<사진. 뉴욕 항만
출처. KISTI미리안>

미 정부, 해양 사이버안전에 대한 대비가 미흡한 것으로 조사

미국 국토안보부(DHS, Department of Homeland Security)와 산하 관련 기관인 미국 해안경비대(US Coast Guard), 그리고 연방재난관리청(FEMA, Federal Emergency Management Agency), 그리고 기타 다른 연방정부 기관들은 해안 항만 환경에서의 사이버보안 문제를 해결하기에는 역량이 미흡한 것으로 나타났다.

미국 해안경비대가 특정 항구를 중심으로 물리적 보안을 개선하기 위해 다양한 활동과 조정 역할을 전개하고 있지만, 사이버와 관련된 위험과 취약점 등에 대한 준비 태세는 충분히 갖추지 못하고 있다. 해안경비대 관계자는 향후 사이버와 관련된 위험평가를 실시할 계획이라고 했지만, 어떻게 사이버보안 문제를 개선할지에 대한 세부 내용은 공개하지 않았다. 해안경비대가 해안 환경에 대한 사이버 위험을 충분히 평가하기 전까지 항구와 기타 해안 주요 시설을 보호하기 위한 관련 이해당국의 적절한 계획 수립과 자원 배분은 제한될 것으로 보인다.

법령 등에 의해 준비해야 하는 해안경비 계획은 잠재적인 사이버 관련 위협 혹은 취약점에 대한 판별과 해결방안 제시를 규정하고 있지 않다. 그 이유는 해안경비대에서 제시한 가이드에서 사이버 관련 요소에 대한 계획을 개발하도록 하고 있지 않기 때문이기도 하다. 해안경비대 관계자는 2014년에 예정된 개정 가이드에서는 사이버보안과 관련된 필요사항들을 포함할 것이라고 밝혔다. 그러나 전체적인 위험 평가가 없다면 개정 가이드는 해안 환경에서 사이버와 관련된 위험을 충분히 해결할 수 없을 것이다.

어느 정도로 정보를 공유할지에 대한 메커니즘과 공유해야 하는 사이버보안 관련 정보는 다양하다. 특히 해안경비대는 정부 조정 위원회를 설립하여 정부 기관간 정보를 공유하도록 하고 있지만, 어떤 기관이 사이버보안과 관련된 정보를 어느 정도로 공유해야 하는지에 대해 분명하지 않다. 더구나 연방정부 외 민간 기관과 정보를 공유할 수 있는 부문별 조정 위원회는 더 이상 활동하지 않고 있으며, 어떠한 기관이 그 역할을 수행할지 모호한 상황이다. 해안 경비대가 이러한 상황을 개선하기 전까지는 해안경비와 관련된 기관들은 사이버위협에 의한 피해를 입을 수 있는 상황이다.

항만 보안과 관련된 프로그램에서 FEMA는 2013 회계연도에 처음으로 사이버보안 분야에 대한 개선 사항을 도출한 바 있다. 이에 따라 FEMA는 사이버보안과 관련된 제안을 위해 가이드를 발표하였다. 그러나 FEMA는 그 이후 사이버보안과 관련된 사항에 대해 조치가 미흡한 상황이다. 아울러 해안경비대 또한 사이버보안과 관련된 평가와 이를 위한 재정을 확보하지 않은 상태이다. 그 결과 해안 경비와 관련된 사이버위협에 효과적으로 대처하기 위한 능력이 충분하지 않다.

미국 해안 항구는 연간 1조3천억 달러 이상의 화물을 처리한다. 이들 항구는 정보통신 시스템에 의해 운영되는데, 이는 사이버 관련 위협에 매우 취약할 수 있다. 이들 시스템이 만일 제대로 작동하지 않는다면 항만의 운영은 잘 이루어지지 않을 수 있다. 연방정부 기관, 특히 국토안보부(DHS, Department of Homeland Security)와 산업 이해관계자들은 이들 항만 시설을 물리적 위협은 물론 사이버 위협에 안전하도록 협력해야 한다.

미국 회계관리국(GAO, Government Audit Office)은 DHS로 하여금 해안 경비대가 사이버 관련 위협을 평가하고, 이를 토대로 해안보안 강화를 위한 가이드를 만들도록 권고하였다. 아울러 부문별 조정 위원회를 재설립하도록 하였다. 또한 DHS는 FEMA로 하여금 재원 마련을 위한 사이버보안 전문가와의 검토 작업을 진행하고, 아울러 사이버위험 평가를 통해 재원 충당을 추진하도록 GAO는 권고하였다.

■ KISTI미리안 글로벌동향브리핑 http://mirian.kisti.re.kr