<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=939333007162424&amp;ev=PageView&amp;noscript=1">
 

    항해 중인 배의 네트워크, 어떻게 지켜보고 계신가요?

    사무실 네트워크라면 어떤 장비가 연결되어 있고 무슨 통신을 하는지, 이제는 어느 정도 보이실 겁니다. 그런데 항해 중인 배는 어떨까요? 선교(Bridge)의 항법 장비와 기관실(Engine)의 제어 장비가 지금 어떤 대화를 나누고 있는지 화면으로 들여다보고 계신 분은 생각보다 많지 않습니다.

    그동안 "배는 원래 그런 것"이라고 넘긴 경우가 많았다면 최근 바뀐 분위기에선 배에도 '인증된' 사이버 보안이 요구되기 시작했기 때문입니다. 무슨 이야기인지 규제부터 짚어 보겠습니다.

     

    왜 지금인가 - UR E26/E27 인증의 시대

    선급 협회들의 모임인 IACS(국제선급연합)는 선박 사이버보안에 대한 통일 규칙(UR, Unified Requirements) 두 가지를 내놓았습니다. 바로 UR E26과 UR E27입니다. 이름이 딱딱하지만, 뜻은 의외로 단순합니다.

     

    • UR E26 (Cyber Resilience of Ships) - "배 전체"의 사이버 복원력을 봅니다. 선박의 OT 네트워크 구성과, 선주의 관리 체계까지 포함하는 배 레벨의 요구사항입니다.
    • UR E27 (Cyber Resilience of On-Board Systems and Equipment) - 배에 올라가는 시스템과 장비 하나하나가 갖춰야 할 최소 보안 능력을 정합니다. 기자재를 공급하는 업체가 맞춰야 하는 기준이라고 보시면 됩니다.

     

    중요한 건 적용 시점입니다. 이 규칙들은 2024년 7월 1일 이후 건조 계약된 신조선에 적용됩니다. 국제 항해에 나서는 여객선, 500총톤 이상의 화물선 · 고속선, 이동식 해양 시추설비 등이 대상에 들어갑니다. 다시 말해, 지금 새로 짓는 배들은 처음부터 이 기준을 안고 태어나야 한다는 뜻입니다.

     

    그래서 무엇이 달라지나요? 선급에 제출하는 문서 묶음에 이런 것들이 들어가야 합니다. 

    ① OT/IT 망이 어떻게 분리돼 있는지 보여주는 네트워크 구성도
    ② 배에 설치된 전산 기반 시스템의 목록
    ③ 설치된 장비가 E27 기준을 충족한다는 증거

    배를 인수하는 선주 입장에서도, 인도 시점에 "이 장비들이 기준을 만족한다"는 증빙을 받아야 합니다.

    정리하면, 이제 배에 들어가는 보안은 "있으면 좋은 것"이 아니라 증명해야 하는 것이 되었습니다. 자산이 무엇인지 목록으로 보여주고, 망이 어떻게 나뉘어 있는지 도면으로 보여주고, 이상이 있었다면 근거를 남겨야 합니다. 저희가 지니언스 CS실에서 선박용 보안 제품을 만들기 시작한 것도 바로 이 지점 때문입니다. "보이게 만들고, 증빙까지 남기는" 도구가 실제로 필요해졌으니까요.

    지니언스는 NAC(네트워크 접근 제어)와 EDR(단말 위협 탐지·대응) 분야에서 축적된 기술력을 보유하고 있습니다. 다만 이 두 기술은 기본적으로 단말에 에이전트(보안 소프트웨어)를 설치하거나 네트워크에 직접 관여하는 방식을 전제로 합니다.

    그런데 선박 환경에서는 이러한 에이전트 설치 방식 자체가 구조적으로 제약을 받습니다. 폐쇄적인 운영 환경, 제한된 단말 접근성 등 선박 특유의 조건이 기존 접근 방식과는 다른 대응을 요구하는 것입니다.

    이에 지니언스는 장비에 별도 소프트웨어를 설치하지 않고 네트워크 트래픽 분석만으로 위협을 탐지하는 비침습형(agentless) 접근 방식을 새롭게 개발했습니다. 기존 NAC·EDR 역량에 비침습형 기술을 더해, 선박이라는 특수 환경에 최적화된 보안 체계를 완성하려는 것입니다.

     

    빨라진 위성 인터넷, 반가운 소식만은 아닙니다

    최근의 변화도 하나 짚고 싶습니다. 요즘 배들은 스타링크(Starlink) 같은 저궤도 위성 인터넷 덕분에 예전과 비교하기 어려울 만큼 빠른 통신을 씁니다. 선원에게도 승객에게도 반가운 일이죠. 그런데 보안의 눈으로 보면 조금 역설적인 면이 있습니다.

    회선이 빨라졌다는 건, 배 안으로 들어오는 데이터도 그만큼 빠르고 많아졌다는 뜻입니다. 바꿔 말하면 공격 역시 예전보다 빠르게, 더 큰 규모로 밀려들 수 있게 됐다는 의미예요. 느린 회선이 어떤 면에서는 자연스러운 방어막이 되어 주던 시절과는 달라진 겁니다. 육지와 거의 붙어 버린 배는, 육지에서 벌어지던 위협에도 그만큼 가까워졌습니다. 연결이 좋아질수록, 그 연결을 지켜보는 눈이 더 필요해지는 이유입니다.

     

    그런데 배에서는 왜 기존 방식이 안 통할까요

    여기서 한 가지 고민이 생깁니다. 육상에서 쓰던 보안을 그대로 배에 옮기면 되지 않을까요? 아쉽게도 배에서는 잘 안 통합니다. 이유가 몇 가지 있습니다.

    • 선박의 항해·기관 장비(전자해도 ECDIS, 레이더, 각종 제어기)는 대부분 폐쇄형 전용 장비라, 보안 소프트웨어(에이전트)를 설치할 자리가 없습니다.

    • 운항 중에는 안정성이 최우선입니다. 장비를 향해 스캔이나 명령 패킷을 쏘아 보는 것 자체가 위험 부담이 됩니다. 항해 장비가 잠깐 멈추는 상황은 상상하고 싶지 않으니까요.

    • 위성통신 환경은 배마다 제각각입니다. 저대역 회선을 쓰는 배도, 최근 스타링크처럼 빠른 회선을 쓰는 배도 있습니다. 어느 쪽이든 배에서 생기는 데이터를 전부 육상 클라우드로 실시간으로 올려 분석하는 방식은 부담이 큽니다.


    정리하면, "장비를 건드려서 알아내는" 방식은 배에서는 위험하거나 아예 불가능한 경우가 많습니다. 그럼 어떻게 해야 할까요? 장비를 건드리지 않고도 알 수 있는 방법이 필요합니다.

     

    개입하지 않고 보는 법 — 패시브 NDR

    여기서 나오는 개념이 패시브(비침습) NDR입니다. NDR 은 Network Detection & Response, 즉 "네트워크를 관찰해 이상을 찾고 대응을 돕는" 방식이에요. 핵심은 패시브라는 말에 있습니다. 장비에 아무것도 설치하지 않고, 명령도 보내지 않습니다. 그저 네트워크에 흐르는 트래픽의 사본만 조용히 넘겨받아 들여다봅니다.

    복도에 CCTV를 다는 것과 비슷합니다. 지나다니는 사람을 붙잡거나 문을 잠그지 않아도, "지금 누가 어디로 가는지"는 볼 수 있으니까요. 배에서는 이 "지켜보기만 하는" 성질이 특히 중요합니다.

    흐름을 아주 단순하게 그리면 이렇습니다. 실제 제품 화면이 아니라 개념을 나타낸 그림이라는 점을 먼저 말씀드립니다.

    항해 중인 배의 네트워크 어떻게 해야할까_지니언스_1-1
    여기서 꼭 짚고 싶은 원칙이 하나 있습니다. 이 방식은 스스로 장비를 차단하거나 통신을 끊지 않습니다. 오탐 하나로 항해 장비를 멈춰 세우면, 그게 오히려 더 큰 사고가 되니까요. 그래서 이상을 발견하면 "무엇이, 왜 이상한지"와 그 근거(증적)를 사람에게 보여주고, 최종 판단과 조치는 사람이 하도록 돕는 데 집중합니다. 배에서는 "똑똑하게 대신 결정해 주는 것"보다 "정확하게 보여주는 것"이 훨씬 안전합니다.

     

    배에 맞춘 관점: 구획과 항법

    배는 사무실과 다른 두 가지 특징이 있습니다. 이 둘을 이해하는 것이 선박용 NDR 의 핵심입니다.

    첫째, 배는 구획(Zone)이 나뉘어 있습니다. 선교와 기관실, 선원 생활 구역, 외부 통신망은 원래 서로 대화할 일이 정해져 있어요. 그래서 "평소엔 말 섞을 일이 없던 두 구역이 갑자기 통신한다면?" 같은 맥락이 아주 중요한 신호가 됩니다. 흥미롭게도 이 "구획을 나눈다"는 개념은 앞서 이야기한 UR E26 의 OT/IT 분리 요구와 정확히 맞닿아 있습니다. 분리해 두는 것에서 끝나지 않고, 그 분리가 실제로 지켜지는지 지켜볼 수 있어야 하니까요.

     

    항해 중인 배의 네트워크 어떻게 해야할까_지니언스_2

     

    둘째, 배에는 항법 데이터라는 고유한 언어가 흐릅니다. 위치·항로를 주고받는 NMEA, 선박 식별 정보를 나누는 AIS 같은 것들이죠. 이런 해양 특유의 통신을 이해해야, "정상적인 항해 대화"와 "뭔가 어색한 신호"를 구분할 수 있습니다. 저희가 지니언스 CS실에서 선박 환경을 들여다보며 특히 공들이는 지점이 바로 이 운항 맥락입니다. 일반적인 IT 보안 장비는 이 언어를 모르니까요.

     

    규제 증빙에는 어떻게 도움이 될까요

    다시 처음의 규제 이야기로 돌아와 보겠습니다. UR E26/E27 이 요구하는 것은 결국 "보여줄 수 있느냐"였습니다. 패시브 NDR 이 이 부분에서 꽤 자연스럽게 맞물립니다.

     

    • 자산 목록 : 네트워크를 관찰하는 것만으로 "지금 배에 어떤 장비가 통신하고 있는지"를 모아 볼 수 있습니다. 손으로 적던 시스템 목록의 출발점이 됩니다.

    • OT/IT 분리 확인 : 구획 간 통신을 보면, 설계상 나눠 둔 망이 실제로도 지켜지고 있는지 눈으로 확인할 수 있습니다.

    • 사고 대응의 근거 : 이상이 있었다면, 그 순간의 통신 기록을 근거로 남깁니다. "무슨 일이 있었는지"를 나중에 설명할 수 있게 되는 것이죠.

     

    한 가지 덧붙이면, 패시브 NDR 은 기존 보안을 대체하는 게 아니라 보완합니다. 단말을 인증하고 통제하는 역할, 단말 내부를 들여다보는 역할은 그대로 두고, 그 사이에서 "네트워크에서만 보이는 사각지대"를 채우는 자리라고 이해하시면 좋겠습니다. 배라는 특수한 무대에서는, 이 사각지대가 생각보다 넓습니다.

     

    혼자 푸는 문제가 아닙니다 — KISA 주관 공동연구

    사실 선박 사이버보안은 한 회사가 다 풀 수 있는 문제가 아닙니다. 그래서 지금 국내에서는 KISA(한국인터넷진흥원) 주관으로 여러 기관이 힘을 모으고 있습니다. 과학기술정보통신부와 정보통신기획평가원(IITP)이 지원하는 선박 사이버 침해사고 분석·탐지·대응 기술 개발 국책 과제인데요, 여기에 한국선급, 한국해양대학교(실습선 '한바다호'를 테스트베드로 제공), 쿤텍, 이스트시큐리티 등 여러 기관이 공동연구로 참여하고 있습니다.

    저희 지니언스 도 이 컨소시엄의 공동연구기관으로 함께하고 있습니다. 앞에서 말씀드린 "네트워크를 건드리지 않고 지켜보는" 기술을, 실제 선박 환경과 규제 요구에 맞춰 검증해 나가는 과정입니다. 관련 소식은 아래 기사들에서 더 보실 수 있습니다.

     

    참고기사
    보안뉴스 - KISA, 해양 사이버보안 협력체계 가동...R&D 워크숍 진행

     

    기존 자산과 만나면 — 더 강해지는 시너지

    이 새 NDR 을 저희가 특히 기대하는 이유가 하나 더 있습니다. 지니언스는 그동안 EDR 에코시스템에서 여러 보안 자산을 쌓아 왔거든요. 몇 가지만 예로 들면 이렇습니다.

    • IoC (침해 지표) : 이미 알려진 위협의 흔적을 모아 둔 정보입니다.
    • 유사도 해시 : 조금씩 변형된 악성 파일(변종)도 "닮은정도"로 알아채는 방식이에요.
    • 굿웨어(정상 소프트웨어) 목록(GWR) - 정상으로 검증된 것을 미리 걸러, 괜한 오탐을 줄여 줍니다. 

    네트워크에서 관찰한 NDR 의 시야에 이런 EDR 자산이 더해지면, "네트워크에서 본 것"과 "이미 알고 있던 위협 지식"이 서로를 보완하게 됩니다. 여기에 이번 KISA 연구 과제를 통해 새롭게 만들어질 선박 특화 패턴까지 얹히면, 지금보다 한층 강화된 제품 세트가 될 것으로 기대하고 있습니다.

    구조를 그려 보면 이렇습니다. 앞으로는 신규 NDR 제품이 맨 위에서 NAC 과 EDR 이 미처 닿지 못한 사각지대(에이전트를 못 붙이는 OT 장비, 네트워크에서만 보이는 흐름)를 채우고, 그 아래에서 NAC 과 EDR 이 받쳐 주는 형태가 될 것으로 봅니다. 잘하던 것은 아래에서 단단히 받치고, 부족했던 조각은 위에서 새로 채우는 그림이라고 이해하시면 좋겠습니다.

    항해 중인 배의 네트워크 어떻게 해야할까_지니언스_4

    배를 넘어서 — 손대기 어려운 현장은 육지에도 넓습니다

    여기까지 배 이야기를 했지만, 사실 "멈추면 안 되고, 장비에 손대기도 어려운" 현장은 바다 위에만 있는 게 아닙니다. 철도의 신호·관제망, 도시의 교통 제어 시스템, 공장의 생산 라인처럼, 육지에도 같은 성격의 현장이 넓게 펼쳐져 있습니다. 이런 곳들은 그동안 에이전트를 붙이기도, 스캔을 쏘기도 어려워 NAC 과 EDR 이 닿기 힘들었던 영역입니다. 바꿔 말하면, 지금까지 이야기한 패시브 NDR 이 가장 필요한 무대이기도 합니다.

    배에서 다진 방식은 그대로 이 현장들로 이어집니다. 구획을 나눠서 보고, 그 안에 흐르는 고유한 언어를 이해하고, 이상을 사람에게 근거와 함께 보여 주는 원리는 어디서나 같으니까요. 배에서는 그 언어가 항법 데이터(NMEA·AIS)였다면, 철도나 공장에서는 각 현장의 제어 프로토콜로 바뀔 뿐입니다. 무엇을 알아들어야 하는지가 달라질 뿐, "건드리지 않고 지켜본다"는 뼈대는 그대로입니다.

    저희가 선박에서 출발한 것은 UR E26/E27 이라는 분명한 규제 요구가 있었기 때문입니다. 다만 여기서 멈출 생각은 없습니다. NAC 과 EDR 로 다져 온 강점 위에 비침습 NDR 이라는 조각을 더해, 지니언스의 전문 영역을 배에서 철도·교통·공장 같은 다른 OT 현장으로 넓혀 가려 합니다. 손대기 어려운 현장일수록 조용히 지켜보는 눈의 가치가 커지고, 그런 현장이 늘어날수록 저희가 서 있어야 할 자리도 함께 넓어진다고 보고 있습니다.


    맺음말

    보안의 출발점은 언제나 "보이는가"입니다. 보이지 않는 것은 지킬 수 없고, 이제는 보이는 것을 증명까지 해야 하는 시대가 되었습니다. 배라는 특수한 환경에서도, 장비를 건드리지 않고 네트워크를 조용히 지켜보는 것만으로 우리는 꽤 많은 것을 볼 수 있습니다. 저희 지니언스 CS실에서도 바로 그 "조용히, 그러나 확실하게 보이게 만드는" 일을 하나씩 만들어 가고 있습니다. 배 위의 네트워크가 지금보다 훨씬 선명하게 보이는 날이, 그리 멀지 않았습니다. 그리고 그 눈은 배에만 머물지 않을 거라고 생각합니다.

     


     

    글쓴이. 이승준 선임

    지니언스 CS실에서 새로운 기술의 접목과 제품연구와 정책과제를 담당하고 있습니다.