기업의 가장 큰 리스크가 해커들의 컴퓨터 침입 및 시스템 조작이라는 사실에 공감을 하는 사람은 많지 않을 것이다. 그러나, 세계 경제 포럼의 2014년 세계위험보고서는 사이버 공격을 세계경제가 직면한 최상위 5가지 위험중 하나로 꼽았다.

해운업은 이러한 사이버 위협에 매우 취약하며 사실상 가장 확실한 표적으로 인식되고 있다. 본 원고는 선박, 석유 굴착 장치, 항구 및 터미널의 잠재적 취약성과 사이버 공격이 야기할 수 있는 잠재적 손해에 대해 다룬다.

컴퓨터 시스템에 대한 의존성

여타 다른 산업과 마찬가지로 해운업에서도 전자 시스템에 의존하는 비중이 증가하고 있다. 운항, 엔진 컨트롤, 조종 장치, 화물 관리 등 전자 시스템은 여러가지 측면에서 주요한 역할을 담당하고 있다. 거의 모든 주요 선주들과 항만 운영자, 화물 운송업체, 물류 회사들이 정보 기술을 사업상 매우 중요한 시스템으로 여기고 있다.

대표적인 전자 시스템의 예:

  • 자동식별시스템(Automatic Identification System, AIS)은 선박 추적 및 식별 데이타를 타 선박, 항구 및 해안 경비대와 공유한다.
  • 선박의 위치 보고 및 속도가 전자 차트 및 디스플레이 정보 시스템(Electronic Chart and Display Information System, ECDIS)에 표시되며, 이 데이터는 인터넷을 통해 업데이트된다(SOLAS에 따라, 모든 선박은 ECDIS 전자 차트를 2018년까지 장착해야 한다).
  • 선박과 컨테이너 항구는 전자 위치 추적 시스템(Global Positioning System, GPS)을 이용해 선박의 위치를 파악하고 항만 크레인을 조종하며 컨테이너를 적재한다.

오늘날 해운업계는 전자 시스템의 오용이나 지나친 의존으로 인해 위험이 오히려 증가할 것을 우려하고 있다.

공격의 영향

사이버 공격이 선주나 항만 운영자에게 미치는 잠재적 손해는 사실상 측정이 어렵다.

사이버 공격이 이미 발생했다는 몇 가지 근거가 있다:

  • 위험에 대한 경각심을 불러 일으키기 위해, 한 사이버 보안 기업에서 일부 ECDIS 소프트웨어의 전자 차트에 접근, 이를 수정하였다는 심증적 증거가 있다. 이러한 수정이 분명히 악의적이었으나 아무도 인지하지 못했다면, 이는 충돌이나 출항 금지 처분을 야기했을 것이다.
  • 선박 또는 항만의 GPS 시스템이 해킹되었다는 보고가 있었다. 미국의 한 항만은 7시간 동안 GPS 신호 교란을 경험했으며 이로 인해 컨테이너 이동 운영에 차질이 생겼다.
  • 컨테이너의 이동 및 위치를 추적하고 통제하는 항만 컴퓨터가 해킹된 사례가 있었다. 한 범죄 집단에서 특정 컨테이너를 파악하여 절도하기 위해 항만 컴퓨터에 접근한 경우이다.
  • 부유 유정 굴착 장치에 대한 사이버 공격으로 인해 해당 장치가 기울어져 결국 며칠 동안 운영을 중단해야 했다.

금전적 손실

위 모든 사례들은 상당한 금전적 손실을 야기했다. 나아가, 사이버 공격으로 인한 잠재적 업무 중단 손실의 가능성도 시사한다1.

기업 이미지 손상

아직까지 사이버 공격이 보고된 경우가 매우 적은 이유 중의 하나는 기업들이 자사의 명예를 위해 공격을 당한 사실을 숨기고 있기 때문으로 보인다. 기업들은 투자자나 규제 당국, 보험 회사들이 이러한 사실을 아는 것을 원하지 않는다.

그러나, 미국과 유럽 연합 국가 등 세계 여러 나라에서 정보 유출 사건이 발생할 경우 이에 대한 고지를 의무화하는 사례가 증가하고 있다.

결론

해운업은 전체적으로 기존의 사이버 공격 및 신종 공격에 모두 매우 취약하다고 알려져 있다.

BIMCO, Intertanko, Intercargo와 같은 기관에서는 이러한 위험을 인식하고, 2015 년 4월 15일, 주요 사이버 보안 문제를 해결하기 위해 관련 표준과 지침을 개발 중이라고 발표했다. 이러한 지침은 공격의 위험을 최소화하고, 공격이 발생할 경우 대응할 수 있는 긴급 조치를 개발할 것을 권고한다.

한편, HFW에서는 해운 기업들이 사이버 공격을 예방하고 대응하기 위해 자사의 시스템에 각별한 주의를 기울일 것과, 내부 지배 시스템과 공급망을 정기적으로 테스트하고, 침입 방지를 위해 이에 대한 모니터링을 실시할 것을 권고한다.