IACS UR E26 원문 해석 : Section 4.2.3 Prevention of Malicious Code (Protect)

⚓ IACS UR E26 4.2.3 🛡️ Protect EN+KR 원문 해석본

4.2.3 Prevention of Malicious Code

악성코드 예방 — Protect (보호)

선박 CBS에서 악성코드를 예방하기 위한 요구사항 (UR E26 4.2.3)

Captain Paul · Maritime Cybersecurity

4.2.3

Prevention of Malicious Code — 악성코드 예방

📄 EN ORIGINAL — UR E26 4.2.3

CBSs shall be protected against malicious code.

Protection against malicious code shall include at least:

a) Anti-malware measures shall be implemented on CBSs where technically feasible. Where anti-malware software cannot be installed, compensating countermeasures shall be implemented;

b) Software update processes to remediate known vulnerabilities shall be in place;

c) A process to verify the integrity of software used in the CBSs shall be in place.

🇰🇷 한국어 해석 (Korean Interpretation)

CBS는 악성코드로부터 보호되어야 한다.

악성코드 방지는 최소한 다음을 포함하여야 한다:

a) 기술적으로 실행 가능한 CBS에는 악성코드 방지 수단(Anti-malware) 구현; 설치가 불가한 경우 보상 대책(Compensating Countermeasure) 구현;

b) 알려진 취약점 해결을 위한 소프트웨어 업데이트 프로세스 수립;

c) CBS에 사용되는 소프트웨어의 무결성 검증 프로세스 수립.

🔬 Insights — Maritime Cybersecurity Expert

4.2.3 악성코드 예방

CBS 수준 보안사항으로 선박 수준 아키텍처 관점에서는 N/A. 개별 CBS 공급업체(Vendor)가 AV/EDR 적용 책임. 단, 조선소(시스템 통합업체)는 각 CBS 공급업체가 a)~c) 요건을 충족했는지 검증하고 Type Approval 또는 테스트 결과를 요구하여야 함.

보상 대책(Compensating Countermeasure) 적용 기준

구형 OT 시스템(Windows XP, VxWorks 등 레거시 OS 기반)에는 AV 설치가 불가능하거나 성능 저해 위험. 허용 보상 대책 예시: ① Application Whitelisting(허용 소프트웨어 목록) ② Read-Only 미디어 부팅 ③ 네트워크 격리(해당 CBS를 별도 Zone에 격리) ④ 물리적 접근 통제 강화. 단, 선급 사전 승인 필수.

소프트웨어 무결성 검증 실무

공급업체 제공 해시값(SHA-256 등) 사용 또는 코드 서명(Code Signing) 검증. 업데이트 패키지를 USB로 전달받을 경우 USB 검사 절차(4.2.7 연계) 병행 필수. AIS, ECDIS, VDR 등 Type-Approved 시스템은 공급업체 공식 업데이트 경로 외 수동 패치 금지.

⚓ Captain Paul의 실무 해설 (Practical Insight)

'기술적 실행 가능성' 판단: AV 설치 가능 여부는 CBS 공급업체에 공문(Letter) 요청하여 공식 확인 + 보관 — 선급 감사 시 근거 서류로 활용.

패치 관리 주기 설정: OT 시스템은 IT와 달리 즉시 패치 적용이 어려움(재시작·검증 필요). 연 1~2회 정기 패치 윈도우(항구 정박 중)를 CSMP에 미리 계획.

무결성 검증 기록 보관: 소프트웨어 설치·업데이트 시 해시값 검증 로그를 Maintenance Log에 기록 → Annual Survey 증빙 활용.

🚢 IACS UR E26 — 전체 구조 (26편)

S1 Section 1 — General (Purpose · Scope · Application Date)

S2 Section 2 — Terms and Definitions

S3 Section 3 — Functional Security Elements (5대 기능)

4.1.1 4.1.1 — Vessel Asset Inventory (선박 자산 목록)

4.2.1 4.2.1 — Security Zones & Network Segmentation

4.2.2 4.2.2 — Network Protection Safeguards

4.2.3 4.2.3 — Antivirus / Antimalware / Antispam 현재

4.2.4 4.2.4 — Access Control (접근 통제)

4.2.5 4.2.5 — Wireless Communication (무선 통신 보안)

4.2.6 4.2.6 — Remote Access Control & Untrusted Networks

4.2.7 4.2.7 — Mobile & Portable Devices

4.3.1 4.3.1 — Network Operation Monitoring (네트워크 모니터링)

4.3.2 4.3.2 — Verification & Diagnostic Functions

4.4.1 4.4.1 — Incident Response Plan (침해사고 대응 계획)

4.4.2 4.4.2 — Local / Independent / Manual Operation

4.4.3 4.4.3 — Network Isolation (네트워크 격리)

4.4.4 4.4.4 — Fallback to Minimal Risk Condition

4.5.1 4.5.1 — Recovery Plan (복구 계획)

4.5.2 4.5.2 — Backup & Restore Capability

4.5.3 4.5.3 — Controlled Shutdown / Reset / Roll-back / Restart

5.1 5.1 — Documentation Requirements (ZCD · CSDD · 자산목록 외)

5.2 5.2 — Ship Cyber Resilience Test Procedure

5.3 5.3 — Ship Cyber Security & Resilience Programme

S6 Section 6 — Risk Assessment for Exclusion of CBSs

AI Appendix I — Computer Based System Categories

AII Appendix II — Implementation Reference & Checklist

Captain Paul

Maritime Cybersecurity Consultant | ShipPaulJobs

IACS UR E26/E27 기반 선박 사이버보안 컨설턴트. 조선해양 OT/IT 보안 아키텍처 실무 해설.
— Captain Paul —