해상 운송 시스템에 사이버 위협이 증가함에 따라, 안전한 운항을 보장하기 위한 사이버 복원력의 필요성이 부각되고 있다. 특 히, 자율운항선박과 같은 고도의 기술 융합이 요구되는 스마트선박은 기존보다 더 광범위한 사이버 공격 표면을 가지게 되어 이에 대한 리스크 관리가 필수적이다. 본 연구에서는 스마트선박의 사이버 복원력을 평가하기 위해 국제 표준인 IACS UR E26, E27, IEC 62443, NIST SP 800-160을 분석하고, 이를 통해 스마트선박의 선종과 자율화 수준에 따른 사이버 리스크 평가 및 각각의 리스크에 맞는 복원력 모델 개념을 설계하였다. 특히, 선박의 자율화 수준이 높아질수록 사이버 리스크가 커지므로 이를 반영한 맞춤형 대응 전략을 도출하고 스마트 선박의 사이버 복원력 향상을 위한 성숙도 모델을 제안했다.

현재 과학기술의 발전에 따라 많은 영향을 받고 있는 한 분야로 운송수단의 무인화가 있으며, 이러한 영향은 해상운송분야에도 미치고 있다. 특히 무인선 박의 건조와 운항이 시범단계이지만 현실화되고 있다. 그러나 기술의 발전에 비하여 사이버 공격에 대한 대응은 취약한 실정이며, 이에 따라 사이버 보안 문제 또한 대두되고 있다. 따라서 자율운항선박 상용화 이전에 사이버 위험에 대한 대응도 선결되어야 할 중요한 과제 중 하나라고 생각된다. 본 연구는 향 후 해상 사이버 위험이 불러올 해상운송 법제와의 법리적 문제점에 대한 선행 적 연구로서 기여하고자 하는데 그 목적이 있다. 해상 사이버 위험이 심화되어 감에 따라 제기되는 문제로는 우선 “사이버 공 격에 대응하기 위하여 과거보다 높은 사이버 보안 기준치가 요구되는 현 상황 에서 해상운송인이 ‘전통적인 감항능력주의의무’만을 갖추었을 때, 이는 선박 의 감항성을 갖추기 위한 의무를 다하였다고 볼 수 있는가?”라는 질문이다. 이 를 축약하여 풀어내자면, “사이버 보안은 해상운송인의 감항능력주의의무에 포 함되는 사안인가?” 하는 문제이다. 이와 더불어 해상운송인의 감항능력주의의 무가 인정되었을 경우, “사이버 해킹은 우리 상법상 해상운송인의 면책사유 중 ‘해적행위나 그 밖에 이에 준한 행위’의 범위에 포함될 수 있을 것인가?”라는 질문을 해볼 수 있을 것이다. 그리고 이것이 해적행위로 인정된다면, 해상운송 인은 손해에 대한 책임이 면책된다고 볼 것이다. 그러므로 이 논문에서는 해상 사이버 위험과 관련된 상사법적 주요 쟁점인 해상운송인의 감항능력주의의무로써의 사이버 감항성과 해상운송인의 면책사 유의 포함 여부가 쟁점인 사이버 해적행위에 대한 법리적 고찰을 수행한다.

The digitization of ship environments has increased the risk of cyberattacks on ships. The smartization and automation of ships are also likely to result in cyber threats. The International Maritime Organization (IMO) has discussed the establishment of regulations at the autonomous level and has revised existing agreements by dividing autonomous ships into four stages, where stages 1 and 2 are for sailors who are boarding ships while stages 3 and 4 are for those not boarding ships. In this study, the level of a smart ship was classified into LEVELs (LVs) 1 to 3 based on the autonomous levels specified by the IMO. Furthermore, a risk assessment for smart ships at various LVs in different risk scenarios was conducted The cyber threats and vulnerabilities of smart ships were analyzed by dividing them into administrative, physical, and technical security; and mitigation measures for each security area were derived. A total of 22 cyber threats were identified for the cyber asset (target system). We inferred that the higher the level of a smart ship, the greater the hyper connectivity and the remote access to operational technology systems; consequently, the greater the attack surface. Therefore, it is necessary to apply mitigation measures using technical security controls in environments with high-level smart ships.