⚓ IACS UR E26 4.3.1 📡 Detect EN+KR 원문 해석본

4.3.1 Network Operations Monitoring

네트워크 운영 모니터링 — Detect (탐지)

선박 네트워크의 이상 징후를 지속 모니터링하는 요구사항 (UR E26 4.3.1)

Captain Paul · Maritime Cybersecurity

4.3.1

Network Operations Monitoring — 네트워크 운영 모니터링

📄 EN ORIGINAL — UR E26 4.3.1

The network operations of the ship shall be monitored.

Network monitoring shall include at least:

a) Detection of anomalous network traffic patterns;

b) Detection of unauthorized connections or connection attempts;

c) Logging of network events with sufficient detail to support incident investigation.

Alerts shall be generated when anomalous or suspicious network activity is detected.

Alert handling procedures shall be documented.

🇰🇷 한국어 해석 (Korean Interpretation)

선박의 네트워크 운영은 모니터링되어야 한다.

네트워크 모니터링은 최소한 다음을 포함하여야 한다:

a) 이상 네트워크 트래픽 패턴 탐지;

b) 무단 연결 또는 연결 시도 탐지;

c) 사고 조사를 지원하기에 충분한 세부 정보를 포함한 네트워크 이벤트 로그 기록.

이상하거나 의심스러운 네트워크 활동이 탐지되면 알람(Alert)을 생성하여야 한다.

알람 처리 절차를 문서화하여야 한다.

🔬 Insights — Maritime Cybersecurity Expert

4.3.1 네트워크 모니터링

권장 솔루션: NMS/SIEM(선박 설치 여부 확인 필요) + IDS(침입 탐지 시스템). NMS는 네트워크 트래픽 기준선(Baseline) 수립 후 이상 탐지(a항) 수행. IDS는 알려진 공격 패턴(Signature) + 행위 기반(Anomaly) 탐지 병행. 옵션: 해당 없음 — NMS·SIEM·IDS가 4.3.1 핵심 3요소.

선박 NMS vs 육상 SIEM 아키텍처

선박 내 NMS 설치 시: 로그를 실시간으로 수집·분석·알람 생성. 육상 SIEM 연동 시: 위성 링크를 통해 로그 전송(대역폭 제한 감안, 요약 이벤트만 전송). 위성 두절 시 선박 NMS가 독립적으로 탐지·알람 기능 유지하여야 함 — 육상 SIEM에만 의존하는 구조는 위험.

Annual Survey — 네트워크 모니터링

ClassNK: 네트워크 이벤트 로그(3개월 이상) + 알람 처리 기록 제출. LR: 이상 탐지 알람 이력 + 조치 결과 검토. ABS: 네트워크 모니터링 도구의 시그니처 업데이트 이력 확인. DNV: NMS 운영 절차서 최신화 및 False Positive 관리 기록 검토.

📅 Annual Survey 요건 — 선급별 비교

선급

네트워크 모니터링 연차 요건

특이사항

IACS UR E26

네트워크 이벤트 로그 + 알람 처리 절차 증빙

4.3.1 a)~c) 검증

ClassNK

이벤트 로그 3개월+ + 알람 처리 기록

시그니처 업데이트 주기 확인

이상 탐지 알람 이력 + 조치 결과 검토

조치 불이행 건 원인 분석