해운 항만 시스템의 디지털화와 정보화의 급속한 발전으로 사이버보안에 대 한 위협도 함께 증가시켰으며, 최근에는 그 위협이 점점 더 가속화되어 실질적 인 재산상의 피해를 발생시키고 있다. 이에 따라 전 세계는 경제적 피해와 함 께 안보 위협까지 발생시킬 가능성이 높은 사이버보안 위협을 핵심 과제로 선 정하여 대응하고 있으며, 특히 사이버 위협에 대응하기 위한 기술적, 제도적 요구사항을 법제로 제정하기 위해 노력하고 있다. 최근 세계 주요 선진국과 국제기구 등을 중심으로 사이버보안 강화를 위해 종합적인 법제도 정비를 하고 있다. 그러나 우리나라는 관련 법제의 부재와 사이버보안 전문인력의 부족으로 인해 사이버보안 위협에 효과적인 대응이 어려 운 상황이다. 특히 관련 법제의 부재는 다양한 법률 규제와 상충하거나 통합적 인 집행을 어렵게 한다. 또한 사이버보안 전문인력의 부족은 기술적 대응 능력 을 저해한다. 이 연구는 해운 환경의 특징 및 표준에 부합하는 입법 방안을 제시하는 것을 목적으로 한다. 이를 위해 주요 선진국의 선박 사이버보안 법령과 규정을 비교 분석하여 시사점을 도출하였으며, 법령의 접근성과 규제의 일관성을 중심으로 기술적 및 물리적 수용 방안을 검토하였다. 이러한 결과를 중심으로 우리나라 해사분야 사이버보안 강화를 위한 법률 제정 방안을 제시하였다.

The development of autonomous ships relies heavily on the Internet technologies, which have introduced a new type of risk to the shipping industry. Increasing dependence on the Internet computing and satellite communications makes cybersecurity a significant consideration for the current operation and future development of autonomy technology in the shipping industry. Cyber risks will be a more critical issue for maritime autonomous surface ships (MASS). This research identifies current international regulatory issues concerning cybersecurity in MASS, and exam ines potential regulatory improvements for the effective prevention and control of potential cyber risks. In terms of improvements, the authors suggest the adoption of a mandatory goal-based MASS code that constitutes an independent cyber risk management, separate from existing safety management systems based on the International Safety Management code. In addition, the SUA Convention for the suppression of unlawful acts against shipping must be revised to actively respond to cyber-crime as an emerging threat in the era of MASS.

디지털 기술의 발전에 따라 해상환경은 빠르게 변화할 것으로 예상된다. 자율운항선박의 경우 국내ㆍ외 많은 국가에서 기술개 발 중이며, 국제사회는 이를 운용하기 위한 논의도 시작되었다. 선박의 변화는 해상교통 환경의 변화를 야기하며, 육상지원시설에 대한 변화도 촉구한다. 본 연구는 항행지원시설의 사이버 보안 체계 개선을 위해 해상교통관제 인원의 사이버 보안 관리 인식을 분석하고자 한다. 이를 위해 해상교통관제 중심으로 사이버 보안 관리 현황을 살펴보고, 해상통관제 인원을 대상으로 설문조사를 실시하였다. 설문조 사 분석은 IPA 방법론을 활용했으며, 분석결과 보안담당 경험이 있는 인원과 경험 없는 인원의 사이버 보안에 대한 인식차이가 뚜렷하게 나타났다. 더불어 사이버 공격 탐지 및 차단 관련 기술적인 조치가 가장 우선적으로 시행되어야할 사항으로 나타났다. 본 연구 결과는 항 행지원시설에 대한 사이버 보안 관리 체계 개선을 위한 기초자료로 사용될 수 있다.

오늘날 선박의 운항시스템에는 고도의 정보통신기술이 적용된다. 이는 선박 운항의 경제성, 안전성, 친환경성을 향상시키는 반면에, 선박 사이버보안에 대한 위험성을 증가시켜 사이버보안 사고의 원인으로 작용한다. 선박 사이버보안 사고는 선박 및 항만의 운영시스템을 중단시킬 수 있으며, 복구 및 정상화를 위한 많은 시간과 비용 등의 막대한 피해를 발생시킨다. 최근 국제해사기구 및 각국의 선급은 선박 사이버보안 강화를 위하여 선박 사이버보안에 대한 지침을 개발하여 배포하였고, 이를 이행하도록 함으로써 법적 강제성을 부여하고 있다. 그러나 현재 우리나라의 경우 선박 사이버보안 관련 법제는 부재한 상태이며, 선박 사이버보안 사고에 대한 체계적인 대응이 미흡한 수준이다. 따라서 선박 사이버보안을 강화하기 위한 법적 근거를 마련할 필요성이 제기되고 있으며, 이를 위한 관련 법제의 정비가 시급한 시점이다. 이 연구는 선박 사이버보안을 강화하기 위하여 관련 법제를 정비함으로써 체계적 대응의 기반을 마련하는 것을 목적으로 한다. 이를 위해 선박 사이버 보안에 대한 국제적인 대응 즉, 국제해사기구, 선급, 해운 산업계 및 주요 해운국의 동향을 조사하였고, 우리나라의 사이버보안 관련 법제의 문제점을 도출하여, 효과적인 법제적 대응을 위한 개정방안을 제시하였다.

Small and medium-sized enterprises(SMEs) continue to adopt ICT to gain an edge in organizational innovation and competition. This has a management advantage, but it also brings vulnerabilities as to cyber security. Therefore, the purpose of this study is to conduct an exploratory study on the cyber security situation of SMEs. A survey was conducted on Korean SMEs to determine how well they are connected to ICT and how much they are exposed to cyber security threats. The results suggest two things. First, Korean SMEs are well connected to ICT, but there is a gap between the actual adoption and human recognition of its importance. Second, security threats and breaches affect the majority of SMEs, but several problems including costs have not been properly evaluated. The results of this study are expected to help improve the cyber security management system of Korean SMEs.

The mandatory installation of the ECDIS (Electronic Chart Display and Information System) became an important navigational equipment for navigation officer. In addition, ECDIS is a key component of the ship's digitalization in conjunction with various navigational equipment. Meanwhile, cyber-attacks emerge as a new threat along with digitalization. Damage caused by cyber-attacks is also reported in the shipping sector, and IMO recommends that cybersecurity guidelines be developed and included in International Security Management (ISM). This study analyzed the cybersecurity hazards of ECDIS, where various navigational equipment are connected. To this end, Importance-Performance Analysis (IPA) was conducted on navigation officer using ECDIS. As a result, the development of technologies for cyber-attack detection and prevention should be priority. In addition, policies related to ‘Hardware and Software upgrade’, ‘network access control’, and ‘data backup and recovery’ were analyzed as contents to be maintained. This paper is significant in deriving risk factors from the perspective of ECDIS users and analyzing their priorities, and it is necessary to analyze various cyber-attacks that may occur on ships in the future.

정보통신기술의 발전에 따라 선박과 육상 간의 정보교환은 더욱 빠르고 편리해졌으나 선박정보에 대한 접근이 용이해져 사이 버보안 공격에 대한 우려도 커지고 있다. 선박이 사이버 공격의 피해를 입게 되면 복구하는데 막대한 비용과 시간 손해가 발생하며, 해사 산업계는 선박 사이버보안 책임자를 지정하여 보안관리 업무를 담당할 것을 요구하고 있다. 공격의 피해를 줄이고 효과적인 대응을 위하여 선박 사이버보안 책임자를 위한 전문적 교육과정이 필요하다. 이 연구의 목적은 선박 사이버보안 책임자 교육과정과 법제정비 필요성 제시에 있으며, 이를 위해 국내외 동향 및 사고사례, 주요 사이버보안 교육과정을 조사하였다. 조사결과를 바탕으로 선박 사이버보안 책임자에게 필요한 표준교육과정을 개발하였고 관련 법제정비의 방향성을 제시하였다. 연구의 결과는 향후 선박 사이버보안 책임자 교육과정을 개설하는데 기초자료로 활용될 수 있다.

대한민국은 세계 최초로 5G기술을 상용화하는데 성공하였다. 일부에서는 미비한 기술로 너무 서둘렀다는 비판도 제기하고 있지만 ‘경제전쟁’이 라는 용어가 일상화된 국제질서에서 불가피한 선택이었음은 분명하다. 5G기술은 우리의 혼자 힘으로 이룩한 것이라고 보기 곤란하다. 그 안에는 여러 국가의 기술과 제품이 혼재되어 있다. 이는 보안취약점을 노출 하는 위험성을 가지고 있다. 이미 여러 차례 북한으로부터 사이버공격을 받은 우리에게 5G는 역설적이게도 새로운 위협으로 다가올 수 있다. 미국이 중국의 특정회사를 지목하여 퇴출에 가까운 조치를 취한 것은 이러한 위험성을 새롭게 인식시키는 계기가 되었다. 최근 정부는 이러한 사이버안보문제에 대한 대책으로 지난 4월 청와대 국가안보실에서 ‘국가사 이버안보전략’을 발표했다. 5G기술에 필요한 기술이나 제품을 다른 국가의 기업에 의존할 수밖에 없는 것이 어쩔 수 없는 현실임을 감안한다면, 이를 적절하게 관리하고 통제하기 위해 일정한 국제협력이 반드시 필요하다. 5G표준화를 선도하여 국가경쟁력을 높이고 미래산업을 육성하기 위해서도 더욱 필요하다. 그러나 반대로 국제협력을 통해 5G기술의 취약점이 노출되지 않도록 조심해야한다. 결국 초연결로 만들어질 5G사회를 안전하게 관리하고 관련 산업분야를 발전시키기 위해서라도 국가의 사이버안보를 관리하는 주체가 마련되고 이를 법제화해야한다. 이를 위해 체계적인 관리방안을 마련 해야한다. 이미 우리의 삶에 밀접하게 다가오기 시작한 AI기술과 자율주행기술은 과거 우리가 경험했던 사이버테러와는 전혀 다른 피해규모를 가져올 개연성이 충분하다. 이를 미리 예방하고 대비하기 위해서 더욱 안보적인 관점으로 이에 접근할 필요성이 있다. 현재와 같이 관련기관이 모여 피해상황을 파악하고 해결방안을 마련하는 방식으로는 적절한 대응이 어렵다. 이제 시작된 5G의 상용화로 발생할 수 있는 안보상 문제점 등을 미리 파악하고 현장에서 즉시 대응하는 방식으로 조직체계를 재정비하고 이를 뒷받침하는 법률을 제정할 시점이다.

오늘날 사이버 테러리즘과 관련된 사이버 안보는 복잡한 성격을 가진다. 이러한 복잡성은 사이버 공간이 가지는 국가주권의 공간이자 글로벌사회의 공동자산이라는 이중적 성격 때문이다. 사이버 공간이 가지는 네트워크로 연결된 글로벌 사회의 공통의 자산이라는 특성은 국가 간의 협력과 연대 때로는 기업과 민간, 국제기구 등을 포함한 다양한 이해당사자와의 연대와 협력을 필요로 한다. 동시에 사이버 공간의 정치, 경제, 군사, 사회, 문화적 속성은 국가주권과 국가역량에 심각한 영향을 미친다. 이러한 속성은 국가 행위자들에게 사이버 공간 상에서의 패권경쟁과 국가주권보호의 문제를 야기한다. 사이버 안보경쟁과 협력의 문제를 더욱 복잡하게 만드는 것은 이러한 사이버 안보문제가 오프라인에서의 전통적인 지정학적 패권경쟁과 협력의 문제와 연결되어 있다는 사실이다. 이 글은 오늘날 벌어지는 사이버 공간상에서의 신냉전의 충돌과 협력의 문제를 이해하고자 시도한다. 이를 위해 새로운 공간 환경인 사이버 공간이 가지는 특성들이 어떻게 기존의 전통적 지정학 공간에서 펼쳐졌던 핵안보 경쟁과 다른 차별성을 사이버 안보 경쟁에 부여하는지를 살펴볼 것이다. 그리고 이를 토대로 미국과 러시아 등과 같은 주요 사이버 전력의 강대국들이 어떻게 자신들의 군사전력과 태세를 혁신시키고 있는지를 살펴볼 것이다. 더불어 사이버 안보와 관련된 법적, 정책적, 전략적, 그리고 문화적 논의와 제안들이 이루어질 것이다.

최근 일련의 개인정보보호법령의 강화는 불가피하게 정부의 활동, 특 히 정보수집을 핵심 기능으로 하는 정보기관에 의한 사이버안보 활동에 제약을 가하게 된다. 결국 개인정보보호를 통한 개인의 권리의 보장과 국가안보를 위한 사이버안보활동의 보장이라는 두 가지 법익의 충돌을 적절히 조화할 필요가 생겨난다. 이러한 문제의식을 바탕으로 이 글에서 는 과거 및 현행 개인정보보호법령에서 사이버안보 활동에 대하여 어떻 게 규율하고 있는가를 살펴본 후 주요 국가에서는 어떻게 이를 다루고 있는지를 비교법적으로 검토하여, 최종적으로 바람직한 개인정보보호법 령의 규율태도를 도출하고자 시도하였다. 결론적으로 개인정보보호와 사 이버안보는 서로 긴장관계에 있으면서도 불가분의 관계에 있다. 사이버 안보를 꾀하기 위해서는 개인정보의 처리가 불가피하지만, 개인정보보호 를 함으로써 사이버안보도 도모할 수 있으며, 사이버안보가 확보되면 개 인정보보호도 함께 이루어질 수 있는 긴밀한 관계이다. 또한 사이버안보 는 국가안전보장이라는 측면에서도 매우 중요한 부분을 차지하고 있기 때문에 사이버안보를 위한 개인정보의 처리는 적절한 범위에서 허용할 필요가 있다. 이처럼 개인정보보호와 사이버안보는 적절한 균형관계를 꾀하여야 한다. 즉, 사이버안보를 위한 개인정보처리의 근거는 현재처럼 유지하면서도, 사이버안보 활동 과정에서 개인정보가 부당하게 침해된 경우에 적절한 구제가 이루어질 수 있는 체계를 유지하는 것이 필요하 다. 이런 관점에서 현행 개인정보보호법 상 개인정보분쟁조정위원회에 의한 개인정보분쟁해결 규정을 적용제외한 것을 재고하거나 아니면 다른 적절한 구제절차를 마련토록 하는 것이 필요하다. 또한 미국 대통령 정 책 지침에서와 같이 정보기관 내부적으로 자율적인 통제가 이루어지기 위한 법적 기반을 강화하는 정책을 추진하는 것도 바람직한 방향이다. 이런 관점에서 현행 「국가정보보안 기본지침(국가정보원)」, 「보안업 무규정」, 「국가사이버안전관리규정」의 제정 및 운영은 하나의 중요한 법적 기반이 될 수 있다.

본 연구는 사이버게임 로그인에 관한 인증 보안의 형태를 분석하고 사전차단시스템 및 도용방지효과, 그리고 범죄방지의 측면에서 인증 보안 알고리즘을 적용해 본 연구이며 이 결과는 사이버게임 로그인과 사이버 공간상에서 이루어지는 모든 형태의 ID와 Password 입력 보안 체계를 재정립 하는데 도움이 되고자 그 초점을 맞추었다. 인터넷에 연결된 시스템은 항상 보안의 위협에 노출되어 있으므로 현재 사용되고 있는 보안의 개념을 개선하여 각각의 방화벽계층을 두껍게 함으로써 철저한 개인 정보 보안을 유지해 보고자 함에 그 목적을 두었다.

우리나라에서는 지난 7월에 정부기관에 대한 무차별적인 DDoS공격을 받아서 정보통신망 시스템에 장애를 야기하여 사회기능이 일시 마비된 경우도 있었다. 해킹을 비롯하여 악성 바이러스 및 봇 등 사이버테러에 의하여 정보통신망을 안전하게 보호하기 위한 법제도적 문제점을 시정하기 위하여 독일의 정보통신망보호법제의 주요 내용과 정보보안업무를 담당하는 행정조직과 기관이 가지는 규제의 종류와 정보보안과 관련한 자율규제 등을 검토하여 우리나라 관련 법제의 개정에 그 시사점을 찾고자 하는 것이 본 연구의 목적이다.독일의 경우 정보보안기관은 민간부문과 공공부문간 수평적으로 긴밀하게 협력하도록 되어 있다. 우리나라도 이러한 세계적인 정보보안정책의 추세에 맞추어서 정보통신망의 안전성 보호를 위해서 정부가 일방적으로 정보를 독점하는 형태에서 정부, 민간이 상호 공동의 대응체계를 갖출 수 있도록 법적 제도적 장치가 필요하다고 할 것이다.또한 정보통신망의 안전성에 관한 자율규제에 있어서도 인터넷서비스 자율규제기구의 국제협력지원을 강화하여 국내 인터넷서비스기업의 글로벌 경쟁력확보를 위해 정부가 주도적으로 해외 주요국 자율규제기구와의 협력추진 및 지원을 아끼지 말아야 할 것이다. 그리고 정부는 인터넷 이용자보호 및 자율규제 활성화를 위해 자율규제에 적극적으로 참여하는 사업자에게 다양한 혜택을 부여하여야 하고 사업자는 자율규제활동에 적극적으로 참여하여 정부와의 신뢰를 구축함으로써 기업의 사회적 역할과 책임을 수행하여야 할 것이다.

The licensee of nuclear facilities in the Republic of Korea should ensure the functionality of Critical Digital Assets (CDAs) is maintained and minimize the negative impact of cyber-attacks by establishing a cyber security contingency plan. The contingency plan should include detailed response guidelines for each stage of detection, analysis, isolation, eradication, and recovery and comply with the requirements specified in KINAC’s “Regulatory Standard 015 - Security for Computer and Information System of Nuclear Facilities”. However, since the cyber security contingency plan describes the overall response guidelines for CDA, it may be difficult to respond practically to cyberattacks. This paper suggests a method to address this issue by performing exercises based on the classification of CDA types. CDAs in nuclear facilities can be classified according to their characteristics. The criteria for classifying CDA types include whether the asset is a PC, whether communication ports (RS-232, 422, 485) exist, whether storage devices can be connected through USB/memory card ports and whether internal settings can be changed through HMI devices such as built-in buttons. By classifying CDA types based on the proposed criteria, the attack vectors of CDAs can be defined. By defining the attack vectors, a list of cyber-attacks that CDAs may face can be created, and abnormal symptoms of CDAs resulting from the listed cyber-attacks can be defined. By using the defined abnormal symptoms of CDAs, the response measures of detection, analysis, isolation, eradication, and recovery can be concretized and reflected in the contingency plan. This may enable a more practical emergency response. This paper presents an improvement to the cyber security emergency response plan through the definition of cyber-attacks based on the classification of CDA types. By improving the contingency plan for CDAs as a whole using the proposed method, it is expected that more effective response measures can be taken in the event of a cyber-attack.

Nuclear Safety and Security Commission (NSSC) and KINAC review a Cyber Security Plan (CSP) by「ACT ON PHYSICAL PROTECTION AND RADIOLOGICAL EMERGENCY」. The CSP contains cyber security implementation plans for the licensee’s nuclear power plant, and it shall meet the requirements of KINAC/RS-015, a regulatory standard. The KINAC/RS-015 provides more detailed information on the legal requirements, so if licensees implement cyber security under the approved CSP, they can meet the law. To protect nuclear facilities from cyber-attacks, licensees should identify their essential digital assets, so-called “Critical Digital Assets” (CDAs). Then, they apply cyber security controls (countermeasures for cyber-attacks) on CDAs consisting of technical, operational, and management security controls. However, it is hard to apply cyber security controls on CDAs because of the large amounts of CDAs and security controls in contrast to the shortage of human resources. So, licensees in the USA developed a methodology to solve this problem and documented it by NEI 13-10, and US NRC endorsed this document. The main idea of this methodology is, by classifying CDAs according to their importance, applying small amounts of security controls on less important CDAs, so-called non-direct CDAs. In the case of non-direct CDAs, only basic cyber security controls are applied, that is, baseline cyber security controls. The baseline cyber security controls are a minimum set of cyber security controls; they consist of control a) from control g) a total of 7 controls. Although non-direct CDAs are less critical than other CDAs (direct CDAs), they are still essential to protect them from cyber-attacks. This paper aims to suggest a cyber security enhancement method for non-direct CDAs by analyzing the baseline cyber security controls. In this paper, baseline cyber security controls were analyzed respectively and relatively and then concluded how to apply small amounts of cyber security controls on non-direct CDAs rather than direct CDAs without scarifying cyber security.

Nuclear power plants (NPPs) are designed in consideration of redundancy, diversity, and independence to prevent leakage of radioactive materials from safety of view, and a contingency plan is established in case of DBA (Design Basis Accident) occurrence. In addition, NPPs have established contingency plans for physical attacks, including terrorist intrusions and bomb attacks. However, the level of contingency plan caused by cyberattacks is quite insufficient compared to the contingency plan in terms of safety and physical protection. The purpose of this paper is to present the problems of cyberattack contingency plan and methods to supplement it. The first problem with cyberattack contingency plan is that the initiating event for implementing the contingency plan is undecided. In terms of safety, the DBA is identified as an initial event, and each contingency plan is based on the initial events specified in the DBA such as Loss of Coolant Accident and Loss of Offsite Power. In terms of physical protection, each has a contingency plan by identifying bomb attacks and terrorist intrusions in Protected Area and Vital Area as initial events. On the other hand, in the contingency plan related to a cyberattack, an initial event caused by a cyberattack is not identified. For this, it is necessary to classify the attack results that may occur when the CDA is compromised based on the attack technique described in Design Basis Threat. Based on this, an initiating event should be selected and a contingency plan according to each initiating event should be established. The second problem is that there is no responsibility matrix according to the occurrence of the initiating event. From a safety point of view, when a DBA occurs, the organization’s mission according to each initial event is described in the contingency plan, and related countermeasures are defined in case of an accident through Emergency Operation Procedure. In the case of physical protection, referring to IAEA’s Regulatory Guide 5.54, the organization’s responsibility is defined in matrix form when an initial event such as a bomb attack occurs. In this way, the responsibility matrix to be carried out in case of initiating events based on the defined initial event should be described in the contingency plan. In this paper, the problems of the cyberattack contingency plan are presented, and for this purpose, the definition of the initial event and the need for a responsibility matrix when the initial event occurs are presented.