[데일리시큐]KISA, ‘선박 사이버 침해사고 대응 기술 연구’를 위한 업무협약(MOU) 체결

내용 요약

한국인터넷진흥원(KISA), 쿤텍, 국립한국해양대학교 해사대학이 선박 사이버 침해사고 대응 기술 연구를 위한 업무협약(MOU)을 체결했습니다. 이 협약은 과학기술정보통신부와 정보통신기획평가원의 지원을 받아 수행되는 ‘선박 사이버 침해사고 분석 기술 및 탐지·대응 기술 개발’ 연구 과제의 일환으로, 연구 장비와 시설 공동 활용, 연구 데이터 공유, 기술 교류 등을 목표로 합니다. 해상 사이버 보안 강화에 기여할 것으로 기대됩니다.

핵심 포인트

• 협약 주체: KISA, 쿤텍, 국립한국해양대학교 해사대학 간의 3자 업무협약 체결.
• 협약 목적: ‘선박 사이버 침해사고 대응 기술 연구’ 및 ‘선박 사이버 침해사고 분석 기술 및 탐지·대응 기술 개발’ 과제 수행.
• 협력 내용: 연구 장비·시설 공동 활용, 연구 데이터 공유, 기술 교류를 통한 시너지 창출.
• 주요 배경: 해양 분야의 디지털 전환 가속화에 따른 사이버 위협 증가에 선제적으로 대응하기 위함.

기술 세부 내용

1️⃣ 해양 사이버 보안 침해사고 분석 기술

선박 내 IT (정보 기술) 및 OT (운영 기술) 시스템에서 발생하는 사이버 침해사고의 원인, 범위, 영향을 파악하여 재발 방지 및 대응 전략 수립에 필요한 정보를 도출하는 기술입니다. ⚓️ 이는 해양 시스템의 복잡성과 특수성을 고려한 심층 분석이 요구됩니다.

• 데이터 포렌식 (Data Forensics): 사고 발생 후 선박 내 시스템 로그, 네트워크 트래픽 기록, 장치 데이터, 이미지 파일 등 디지털 증거를 전문적으로 수집하고 분석하여 공격의 흔적을 추적하고 침해 경위를 파악하는 과정입니다. 이를 통해 공격자의 침투 경로, 사용된 도구, 데이터 유출 여부 등을 밝혀냅니다.
• 악성코드 분석 (Malware Analysis): 선박 시스템에 침투한 악성코드(예: 랜섬웨어, 스파이웨어, 웜)의 종류, 행동 방식, 확산 경로, 최종 목적 등을 파악하는 기술입니다. 정적 분석(코드 구조 분석)과 동적 분석(실행 환경에서 동작 관찰)을 통해 악성코드의 특징을 이해하고, 효과적인 제거 및 방어 방안을 마련합니다.
• 취약점 분석 (Vulnerability Analysis): 현재 또는 과거의 사고를 유발했거나 잠재적으로 위협이 될 수 있는 선박 내 시스템, 소프트웨어, 네트워크 장비 등의 보안 취약점을 식별하고 평가하는 과정입니다. ️ 이를 통해 미처 발견되지 않은 보안 허점을 찾아내어 선제적으로 보완할 수 있습니다.
• 사고 보고 및 재발 방지 (Incident Reporting & Prevention): 분석된 침해사고 정보를 바탕으로 상세 보고서를 작성하고, 유사 사고가 다시 발생하지 않도록 근본적인 원인을 해결하고 보안 시스템을 강화하는 개선 방안을 도출합니다. 이는 해양 사이버 보안 수준 향상에 필수적인 단계입니다.

2️⃣ 해양 사이버 보안 침해사고 탐지 및 대응 기술

선박 시스템 내에서 발생하는 비정상적인 활동이나 사이버 위협을 실시간 또는 준실시간으로 식별하고, 이에 적절히 대처하여 피해를 최소화하고 시스템을 정상화하는 기술 전반을 의미합니다. 해상 운항의 연속성과 안전을 보장하는 데 매우 중요합니다.

• 위협 탐지 (Threat Detection):
  • 네트워크 이상 탐지 (Network Anomaly Detection): 선박 내 IT 및 OT 네트워크 트래픽의 정상 패턴을 학습하고, 이를 벗어나는 비정상적인 접근 시도, 대량 데이터 전송, 비인가 통신 등 의심스러운 활동을 감지하는 기술입니다. 침입 탐지 시스템 (IDS)이나 침입 방지 시스템 (IPS)과 같은 솔루션이 활용될 수 있습니다.
  • OT/ICS 보안 모니터링 (Operational Technology/Industrial Control System Security Monitoring): 선박의 항해, 기관 제어, 화물 관리 등 핵심 OT 시스템 (선박 자동화 시스템, 내비게이션 시스템 등)의 동작 상태를 실시간으로 감시하여 오작동, 무단 제어 시도, 펌웨어 조작 등 사이버 위협 징후를 탐지합니다. ⚙️ 이는 해상 안전과 직결됩니다.
  • SIEM (Security Information and Event Management) 연동: 선박 내 다양한 보안 장치(방화벽, IDS/IPS, 서버 등)와 시스템(OT/ICS)에서 발생하는 로그와 이벤트 정보를 통합하여 수집하고, 이를 상호 연관 분석하여 위협 징후를 조기에 포착하고 상황을 시각화합니다.
• 침해사고 대응 (Incident Response):
  • 초기 대응 및 격리 (Initial Response & Containment): 사이버 위협이 탐지되면 즉시 해당 시스템을 네트워크로부터 격리하거나, 감염 확산을 막기 위한 긴급 조치를 수행하여 추가적인 피해 확산을 방지합니다. 신속한 판단과 조치가 중요합니다.
  • 복구 및 사후 조치 (Recovery & Post-Incident Actions): 침해된 시스템을 안전하게 복구하고, 보안 패치 적용, 시스템 설정 강화, 접근 제어 강화 등 재발 방지를 위한 기술적 및 관리적 조치를 수행합니다. ✅ 복구 계획 수립이 핵심입니다.
  • 비상 계획 수립 (Emergency Planning): 사이버 침해사고 발생 시 선박 운항의 연속성을 보장하기 위한 비상 절차, 통신 프로토콜, 대체 시스템 전환 계획 등 구체적인 대응 및 복구 계획을 사전에 수립하고 훈련합니다. 이는 위기 상황에서의 혼란을 줄이고 효율적인 대응을 가능하게 합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168439