해상클레임예방가이드

해운산업에 4차 산업혁명에 따른 패러다임 변화가 일어나고 있다. 정보통신기술(Information Technolo
gy)이 적용되어 선박에서 운영 중인 각종 항해 장치들이 디지털화되고, 선박과 선박, 선박과 항만, 선박 내 장치와 장치들이 통신망으로 연결되는 통합성이 가속화되고 있다. 이처럼 정보통신기술(IT)의 급속한 발전은 많은 이점을 창출했지만 이는 과거에 경험하지 못한 새로운 사업적, 법률적 위험을 야기시키기도 하였다. 바로 사이버 위험이 그 중 하나이다. 해운산업은 다양한 이해관계자들이 복잡한 물류업무 프로세스와 정보통신기술을 통하여 협력한다. 해운기업은 내부적으로 해상에서 운항 중인 개별 선박과 운항정보를 교환하고, 외부적으로는 화주, 운송주선인, 항만운영자, 창고업자 등과 소통한다. 하지만 이러한 과정에서 필연적으로 사이버보안의 취약점이 노출되며 다양한 피해사례가 발생할 수밖에 없다. 특히 사이버공격은 날이 갈수록 정교하고 고도화된 수법으로 이루어지며 자칫 방심하면 누구나 큰 피해를 입을 수 있으므로 각별한 주의가 요구된다. 이번 호에서는 해상분야에서 발생하는 사이버위험을 분석하고 그 예방조치에 관하여 다루어본다.

<사이버공격의 형태 및 주요 피해사례>
1) 사이버공격의 형태
사이버공격은 컴퓨터 네트워크상 악의적인 목적을 가진 공격자가 습득한 사이버정보를 기반으로 다양한 공격수단과 기법으로 시스템이나 데이터 자산을 파괴하는 일체의 모든 행위를 말한다. 사이버공격은 다양한 유형을 보이는데, ① 악성 소프트웨어인 말웨어(Malw
are) 메일을 첨부하여 바이러스를 감염시키는 방법 ② 네트워크 취약성을 공략해 내부 디바이스에 침투시키는 방법 ③ 금전지급을 요구하고 거부하면 기밀정보를 공개하거나 시스템을 사용하지 못하게 한다고 협박하는 방법(Ransomware) ④ 메일을 해킹하여 거짓 계좌로 금전을 송금하도록 요구하는 방법(Phishing) 등이 대표적이다. 사이버공격 피해의 형태는 사업 중단에 따른 영업이익 상실, 시스템복구 비용발생, 기업평판 손실 등이 있다. 최근에는 사이버공격의 대상도 확대되고 있다. 과거에는 컴퓨터와 서버 등 정보통신기술(IT)이 표적이 되었다면 최근에는 특정 회사의 기술이 구축된 제어시스템, 즉 운영기술(Operational Technology)에 대한 공격이 급증하고 있다. 또한 사이버공격의 범위도 해상기업, 선박, 항만 등으로 확대되고 있다. 

2) 주요 피해사례
최근 해상분야에서 발생한 주요 사이버공격 피해사례를 살펴보도록 한다. 2015년 10월, 이란 국영선사 IRISL는 사이버공격을 받아 운송요금, 화물번호 등 관련 데이터가 손상되어 운영중단에 따른 심각한 금전적 피해를 입었다. 2017년 7월, 세계 최대 선사 MAERSK는 IT시스템 손상이 발생하여 사이버공격으로 컨테이너 터미널운영이 중단되고 약 3억불 상당의 금전적 피해를 입었다. 2018년 7월, 중국 국영선사 COSCO는 랜섬웨어 공격을 받아 홈페이지와 이메일 시스템이 수일간 마비되었다. 2019년 3월, 국내 한 선사는 일부 선박이 랜섬웨어 공격을 받아 항만과 현지업체 소통이 마비되면서 운항에 심각한 피해를 입기도 하였다. 2020년 4월, 스위스 MSC는 사이버공격을 받아 약 일주일간 홈페이지가 마비되었고, 2021년 9월, 프랑스 CMA CGM는 모바일 앱에서 일부 고객의 정보가 외부로 유출되어 곤욕을 치른 바가 있다.

<사이버위험 보안에 관한 국제기구 가이드라인 및 주요국가 정책>
사이버공격의 심각성이 대두되면서 해운업계에서 사이버위험 보안에 관한 관심이 높아지고 있다. 아래는 사이버위험 보안 관련 국제해사기구(IMO), 발틱해국제해운협회(BIMCO), 주요국가에서 기 논의한 가이드라인 및 정책에 관한 주요내용이다.

1) 국제해사기구(IMO)
2017년 6월, IMO는 안전관리에 관한 국제협약(ISM Code)과 선박 및 항만시설보안에 관한 국제협약(ISPS Code)에 해상사이버 위험관리에 관한 결의안을 채택하였다. 동 결의안은 선주, 선급, 항만운영자 등 해운산업의 다양한 이해관계자들이 해상사이버 위협의 심각성과 취약성을 스스로 인식하도록 요구하였다. 특히 선주와 선박관리회사가 2021년 1월 1일까지 ISM Code의 목적과 기능 요건을 반영하여 기존 선박의 안전관리시스템(SMS) 내에 해상사이버 보안 및 위험관리에 관한 내용을 포함하여 사이버위험에 대한 관리, 운용 및 이행에 관한 사항을 적절히 반영하도록 권고하였다. 2021년 1월 1일부터 연례 검증을 시행하여 항만국통제(PSC) 검사에서 불이행 발견 시 해당선박은 항만당국으로부터 출항정지 등 제제조치를 받을 수 있다.
또한 IMO의 해사안전관리위원회는 해상사이버 위험관리에 관한 가이드라인을 제정했으며 위험관리를 위한 기능요소를 다음과 같이 규정한다. ① 식별(Identify) : 사이버 위험관리에 대한 개인의 역할 및 책임을 정의하고 장애가 발생할 수 있는 선박운용시스템, 자산, 데이터 및 기능 등을 식별하는 것 ② 보호(Protect) : 위험통제 프로세스, 조치 및 비상계획을 수립하여 사이버 사건에 대처하고 해상운송의 연속성을 보장하는 것 ③ 탐지(Detect) : 적시에 사이버 사건을 탐지하기 위한 프로세스와 방어수단을 개발하고 적용하는 것 ④ 대응(Respond) : 사이버 사건으로 손상된 사업운용이나 서비스에 필요한 시스템을 복구하고 복원력을 제공하기 위한 활동이나 계획을 개발하고 구현하는 것 ⑤ 복구(Recover) : 백업을 위한 수단을 확보하고 사이버 사건으로 손상된 해상사업을 운용하기 위한 사이버 시스템을 복원하는 것.

2) 발틱해국제해운협회(BIMCO)
2016년 2월, 발틱해국제해운협회(BIMCO)는 ‘선박의 사이버보안에 관한 가이드라인’을 발표하였다. BIM
CO는 사이버보안 위협의 지속적인 진화에 따라 새로운 대응방안을 제시하기 위해 가이드라인을 계속 수정, 보완하고 있다. 동 가이드라인의 목적은 IMO의 결의안과 가이드라인 내용에 맞추어 해상사이버위험 관리에 관한 실질적인 권고사항을 제공하기 위하여 개발되었다. 따라서 해상기업들은 시스템에 사이버보안을 유지하고, 이들이 운영하는 선박을 안전하게 운항하기 위한 절차와 조치들을 수립할 것이 요구된다.
BIMCO가 제시한 사이버 위험 관리의 구체적인 방안은 ① 사이버위협에 대한 확인(Identify Threats) ② 취약점 확인(Identify Vulnerabilities) ③ 위협 노출에 대한 평가(Assess risk exposure) ④ 보호 및 탐지수단 개발(Develop protection and detection measures) ⑤ 사이버보안 사고에 대한 대응 및 복구방안 수립(Respond to and recover from cyber security) ⑥ 비상계획 수립(Establish response plans)이 있다.

3) 주요국가 정책
미국은 2020년 12월 백악관에서 ‘국가해양사이버보안계획(NMCSP)’을 공표하여 선박 사이버위험 보안, 해양사이버 인텔리전스, 해양 디지털포렌직, 연구개발 및 인력육성 등 내용을 강조하였다. 일본은 2016년부터 해상사이버 보안 대책에 관한 조사 연구회인 ‘일본선박기술연구협회(JSTRA)’를 발족하여 3년 동안 연구를 시행하였고, 2018년 일본해사협회(ClassNK)가 ‘선박 사이버보안에 관한 가이드라인’ 공표 후 2019년부터 ‘사이버보안에 관한 인증서비스’를 구축하여 운영하고 있다. 우리나라는 한국선급(KR)에서 ‘해사 사이버보안 인증제도’를 운영하고 있으며, 선사와 선박의 사이버보안을 위한 ‘해상사이버 보안 관리시스템 지침’도 마련하여 운영하고 있다. 또한 해양수산부는 2020년부터 ‘해사(선박안전)사이버 보안 대책 마련’를 통하여 선박사이버 보안에 대한 연구를 진행하고 있다.

<예방조치>
IMO와 BIMCO가 제시한 사이버위험 관리 가이드라인의 성격은 권고사항에 불과하며, 강제성이 있는 것은 아니다. 또한 각 주요국가의 해상사이버 보안정책은 현재 개발 중인 것으로 확인된다. 결국 해운기업은 가이드라인의 권고사항 및 각 국가의 정책을 참고하여 각자 맞는 사이버위험 예방조치를 수립할 수밖에 없다. 따라서 아래는 사이버위험 예방조치 수립 시 도움이 될 만한 내용을 인적 측면, 절차적 측면, 기술적 측면으로 각각 구분하여 소개하도록 한다. 이는 가장 기본적이지만 중요한 내용인 점을 유념해야 한다.

1) 인적 측면
일반적으로 사이버위험의 발생원인은 개별회사 IT부서의 부적절한 대응 때문으로 생각하기 쉽다. 하지만 실제로는 개개인의 사이버보안에 대한 인식 결여가 주요원인으로 분석된다. 따라서 해상과 육상에서 근무하는 모든 개개인이 사이버보안을 위한 각자의 역할과 책임사항을 수립하고, 관련 교육을 통하여 사이버보안에 관한 내용을 충분히 훈련한 다음, 이를 평소에 시행한다면 가장 효과적인 예방조치가 될 수 있을 것이다. 구체적인 내용을 살펴보면 다음과 같다. ① 사이버공격으로 무엇이 어떻게 잘못될 수 있는지 이해하기 ② 사이버보안을 유지하기 위한 평소 시행조치 이해하기 ③ 사이버공격 발생 시 어떻게 대응하는지 이해하기 ④ 컴퓨터와 이동식 드라이버 바이러스 검사 시행하기 ⑤ 익숙하지 않은 이메일과 첨부파일 열지 않기 ⑥ 의심가고 익숙하지 않는 문제발생 시 개별회사 IT부서 보고하기 ⑦ 선박 및 육상 시스템에 개인 laptop, 태블릿, 핸드폰 등 연결 제한하기

2) 절차적 측면
사이버보안 조치는 정책 및 절차를 수립하여 시행하고 감사제도를 운영하면 더욱 효과적이다. 해당 정책 및 절차 수립 시 참고할 만한 내용은 다음과 같다. ① 백업과 시스템 업데이트 정기적으로 시행하기 ② 예민한 정보는 안전한 방법으로 저장·보관하기 ③ 쉽게 알 수 있는 비밀번호 사용 지양하고(최소 8자 이상 단어로 숫자, 대문자, 기호 등 조합) ④ 동료 및 선원의 부서이동 및 퇴사 시 기존 개인정보 변경하기 ⑤ USB, 외부 저장용 하드, CD 등 외부 디바이스 사용 제한하고 사용 시 보안유지 철저히 하기 ⑥ 컴퓨터 사용 시 공식적으로 사용하는 시스템과 개인적으로 사용하는 시스템 구분하기 ⑦ 사이버공격 받을 경우 신속 복구를 위한 대책 마련하고 유사사고 방지 위한 교훈 공유하기 ⑧ 거래대금 송금 및 송금정보 변경 시 반드시 거래 상대방과 전화로 계좌 진위여부 파악하기

3) 기술적 측면
정보통신기술은(IT) 정보기기의 운영과 관리에 필요한 소프트웨어 기술과 이들 기술을 이용한 정보를 수집·전달·활용하는 모든 방법을 의미한다. 한편, 운영기술(OT)은 물리적인 설비와 절치를 직접 모니터링하거나 통제하는 하드웨어 또는 소프트웨어 기술을 말한다. 사이버위험 관리를 위한 대응책 수립은 정보통신기술(IT)과 운영기술(OT) 측면에서 모두 고려되어야 한다. 보다 구체적인 내용은 다음과 같다. ① 오래된 시스템 및 기술 업그레이드하기 ② 출처가 불분명한 이메일 및 첨부파일 접속을 차단하는 인프라 구축하기 ③ 시스템 보안 유지를 위한 바이러스 백신 등 설치하고 윈도우 및 바이러스 백신 자동 업데이트 설정하기 ④ 시스템 접근자의 정확한 신분을 파악할 수 있는 시스템 구축하기 ⑤ 중요한 시스템은 별도의 인프라를 통하여 관리하는 등 네트워크 분류 및 구분하기 ⑥ 기능 테스트, 취약성 평가, 침투 테스트 등 통한 컴퓨터 방화벽 설치 및 방화벽의 효과 및 강도 분석하기

<보험의 문제>
1) 영국해상보험(선박, 적하보험)
과거 영국보험시장에서 해상사이버위험 관련 가장 일반적으로 적용된 보험약관은 2003년 발표된 협회사이버공격면책약관(CL380)이다. 이는 단순히 컴퓨터 등 전자시스템이 ‘피해를 주는 수단(as a means of inf
licting harm)’으로 이용되어 보험목적물이 멸실, 손상될 경우 보험자는 면책된다는 내용이다.1) 하지만 ‘피해를 주는 수단’으로 사용되면 보험자가 무조건 면책된다는 내용은 지나치게 포괄적이라는 비판이 제기되면서2) 런던보험시장의 사업자단체인 로이즈보험시장협회(LMA)는 2020년 사이버위험에 관한 새로운 약관을 만들었다. 바로 사이버위험의 담보내용을 명확히 하는 해상사이버담보약관(Marine Cyber Endorsement(LM
A5403))과 면책내용을 명확히 하는 해상사이버면책약관(Marine Cyber Exclusion(LMA5402))이다. 이중 해상사이버담보약관(LMA5403) 제2조는 컴퓨터 등 전자시스템이 ‘피해를 주는 수단’으로 이용되더라도 보상할 수 있다는 취지의 내용을 담고 있어3) 기존의 협회사이버공격면책약관(CL380)에 비해 보험자 면책범위가 축소되었다. 한편, 우리나라 해상보험계약은 대부분 영국법 준거조항을 포함하고 있다. 따라서 이러한 영국의 해상보험시장 방향은 우리나라 해상보험시장에도 영향을 미칠 것으로 보인다.

 
2) P&I보험
사이버공격으로 선박운항이 불가능하고 기계적인 결함이 발생하여 제3자에 대한 배상책임이 발생하면 이는 일반적인 P&I보험의 담보사항이 될 수 있다. 하지만 사이버공격이 전쟁 또는 테러로 인하여 발생하면 이는 담보 제외사항이다(단, 해당위험 별도 가입 시 담보가능). 해당행위가 전쟁 또는 테러위험에 포함되는지 여부는 일반적으로 P&I Club 이사회를 통하여 결정된다. 또한 P&I보험의 보상은 모든 선박이 관련법규의 요구사항을 충족하고 기국의 유효한 증서를 소지해야 유효하다.
해상분야의 사이버위험은 점차 빈도도 증가하고 피해규모도 커지고 있다. 해상사이버위험 보안 관련 그 동안의 논의는 권고사항에 불과하며 주요 국가의 정책도 아직 개발 중인 것으로 확인된다. 결국 해운기업은 국제기구 가이드라인의 권고사항 및 각 국가의 정책을 참고하여 각자에게 맞는 사이버위험 예방조치를 수립하여야 한다. 인적 측면에서는 개개인 모두가 철저한 사이버보안 교육을 통하여 훈련하고, 이를 평소에 시행해야 한다. 절차적 측면에서는 정책 및 절차 수립 후 시행하고 감사 제도를 운영하면 더욱 효과적이다. 기술적 측면에서는 정보통신기술(IT)과 운영기술(OT)을 모두 고려하여 사이버위험 관리를 위한 대응책을 수립해야 한다. 해상분야의 사이버위험에 따른 피해는 누구에게 언제든 발생할 수 있다. 따라서 그 예방조치에 각별한 관심이 요구된다.