨설턴트, IT & OT 현장 실무 담당자들에게 '국제표준 사이버보안 프레임워크 구축 및 운영'에 대한 방향을 제시해 줄 뿐만 아니라 구체적인 예시를 통해 실무 현장에서 현실적인 문제의 해법을 제시하는 내용들을 수록하였으며, ISO/IEC 27001 인증심사원 규격 범위 확장 연수과정을 대비할 수 있도록 구성했다.

이 도서의 집필진은 공병철 (사)한국사이버감시단 이사장, 여동균 ㈜와이시큐리티 대표이사, 이준화 ㈜한국정보보안원 연구소장, 변승환 ICSCA협회 이사, 임범석 ICSCA협회 이사, 공유민 ICSCA협회 이사, 박지원 (주)홈앤쇼핑 과장, 임강규 ICSCA협회 이사, 이강민 ICSCA협회 이사, 조홍연 ㈜씨티아이랩 대표이사, 서승우 ICSCA협회 이사, 이승률 ICSCA협회 이사, 정용현 ICSCA협회 이사, 마기평 ICSCA협회 이사, 박지원 ICSCA협회 이사, 허행희 ICSCA협회 이사, 오세현 ICSCA협회 이사, 박상진 ICSCA협회 이사, 김태권 ICSCA협회 이사, 황정아 ICSCA협회 이사 등 총 20명이 참여하였다.

국제사이버보안인증협회 공병철 회장은 “국내 IT 산업의 성장시기인 2000년대부터 활동하는 현장 실무자들이 모여 국내 및 국제 정보보호 인증 관련 표준연구와 논문, 무료 강연 등의 활동을 수행하는 IT 전문가그룹인 순수 비영리민간단체인 본 협회는 IT 분야를 넘어서 제조업 OT 분야의 사이버보안 인증 연구를 통하여 현장실무자들의 권익향상과 글로벌 국제인증 활동을 목표로 지속적으로 노력해 나가고 있다.”라고 밝혔다.

또한 "ISO 정보보호연수원을 통해서 ISO 27001, 27017, 27018, 27701 국제표준 인증심사원 연수과정을 통해 양성된 인증심사원을 대상으로 올해 년말 경에 ISO 23806:2022 연수과정을 개설하여 선박의 사이버보안 인력 양성을 통해 국내 조선업계의 글로벌 경쟁력 확보에 대비할 전문가를 지속적으로 배출해 나갈 예정이다"라고 덧붙였다.

◆국내 최대 인공지능 보안 컨퍼런스 AIS 2023 개최(11월2일/7시간 보안교육 이수)

-주최: 데일리시큐

-일시: 2023년 11월 2일 오전9시~오후5시

-장소: 한국과학기술회관 지하1층 국제회의실

-참석대상: 공공, 금융, 기업 개인정보보호 및 정보보안 책임자·실무자만 가능

(현업 정보보안 실무 종사자가 아니면 참석 불가)

-강연내용: 인공지능(AI) 활용 사이버위협과 대응기술 공유

-참가비: 무료 (점심식사와 주차권은 제공하지 않습니다.)

-보안교육이수: 참관객에 7시간 보안교육 이수증 발급

-등록절차: 사전등록 후 참석승인문자 및 메일 수령자만 참석 가능

-사전등록: https://www.dailysecu.com/form/register.html?form_id=1672362362

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★