IACS UR E26 원문 해석 : Section 4.2.1 Security Zones and Conduits (Protect)

⚓ IACS UR E26 4.2.1 🛡️ Protect EN+KR 원문 해석본

4.2.1 Security Zones and Conduits

보안 구역 및 컨덕트 — Protect (보호)

선박 내 CBS를 보안 구역으로 분류하고 구역 간 통신(Conduit)을 보호하는 요구사항 (UR E26 4.2.1)

Captain Paul · Maritime Cybersecurity

4.2.1

Security Zones and Conduits — 보안 구역 및 컨덕트

📄 EN ORIGINAL — UR E26 4.2.1

CBSs within the scope of this UR shall be grouped into security zones.

Security zones shall be defined according to the criticality of the CBSs and any existing or required network segregation.

Communication between security zones shall be controlled through conduits.

The security zones and conduits shall be documented in a Zones and Conduit Diagram (ZCD) in accordance with Section 5.1.

Conduits between security zones shall only permit communication that is required for the safe and secure operation of the vessel.

Unauthorized communication attempts between security zones shall be blocked and logged.

🇰🇷 한국어 해석 (Korean Interpretation)

본 UR 적용 범위 내 CBS는 보안 구역(Security Zone)으로 그룹화하여야 한다.

보안 구역은 CBS의 중요도와 기존 또는 요구되는 네트워크 분리를 기준으로 정의하여야 한다.

보안 구역 간 통신은 컨덕트(Conduit)를 통해 통제되어야 한다.

보안 구역 및 컨덕트는 섹션 5.1에 따른 ZCD(Zones and Conduit Diagram)에 문서화하여야 한다.

보안 구역 간 컨덕트는 선박의 안전하고 보안성 있는 운항에 필요한 통신만 허용하여야 한다.

무단 통신 시도는 차단(blocked)하고 기록(logged)하여야 한다.

🔬 Insights — Maritime Cybersecurity Expert

4.2.1 보안 구역 및 컨덕트

필수 솔루션: 방화벽(F/W) — 보안 구역의 논리적 분리를 위한 핵심 장비. 단방향 통신이 요구되는 Critical Zone(Category I)에는 데이터 다이오드(Data Diode) 적용 검토. 옵션: 해당 없음.

권장 솔루션 비교

차세대 방화벽(NGFW, Next-Generation Firewall), 보안 게이트웨이(Security Gateway), L2/L3 보안 스위치 적용 가능. NGFW는 DPI(Deep Packet Inspection) 기능으로 OT 프로토콜(Modbus, PROFINET 등) 필터링 가능 — Category I CBS 적용 시 유용.

Annual Survey 연계 — 보안 구역 요건

ClassNK: 연차검사 시 ZCD 최신화 및 방화벽 룰셋(Ruleset) 변경 이력 확인. LR: 컨덕트 구성 변경 시 즉시 ZCD 갱신 + 선급 사전 통보. ABS: 보안 구역 구성 변경은 중대 변경(Major Change)으로 분류, 사전 승인 필요. DNV: 보안 구역별 'Security Profile(보안 프로파일)' 문서화 요구.

📅 Annual Survey 요건 — 선급별 비교

선급

보안 구역 연차검사 요건

특이사항

IACS UR E26

ZCD 최신화 + 무단 통신 차단·로그 증빙

5.3 Annual Survey 연계

ClassNK

방화벽 룰셋 변경 이력 제출

보안 구역 변경 시 ZCD 재승인

LR

컨덕트 구성 변경 시 사전 통보 + ZCD 갱신

중간 감항검사(Intermediate Survey) 연계

ABS

보안 구역 변경 = Major Change → 사전 승인

CSMS 변경 관리 절차 따름

DNV

보안 프로파일(Security Profile) 문서 검토

F031 ZCD 양식 사용

⚓ Captain Paul의 실무 해설 (Practical Insight)

최소 3개 Zone 구성 권고: Category I (Safety-Critical) / Category II (Operational) / DMZ (외부 인터페이스) + IT Zone(선원 네트워크). Zone 간 경계는 반드시 방화벽으로 분리.

ZCD 작성 시 유의사항: 모든 IP 인터페이스를 ZCD에 표기 — 위성 통신, 외부 점검 인터페이스, USB 포트도 포함. '숨겨진 경로(hidden path)'가 Audit 지적사항 1위.

무단 통신 로그 보관: 방화벽 차단 로그는 최소 90일 이상 보관 (선급별 상이). 로그 위변조 방지(Integrity Protection) 조치 필요.

🚢 IACS UR E26 — 전체 구조 (26편)

S1 Section 1 — General (Purpose · Scope · Application Date)

S2 Section 2 — Terms and Definitions

S3 Section 3 — Functional Security Elements (5대 기능)

4.1.1 4.1.1 — Vessel Asset Inventory (선박 자산 목록)

4.2.1 4.2.1 — Security Zones & Network Segmentation 현재

4.2.2 4.2.2 — Network Protection Safeguards

4.2.3 4.2.3 — Antivirus / Antimalware / Antispam

4.2.4 4.2.4 — Access Control (접근 통제)

4.2.5 4.2.5 — Wireless Communication (무선 통신 보안)

4.2.6 4.2.6 — Remote Access Control & Untrusted Networks

4.2.7 4.2.7 — Mobile & Portable Devices

4.3.1 4.3.1 — Network Operation Monitoring (네트워크 모니터링)

4.3.2 4.3.2 — Verification & Diagnostic Functions

4.4.1 4.4.1 — Incident Response Plan (침해사고 대응 계획)

4.4.2 4.4.2 — Local / Independent / Manual Operation

4.4.3 4.4.3 — Network Isolation (네트워크 격리)

4.4.4 4.4.4 — Fallback to Minimal Risk Condition

4.5.1 4.5.1 — Recovery Plan (복구 계획)

4.5.2 4.5.2 — Backup & Restore Capability

4.5.3 4.5.3 — Controlled Shutdown / Reset / Roll-back / Restart

5.1 5.1 — Documentation Requirements (ZCD · CSDD · 자산목록 외)

5.2 5.2 — Ship Cyber Resilience Test Procedure

5.3 5.3 — Ship Cyber Security & Resilience Programme

S6 Section 6 — Risk Assessment for Exclusion of CBSs

AI Appendix I — Computer Based System Categories

AII Appendix II — Implementation Reference & Checklist

Captain Paul

Maritime Cybersecurity Consultant | ShipPaulJobs

IACS UR E26/E27 기반 선박 사이버보안 컨설턴트. 조선해양 OT/IT 보안 아키텍처 실무 해설.
— Captain Paul —