🔬 R&D Note Maritime Compliance IMO Cybersecurity IACS UR E26 / E27

IMO Maritime Cybersecurity: MSC.428(98), Five-Step Risk Framework & IACS UR E26/E27 Compliance Guide

MSC.428(98) 의무화 · MSC-FAL.1/Circ.3 가이드라인 · IACS UR E26/E27 까지 — 해사 사이버 보안 규제 전체 지도

Captain Ethan

Maritime 4.0 · AI, Data & Cyber Security
LinkedIn : https://www.linkedin.com/in/shipjobs/

Research Context

국제해사기구(IMO)는 해양 산업에서 증가하는 사이버 보안 위협을 인식하고, 선박 운항 보호와 사이버 위험 관리를 강화하기 위한 규제를 시행하고 있습니다.

2021년 1월부터 의무화된 MSC.428(98)을 시작으로, MSC-FAL.1/Circ.3 가이드라인, 그리고 선급 기반의 IACS UR E26/E27까지 — 해사 사이버 보안 규제 체계 전반을 체계적으로 정리합니다.

📌 적용 범위

① IMO 사이버 보안 결의안 및 가이드라인 핵심 요구사항
② 5단계 사이버 위험 관리 프레임워크 (Identify → Recover)
③ 적용 대상 선박·항만·선급·조선소 범위
④ IACS UR E26/E27 및 국제 표준과의 연계

---

Ⅰ. IMO Cybersecurity Regulations & Key Guidelines

REG-01

MSC.428(98) — Mandatory Cyber Risk Management

2017년 6월 채택된 결의안으로, 2021년 1월 1일부터 모든 선박은 ISM Code(국제안전관리코드) 내에 사이버 위험 관리를 통합해야 합니다.

📌

사이버 위험 관리는 선박의 안전 관리 시스템(SMS)에 통합되어야 함

📌

IT 및 OT 시스템을 포함한 선박 안전·보안 보호 조치 필수 구현

★ 핵심

선급(Classification Society) 및 기국(Flag State)의 감사를 통한 컴플라이언스 검증 의무화

⚠ ISM Code 내 사이버 위험 관리를 통합하지 않으면 항만국통제(PSC) 점검에서 결함(Deficiency)으로 처리될 수 있음

REG-02

MSC-FAL.1/Circ.3 — Maritime Cyber Risk Management Guidelines

2017년 발행된 가이드라인으로, 선주·조선소·선급·항만 운영자가 효과적인 사이버 위험 관리 전략을 이행할 수 있도록 실질적 지침을 제공합니다.

5대 핵심 원칙

Identify · Protect · Detect · Respond · Recover 기반 위험 관리

IT/OT 통합 보안

정보 기술(IT)과 운영 기술(OT) 시스템 모두를 대상으로 한 보안 조치 요구

산업 전반 인식 제고

해사 산업 전반의 사이버 보안 인식 향상 및 위험 평가 권장

지속적 개선

사이버 보안의 지속적 개선 및 정기 보안 감사 실시 요구

---

Ⅱ. Five Key Cyber Risk Management Principles

IMO는 해운 분야의 사이버 위협을 완화하기 위한 5단계 위험 관리 프레임워크를 제시합니다. 각 단계는 독립적이 아닌 순환적으로 작동합니다.

IDENTIFY

① Identify — 식별

선내 IT/OT 시스템을 파악하고 잠재적 사이버 위협을 평가합니다. 자산 목록화(Asset Inventory), 네트워크 토폴로지 매핑, 취약점 식별이 포함됩니다.

PROTECT

② Protect — 보호

보안 통제, 네트워크 세분화(IT/OT 분리), 데이터 암호화를 구현합니다. 접근 통제(Access Control), 다중 인증(MFA), 정기 패치 관리가 핵심입니다.

DETECT

③ Detect — 탐지

사이버 침입 및 이상 징후를 탐지하기 위한 모니터링 도구를 배포합니다. IDS/IPS, SIEM, OT 네트워크 이상 탐지 시스템 운용이 포함됩니다.

RESPOND

④ Respond — 대응

사이버 공격에 대한 사고 대응 프로토콜을 수립합니다. 비상 대응 절차, 사고 분류(Triage), 관계 기관 보고 체계가 포함됩니다.

RECOVER

⑤ Recover — 복구 ★

운항 연속성을 유지하기 위한 안전한 백업과 시스템 복구 계획을 수립합니다. BCP(Business Continuity Plan), 오프라인 백업, 복구 시간 목표(RTO) 설정이 포함됩니다.

---

Ⅲ. Application — Who Must Comply?

IMO 사이버 보안 규정은 SOLAS(해상인명안전협약) 적용 선박 및 해사 이해관계자 전체에 적용됩니다.

🚢 상선 (500GT 이상)

▸ 컨테이너선 / 유조선 / 벌크선

▸ LNG 운반선 / RO-RO선

▸ 여객선 / 크루즈선 / 페리

🏭 조선·기자재 산업

▸ 선박 IT/OT 시스템 공급 조선소

▸ 항법·자동화 기자재 제조사

▸ OSV / 특수 작업선

🏛 선급·기국

▸ 사이버 보안 컴플라이언스 감사 책임

▸ IACS UR E26/E27 기반 인증 심사

▸ DOC/SMC 발행 시 사이버 항목 포함

🏫 항만·터미널

▸ 스마트 항만 및 선-육 데이터 연결 관리

▸ 자동화 크레인·화물관리 시스템 보호

▸ 항만 커뮤니티 시스템(PCS) 보안

---

Ⅳ. Key Cybersecurity Requirements

REQ-01

Cybersecurity Requirements for Ships

✅ IT/OT 시스템 보호

항법 시스템

ECDIS · GPS · AIS · VDR

추진·전력 시스템

PMS · 엔진 제어 시스템 · BMS

안전·보안 시스템

CCTV · 접근 통제 · 화재 탐지

화물·선박 관리

CMS · 연료 모니터링 · 자동화 시스템

✅ 정책 및 네트워크 보안

SMS 통합

사이버 보안 절차를 선박의 안전 관리 시스템(SMS)에 통합 의무화

크루 교육

승무원 대상 정기 사이버 보안 훈련 및 인식 제고 프로그램 운영

★ 네트워크

IT/OT 네트워크 세분화 + MFA + 정기 소프트웨어 패치 관리

REQ-02

Cybersecurity Requirements for Ports & Terminals

선-육 데이터

Ship-to-Shore Data Exchange 보안
항만 커뮤니티 시스템(PCS) 보안 강화, 전자 데이터 교환(EDI) 암호화

핵심 인프라

스마트 항만 시스템 보호
화물 관리 시스템, 자동화 크레인, 스마트 항만 보안 시스템 전체 보호 의무화

★ MCTI

Maritime Cyber Threat Intelligence Centers
실시간 위협 모니터링을 위한 해사 사이버 위협 인텔리전스 센터 구축 권장

---

Ⅴ. IMO Cybersecurity & Related International Standards

ISM Code

International Safety Management Code
사이버 위험 관리를 선박의 SMS에 통합. MSC.428(98)의 직접 적용 기반

SOLAS Ch.IX

SOLAS Chapter IX
선박 운항 안전 요건의 일부로 사이버 보안 포함. ISM Code 이행 근거 조항

ISO/IEC 27001

Information Security Management Standard
IT 보안 관리 국제 표준. 선박 IT 시스템 보안 관리 체계 구축의 기준점

NIST CSF

NIST Cybersecurity Framework
사이버 위험 평가 및 대응 프레임워크. IMO 5대 원칙과 구조적으로 정합

IACS UR E26/E27 ★

IACS Unified Requirements E26 & E27
국제선급연합회(IACS)가 제정한 선박 사이버 보안 통일 요건. 2024년 1월 1일 이후 신조선 의무 적용. E26(선박 시스템 보안) + E27(선박 기자재 사이버 탄력성) 으로 구성

💡 Field Note

IMO MSC.428(98)은 단순한 규제 준수의 문제가 아닙니다. "사이버 보안을 안전 관리의 일부로 보는 패러다임 전환"을 의미합니다.

특히 2024년부터 신조선에 의무 적용되는 IACS UR E26/E27은, 설계 단계부터 사이버 보안을 내재화하는 Security-by-Design 개념을 해사 산업에 도입하는 전환점입니다. 선주·조선소·기자재사 모두가 공급망 전체에서 이 기준을 함께 이행해야 합니다.

Conclusion & Next

IMO 사이버 보안 규정은 증가하는 사이버 위협으로부터 해사 산업을 보호하고 안전한 선박 운항을 보장하는 데 필수적입니다.

2021년 1월 1일부터 모든 SOLAS 선박의 사이버 위험 관리 의무화, MSC-FAL.1/Circ.3 기반 IT/OT 보호 프레임워크, 그리고 2024년 IACS UR E26/E27 신조선 적용까지 — 규제 강도는 지속적으로 높아지고 있습니다.

선주·조선소·선급·항만 운영자는 사이버 보안 정책을 수립하고 네트워크 방어를 강화해야 합니다. 법적 요건을 넘어, 이는 글로벌 해운 산업의 안전·복원력·지속가능성을 보장하는 기본 과제입니다.

#IMOCybersecurity #MSC428 #MSCFAL1Circ3 #IACSURE26 #IACSURE27 #ISMCode #SOLAS #OTSecurity #SmartShip #MaritimeCyber #ZeroTrust #Maritime40

Captain Ethan

Maritime 4.0 · AI, Data & Cyber Security
OT Security · Smart Ship · IACS UR E26/E27 · IMO Compliance

LinkedIn →