<b>1편. ISO 23806:2022 인증 요구사항</b><br/><br/>1. ISO 23806:2022 요구사항<br/>2. ISO/IEC 27000 인증의 개요<br/>3. IMO, 해양 사이버 위험관리에 관한 지침서<br/><br/><b>2편. IAPH, 항만 및 항만 시설에 대한 사이버 보안 지침</b><br/><br/>1. 위험관리 비즈니스<br/>2. 사이버보안과 위험관리<br/>3. 해상 사이버 위협과 결과<br/>4. 조직의 사이버 생태계<br/>5. 위험과 취약점 평가<br/>6. 보호, 탐지 및 완화 조치<br/>7. 정보 공유, 의사소통 및 협력<br/>8. 훈련<br/>9. 사고 대응 및 복구<br/>10. 지속적인 개선과 사이버보안 성숙도<br/><br/><b>3편. IACS, 사이버 복원력에 관한 지침</b><br/><br/>1. 설계 및 구축 목표<br/>2. 자산의 식별<br/>3. 통신과 인터페이스<br/>4. 네트워크<br/>5. 컴퓨터기반시스템 물리적 접근 제어<br/>6. 소프트웨어 보증<br/>7. 원격 접속 (선박 외부에서)<br/>8. 데이터 품질<br/>9. 시스템 복구<br/>10. 검증 테스트<br/>11. 운영 측면 및 관리<br/>12. 선박용 사이버 복원력<br/><br/><b>4편. ICS, 선박 내 사이버 보안에 대한 지침</b><br/><br/>1. 사이버보안 및 위험관리<br/>2. 위협 식별<br/>3. 취약점 식별<br/>4. 가능성 평가<br/>5. 영향 평가<br/>6. 영향 평가<br/>7. 보호 조치 개발<br/>8. 탐지 방법 개발<br/>9. 대응 계획 수립<br/>10. 사이버보안 침해사고 대응 및 복구<br/><br/><b>5편. NIST, Cybersecurity Framework 2.0</b><br/><br/>1. 사이버보안 프레임워크의 개요<br/>2. 사이버보안 프레임워크의 적용<br/>3. 사이버보안 프레임워크 실무<br/><br/><b>6편. 부록</b><br/><br/>1. 해양 및 사이버보안 관련 용어 모음

국제표준화기구(ISO)는 선박의 운항 전반에 걸쳐 안전하고 환경 면으로 건전한 운항에 영향을 미치는 사이버 위험을 식별하고 평가하기 위한 요구사항을 제공하는 ISO 23806:2022 표준을 지난 2022년 11월 발행하였습니다. ISO 23806:2022 선박 사이버안전 인증(Ships Cyber safety Certification)은 해양 경영진이나 회사 또는 기타 식별된 이해관계자(항만 및 항만업체 등)에게 선박의 운영시 효과적인 사이버 위험관리를 지원하기 위해 안전관리시스템(SMS, safety management system)에 포함되거나 참조되도록 설계된 절차에 대한 요구사항과 권장사항을 제공합니다.

국제연합(UN) 산하 국제해사기구(IMO ; International Maritime Organization)는 2017년 6월 개최된 해양안전위원회(Maritime Safety Committee) 제98차 회의에서 사이버 위험 및 위협과 취약성에 대한 인식을 증진하기 위한 긴급한 필요성을 고려하여 IMO Resolution MSC.428(98) 임시지침서를 대체하는 MSC-FAL.1/Circ.3 '해양 사이버 위험관리에 관한 지침서(Guidelines On Maritime Cyber Risk Management)'를 첨부서에 기술된 형태로 승인하였으며, 2022년 6월 개정되었습니다. 이 지침서는 선박을 현재와 미래의 사이버 위협과 취약점으로부터 보호하기 위한 해상 사이버 위험관리에 대한 높은 수준의 권고사항을 제공합니다.

국제선급협회(IACS ; International Association of classification Society)는 2020년 7월 선박의 인도시 사이버 복원력이 서비스 수명 동안 지속적으로 유지할 수 있는 기술 정보를 제공하는 IACS Rec No.166 '해상 사이버 위험관리 지침(Guidelines on Maritime Cyber Risk Management)'를 개발하고 2022년 4월 개정하였습니다. 또한, 안전관리시스템에 사이버 위험(Maritime Cyber Risk Management in Safety Management Systems)을 통합하여 사이버 공격으로부터 보호ㆍ관리하는 프로세스를 통하여 선박의 사이버 복원력에 대한 최소한의 요구사항 UR E26(Cyber resilience of ships)과 E27(Cyber resilience of on-board systems and equipment)을 2022년 4월 배포하였습니다. 이 지침은 2024년 1월 이후에 건조 계약을 체결한 신조선부터 적용됩니다.

국제해운회의소(ICS ; International Chamber of Shipping)는 2020년 12월 선박 내의 관련 규정 및 모범 사례에 따라 적절한 사이버 위험관리 전략을 개발하는 데 도움을 주는 '선박 내 사이버 보안에 대한 지침(Guidelines on Cyber Security Onboard Ships)'를 개발하고 2022년 2월 개정판 Ver 4.0을 배포하였습니다. 이 지침은 사이버보안에 대한 대응 방안을 선박 보안 담당자나 IT 부서장이 아닌 경영자 선에서 정의될 것을 권고하고 있으며 사이버보안 위험에 대한 대응 기술적인 방안과 절차적인 방안을 제시하고 있습니다.

국제항만협회(IAPH ; International Association of Ports and Harbors)는 2021년 10월 IMO MSC-FAL.1/Circ.3에 따른 해상 사이버 위험관리 지침을 보완하기 위해 '항만 및 항만 시설에 대한 사이버보안 지침(Cybersecurity Guidelines for Ports and Port Facilities)'을 통과시켰습니다. 이 지침은 항만 운영의 ??위험과 취약성을 평가하는 방법과 맞춤형 사이버보안 보호, 탐지 및 완화 조치를 구현하여 사이버보안 프로그램을 구성 및 관리할 수 있는 전체적인 접근 방식을 채택하는 방법에 대한 통찰력에 대하여 조직의 경영진에게 제공될 수 있도록 설계되었습니다.

ISO/IEC 27001 정보보안 경영시스템(Information Security Management System; ISMS)은 조직내 정보자산의 위험관리 프로세스를 적용하여 정보의 기밀성(confidentiality), 무결성(integrity), 가용성(availability)을 보존하고, 이해당사자에게 위험의 적절한 관리에 대한 확신을 부여하며, 다양한 조직(기업)환경 내에서 정보보호를 계획, 구현, 전략수립, 유지 보수 및 관리할 수 있는 검증된 프레임워크를 제공하며, ISO는 2022년 10월 3차 개정판을 발행했습니다.

미국 국립표준기술연구소(NIST ; National Institute of Standards and Technology)는 2023년 8월 강력한 사이버보안 프로그램 구축을 위한 표준으로 평가받고 있는 '사이버보안 프레임워크(CSF, Cybersecurity Framework)' 개정을 예정한다고 발표했습니다. CSF 2.0에서는 조직(govern), 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)라는 6가지 주요 기능을 사용하여 성공적이고 전체적인 사이버보안 프로그램의 주요 요소를 설명하고 있으며, 조직 상황, 위험관리 전략, 사이버보안 공급망 위험관리 등과 같은 다양한 측면을 다루는 산업, 정부, 학계, 비영리 조직을 포함하여 모든 규모와 부문의 조직에게 끊임없이 변화하는 사이버보안 환경을 대처할 수 있도록 방향성을 제시하고 있습니다.

해양 선사와 조선사의 정보기술(IT) & 운영기술(OT)에 대한
국제 사이버보안 인증을 위한 실무가이드!

ISO 23806:2022 인증심사원 & 담당자 실무서!

해상 운송 산업과 사업 지원을 위한 통합된 다용도 공급망 네트워크는 제4차 산업혁명에 의해 도입된 다양한 디지털 솔루션으로 크게 혜택을 받고 있으며, 디지털화와 자동화 및 기계 학습 솔루션의 통합은 네트워크로 연결된 정보기술(IT; Information Technology)과 개별 기관의 운영기술(OT; Operational technology) 시스템 간의 증가된 연결성과 생성, 처리, 교환 및 저장되는 대량의 데이터에 의존하고 있습니다.

해상 산업 전반에 광범위한 컴퓨터시스템 적용 및 첨단 ICT 발전으로 IMO의 e-Navigation 도입과 자율운항선박의 개발 등 선박 및 해운산업은 선교시스템, 추진 및 기관 관리 및 전력제어시스템, 화물관리시스템에 대한 사이버시스템의 도입이 가속화되었으며, 이는 선박의 사이버 공격에 대한 위험성이 증가함을 의미하며 사이버보안의 중요성에 대한 국제사회나 IMO의 인식이 고조되고 있습니다.

〈ISO 23806:2022 선박 사이버안전 인증〉 도서는 국제 ISMS 인증심사원, 국내 ISMS-P 인증심사원, 정보보호최고책임자(CISO), 정보보안책임자(CIO, CSO), 현업 프로젝트 컨설턴트, IT & OT 현장 실무 담당자들에게 '국제표준 보안 프레임워크 구축 및 운영'에 대한 방향을 제시해 줄 뿐만 아니라 구체적인 예시를 통해 실무 현장에서 현실적인 문제의 해법을 제시하는 내용들을 수록하였으며, ISO/IEC 27001 인증심사원 규격 범위 확장 연수과정을 대비할 수 있도록 구성했습니다.

〈사단법인 한국사이버감시단〉에서는 생애주기형 시큐리티 인력양성 전략에 맞추어 ‘자격검정센터’에서는 정보보호활용능력, 정보보안관제사, 정보보안진단원, OT보안관리사, 정보보호최고책임관리사, 정보보호·정보보안 전문강사 등 6종의 국내민간자격증을 통해 국내 정보보안 전문인력 배출하고 있습니다.

〈국제사이버보안인증협회〉는 국내 IT 산업의 성장시기인 2000년대부터 활동하는 현장 실무자들이 모여 국내 및 국제 정보보호 인증 관련 표준연구와 논문, 무료 강연 등의 활동을 수행하는 IT 전문가그룹인 비영리민간단체입니다. 본 협회는 IT 분야를 넘어서 제조업 OT 분야의 사이버보안 인증 연구를 통하여 현장실무자들의 권익향상과 글로벌 국제인증 활동을 목표로 나아가고 있으며, 이를 통해 국가 경쟁력 향상에 이바지하고자 지속적으로 노력해 나가고자 합니다.

〈ISO 정보보호연수원〉에서는 ISO 27001, 27017, 27018, 27701 국제표준 인증심사원 연수과정을 통해 양성된 ISO 인증심사원간의 휴먼네트워크 활성화를 통하여 심사원 스스로 경쟁력을 높여 나갈수 있는 전략을 구축 및 운영하고 있습니다. 또한, 정보보호 관련 22종의 전문도서 편찬과 지능정보보안아카데미 운영 등 정보보호 및 정보보안 분야의 초급 인재부터 최정예 인재까지 산업에서 요구되는 실무형 맞춤 인재양성과 글로벌 융합형 인재 배출을 위해 노력하고 있습니다.