국립한국해양대, IMO 사이버보안 규제 대응 선박기자재 보안인증 프레임워크 개발

핵심 요약

- 국립한국해양대학교가 IMO(국제해사기구)의 강화된 사이버보안 규제에 대응하는 선박기자재 보안인증 프레임워크를 개발 - 선박 운항 시스템의 디지털화·IoT화로 인한 사이버 위협 증가에 따른 체계적 보안 관리 필요성 대두 - 선박 내 승무원 및 승객 개인정보 처리 시스템의 보안 강화가 개인정보보호법 준수 측면에서도 필수적

주요 내용

국제해사기구(IMO)는 2026년 현재 선박 사이버보안 규제를 지속적으로 강화하고 있으며, 이에 따라 국립한국해양대학교가 선박기자재에 특화된 보안인증 체계를 제시했다. IMO는 2021년부터 선박 안전관리시스템(SMS)에 사이버 리스크 관리를 의무화했으며, 2026년 현재 더욱 구체적인 기술 표준과 인증 요구사항을 마련하고 있다.

선박은 항해장비, 엔진 제어 시스템, 화물 관리 시스템 등 다양한 디지털 기자재가 네트워크로 연결된 복합 IoT 환경이다. 특히 최근 스마트십(Smart Ship) 기술 도입이 가속화되면서 육상 시스템과의 실시간 데이터 교환이 증가하고 있어, 사이버 공격에 대한 취약점이 확대되고 있다. 랜섬웨어 공격으로 인한 선박 운항 중단, GPS 스푸핑을 통한 항로 조작 등 실제 사고 사례도 보고되고 있다.

국립한국해양대가 제시한 보안 해법은 선박기자재의 설계 단계부터 보안 요구사항을 적용하는 'Security by Design' 접근법을 포함한다. 이는 기자재 공급망 전반의 보안성 검증, 소프트웨어 취약점 관리, 네트워크 분리 및 접근통제, 정기적인 보안 업데이트 체계 등을 포괄하는 종합적인 프레임워크다.

선박 시스템은 승무원 개인정보, 승객 예약정보, 위치정보 등 민감한 개인정보를 처리하는 경우가 많아, 사이버보안 강화는 개인정보보호법 준수 측면에서도 필수적이다. 특히 국제 항로를 운항하는 선박의 경우 EU GDPR, 미국 개인정보보호법 등 다양한 국가의 규제를 동시에 준수해야 하는 복잡성이 있다.

전문가 시각

해양 산업의 디지털 전환이 가속화되면서 선박 시스템은 사실상 '바다 위의 데이터센터'로 진화하고 있다. ISMS-P 심사원 관점에서 볼 때, 선박 운영사는 단순히 IMO 규제 준수를 넘어 개인정보보호법상 안전조치 의무를 이행해야 한다. 특히 선박 내 CCTV, 출입통제 시스템, 승객 관리 시스템 등은 개인정보를 지속적으로 수집·처리하므로, 암호화, 접근통제, 로그 관리 등 기술적 보호조치가 필수적이다.

실무적으로 선박 운영사는 육상 기반 정보보호관리체계와 별도로 선박 특화 보안 정책을 수립해야 한다. 특히 해상에서 장기간 운항하는 특성상 실시간 보안 업데이트가 어려우므로, 출항 전 보안 패치 적용, 오프라인 보안 점검 체계, 비상 대응 매뉴얼 등을 사전에 마련해야 한다. 또한 선박기자재 공급사 선정 시 보안인증 여부를 확인하고, 공급망 보안 관리 조항을 계약서에 명시하는 것이 권장된다.

ISMS-P 심사원 체크포인트

1. 2.8.2 원격접속 통제 (ISMS-P 인증기준) - 선박과 육상 시스템 간 원격접속 시 VPN, 이중인증 등 강화된 인증 체계 적용 여부 - 원격 유지보수를 위한 외부 접속 시 접속 기록 관리 및 세션 통제 현황 - 위성통신 등 선박 특화 통신 환경에서의 암호화 통신 적용 여부 - 개인정보보호법 제29조(안전조치의무) 준수 여부

2. 2.10.3 개인정보 암호화 (ISMS-P 인증기준) - 승무원 및 승객의 고유식별정보, 바이오정보 등 민감정보 암호화 저장 여부 - 선박 내 데이터베이스 및 백업 매체의 암호화 적용 현황 - 육상 시스템으로 개인정보 전송 시 구간 암호화 적용 여부 - 개인정보보호법 시행령 제30조(개인정보의 암호화) 이행 상태

3. 2.5.3 공급망 보안 (ISMS-P 인증기준) - 선박기자재 공급사의 보안인증(ISO 27001, IEC 62443 등) 확보 여부 - 기자재 도입 시 보안 요구사항 명시 및 검증 프로세스 운영 현황 - 소프트웨어 구성요소의 취약점 및 보안 업데이트 관리 체계

위반 조항

본 사안은 직접적인 위반 사례가 아닌 예방적 보안 강화 사례이나, 선박 시스템 보안 미흡 시 다음 조항 위반 가능성이 있다:

개인정보보호법 제29조(안전조치의무) - 선박 내 개인정보처리시스템에 대한 접근통제, 암호화 등 안전조치를 이행하지 않을 경우 위반 - 위반 시 과태료 최대 3천만원 부과 (법 제75조 제2항 제5호)

개인정보보호법 제34조(개인정보 유출 통지 등) - 선박 시스템 해킹으로 인한 개인정보 유출 시 정보주체 및 개보위 통지 의무 - 미통지 시 과태료 최대 5천만원 부과 (법 제75조 제2항 제8호)

개인정보보호법 제59조(금지행위) - 선박 시스템 보안 취약점을 방치하여 부정한 수단으로 개인정보 유출이 발생한 경우 - 5년 이하 징역 또는 5천만원 이하 벌금 (법 제71조 제5호)

CPPG·ISMS-P 연계 포인트

1. Security by Design (설계 단계 보안 내재화) 선박기자재 개발 초기 단계부터 보안 요구사항을 반영하는 접근법으로, ISMS-P 2.3.2(정보보호대책 적용) 및 개인정보보호법 제29조(안전조치의무)와 직결된다. 시스템 설계·개발·운영 전 생명주기에 걸쳐 위험평가를 수행하고 보안통제를 적용해야 하며, 특히 IoT 환경에서는 펌웨어 보안, 하드웨어 보안 모듈, 안전한 부팅 등 물리적·기술적 조치를 통합적으로 고려해야 한다.

2. 공급망 보안 관리 (Supply Chain Security) 선박기자재는 다수의 공급사로부터 조달되므로 공급망 전반의 보안성 검증이 필수적이다. ISMS-P 2.5.3(공급망 보안)에서 요구하는 사항으로, 공급사 보안 수준 평가, 계약서 내 보안 조항 명시, 기자재 도입 시 보안 검증, 지속적인 취약점 모니터링 등이 포함된다. 특히 오픈소스 소프트웨어 사용 시 라이선스 및 보안 취약점 관리가 중요하며, SBOM(Software Bill of Materials) 관리를 통해 구성요소별 보안 현황을 추적해야 한다.