IACS UR E26 원문 해석 : Section 4.2.4 Access Control (Protect)

⚓ IACS UR E26 4.2.4 🛡️ Protect EN+KR 원문 해석본

4.2.4 Access Control

접근 통제 — Protect (보호)

선박 CBS에 대한 물리적·논리적 접근을 통제하는 요구사항 (UR E26 4.2.4)

Captain Paul · Maritime Cybersecurity

4.2.4

Access Control — 접근 통제

📄 EN ORIGINAL — UR E26 4.2.4

Access to CBSs shall be controlled.

Access controls shall include at least:

a) Identification and authentication of users;

b) Authorisation of user access rights based on the principle of least privilege;

c) Management of user accounts, including removal of dormant accounts and management of default or shared accounts;

d) Logging of user access activities;

e) Physical access controls to prevent unauthorized access to CBSs.

🇰🇷 한국어 해석 (Korean Interpretation)

CBS에 대한 접근은 통제되어야 한다.

접근 통제는 최소한 다음을 포함하여야 한다:

a) 사용자 식별 및 인증(Identification and Authentication);

b) 최소 권한 원칙(Least Privilege)에 기반한 사용자 접근 권한 부여;

c) 사용자 계정 관리 — 휴면 계정 삭제, 기본(Default)·공유(Shared) 계정 관리 포함;

d) 사용자 접근 활동 로그 기록;

e) CBS에 대한 무단 접근을 방지하기 위한 물리적 접근 통제.

🔬 Insights — Maritime Cybersecurity Expert

4.2.4 접근 통제

CBS 수준 보안사항으로 선박 수준 아키텍처 관점에서는 N/A. 개별 CBS 공급업체가 IAM(Identity and Access Management) 기능 구현 책임. 단, 조선소·선주는 a)~e) 요건 충족 여부를 CBS 공급업체 문서(Type Approval, IEC 62443 인증)로 검증.

최소 권한 원칙 선박 적용 실무

항해사·기관사·IT 담당자별 역할 기반 접근 통제(RBAC) 권고: ① 항해사 → 선교 시스템(ECDIS·AIS) 읽기/쓰기, 기관 시스템 읽기 전용 ② 기관사 → 기관 시스템 전권, 선교 시스템 읽기 전용 ③ IT/사이버 담당 → 관리 콘솔 접근, 운항 시스템 변경 불가. 공급업체 서비스 계정은 작업 완료 후 즉시 비활성화.

Annual Survey — 접근 통제 점검

ClassNK: 사용자 계정 목록 및 휴면 계정 제거 증빙 연 1회 제출. LR: 접근 로그 90일 이상 보관 및 검토 가능성 확인. ABS: 물리적 접근 통제(잠금 장치, 출입 기록) 검사 포함.

📅 Annual Survey 요건 — 선급별 비교

선급

접근 통제 연차 요건

특이사항

IACS UR E26

사용자 계정 관리 + 접근 로그 이행 증빙

a)~e) 5개 항목 검증

ClassNK

휴면 계정 제거 증빙 + 계정 목록 연 1회 검토

기본 계정 패스워드 변경 확인

LR

접근 로그 90일+ 보관 + 검토 가능성 확인

물리적 잠금 장치 점검

ABS

물리적 접근 통제 (잠금·출입 기록) 감사

원격 접근 계정 별도 검토

⚓ Captain Paul의 실무 해설 (Practical Insight)

기본 계정·패스워드 변경 필수: 납품 시 제공되는 기본 계정/패스워드는 시운전(Commissioning) 단계에서 반드시 변경. 변경 사실을 Commissioning 체크리스트에 기록.

공유 계정 원칙적 금지: 'admin' 등 공유 계정은 개인 책임 추적 불가. 불가피한 경우 사용 시마다 로그 기록 + 패스워드 정기 변경.

물리적 보안과 논리적 보안 연계: CBS 캐비닛 잠금(물리) + 콘솔 로그인 인증(논리)을 함께 적용 — 단일 통제만으로는 Audit 지적.

🚢 IACS UR E26 — 전체 구조 (26편)

S1 Section 1 — General (Purpose · Scope · Application Date)

S2 Section 2 — Terms and Definitions

S3 Section 3 — Functional Security Elements (5대 기능)

4.1.1 4.1.1 — Vessel Asset Inventory (선박 자산 목록)

4.2.1 4.2.1 — Security Zones & Network Segmentation

4.2.2 4.2.2 — Network Protection Safeguards

4.2.3 4.2.3 — Antivirus / Antimalware / Antispam

4.2.4 4.2.4 — Access Control (접근 통제) 현재

4.2.5 4.2.5 — Wireless Communication (무선 통신 보안)

4.2.6 4.2.6 — Remote Access Control & Untrusted Networks

4.2.7 4.2.7 — Mobile & Portable Devices

4.3.1 4.3.1 — Network Operation Monitoring (네트워크 모니터링)

4.3.2 4.3.2 — Verification & Diagnostic Functions

4.4.1 4.4.1 — Incident Response Plan (침해사고 대응 계획)

4.4.2 4.4.2 — Local / Independent / Manual Operation

4.4.3 4.4.3 — Network Isolation (네트워크 격리)

4.4.4 4.4.4 — Fallback to Minimal Risk Condition

4.5.1 4.5.1 — Recovery Plan (복구 계획)

4.5.2 4.5.2 — Backup & Restore Capability

4.5.3 4.5.3 — Controlled Shutdown / Reset / Roll-back / Restart

5.1 5.1 — Documentation Requirements (ZCD · CSDD · 자산목록 외)

5.2 5.2 — Ship Cyber Resilience Test Procedure

5.3 5.3 — Ship Cyber Security & Resilience Programme

S6 Section 6 — Risk Assessment for Exclusion of CBSs

AI Appendix I — Computer Based System Categories

AII Appendix II — Implementation Reference & Checklist

Captain Paul

Maritime Cybersecurity Consultant | ShipPaulJobs

IACS UR E26/E27 기반 선박 사이버보안 컨설턴트. 조선해양 OT/IT 보안 아키텍처 실무 해설.
— Captain Paul —