2014년 4월 23일 수요일

[투고] 선박 및 해양안전시스템 정보보호 대책 마련 시급


<2012년 1월 13일 밤, 이탈리아 질리오 섬 근처 암초에 부딪혀 좌초해, 32명이 목숨을 잃었던 코스타 콩코르디아호 사고 당시 사진>

우리나라는 3면이 바다로 둘러싸여 있고 수역이 좁은 배타적 경계수역(EEZ)의 특수한 사정으로, 인접한 국가와의 영해침범 분쟁 및 선박충돌사고를 수시로 접하고 있다. 최근 우리나라는 태안반도의 유조선 충돌사고로 인한 해양오염사건, 천안함 침몰사건 등을 통하여 국민들에게 해양사고의 위험성을 주목받고 있다. 해양사고는 해양이라는 특수한 환경에서 복합적 요인의 결합으로 발생하고, 그 특성상 상당한 인적·물적·환경적 피해가 수반되지만, 사고가 발생하고 나면 그 원인을 규명하기 어려운 특징이 있어 사고예방 대책이 매우 중요하다.

최근 건조되는 선박에는 엔진시스템, 선박자동항법장치, 선박자동식별장치, CCTV 등 선내 기자재를 하나의 네트워크로 연결하는 선박통합네트워크(SAN; Ship Area Network) 기술이 적용되고, 바다 한가운데서도 위성을 이용하여 통신서비스를 이용하는 등 IT와 조선기술이 결합되고 있다. 뿐만 아니라 기존에는 선박의 고장 등 장애 발생 시 인접한 항구에 정박하거나 경유할 때 유지보수 요원이 선박에 탑승하여 문제를 해결하던 것을 이제는 육상에서 항해중인 선박의 엔진상태 및 추진상태 등 선박장치들의 운항정보를 위성을 통해 실시간 모니터링하여 통합관리하고, 간단한 고장이 발생하면 원격으로 유지보수 및 소프트웨어 업그레이드 등을 할 수 있는 지능형 디지털 선박개발이 이루어지고 관련 기술이 표준화되고 있다. 또한 선박에 있어서 IT 기반 기술의 활용은 최근 선박이 대형화, 합리화되어 배수량에 비해 승무원의 수가 적어지고 있는 것에 대해 운항의 안전성 및 경제성 확보에 특히 유효한 수단으로 되고 있다.
 
또한 이동통신사업자의 로밍서비스와 선박용 해상중계기의 설치로 육지에서 멀리 떨어진 해상에서도 휴대폰 사용이 가능한데다 스마트폰, 테블릿 등 모바일 환경의 발달로 모바일 기기는 통신용도 뿐만 아니라, 선박운항과 관련된 업무용도에도 사용되고 있다. 선박에 설치된 항해시스템과 승무원과 승객들이 사용하는 PC의 대부분은 육상에서 사용하는 것과 동일한 운영체제와 인터페이스를 갖추고 있으나, 선박이라는 폐쇄된 인터넷 환경의 특성과 정보보안 인식의 부족으로 방화벽과 침입탐지시스템 등의 보안솔루션은 찾아볼 수 없고, 백신소프트웨어 설치 및 운영과 보안업데이트가 미흡한 경우가 많으며, USB 이동식 저장매체 등의 통제는 거의 이루어지지 않고 있다.  

오늘날 해상무선통신 인프라의 핵심적인 역할을 하고 있는 선박자동식별장치(AIS; Automatic Identification System)는 선박에서 안테나, VHF 송수신기, GPS수신기, 선수장비 지시장비, 레이더, 전자해도표시시스템 장비와의 인터페이스, 모니터 등으로 구성되어 SOTDMA(Self Organised Time Division Multiple Access) 방식으로 무선통신과 실시간 브로드캐스팅으로 분당 2,000여척의 선박정보를 송수신하고 선박·선박, 선박·육상간 4G(Ship to Ship, Ship to Shore) 통신으로 선박 운항 상황의 실시간 모니터링 뿐만 아니라 선박의 왕래가 빈번한 항계 내에서 항해자가 신속한 판단을 할 수 있도록 간단한 단문의 통신기능이 내장되어 있고, 선박 보안 감시, 조난 발생 시 신속한 수색 구조, 선박 과거 항적조회, 배타적경계수역(EEZ) 내 자원 관리에도 활용되고 있다. 이와 같은 선박자동식별장치에서 선박의 고유식별번호와 선박명, 선박종류, 실시간 항로, 화물의 형태, 목적항, 입항예정일 등의 정보를 VHF망으로 전송하는 전파를 개인용 컴퓨터의 USB 인터페이스를 이용하여 수신가능한 휴대용 전파수신장비와 선박자동식별장치의 전송정보를 디코딩하는 소프트웨어가 인터넷으로 판매되고 있다. 또 웹페이지를 통해 전 세계 항만에서 운항중인 선박들의 종류와 항로정보를 실시간으로 조회해 볼 수 있는 사이트도 있다. 이를 이용하면 정보를 수집 후 분석한 데이터를 위변조하여 재전송하는데 사용할 수도 있다. 이는 공격타겟이 되는 선박의 정보를 수신하여 다른 선박과 육지 관제센터에 위변조된 정보를 전송하여 오류를 일으키도록 할 수 있어 항해시스템들의 기능을 무용지물로 만드는 것은 물론 선박들의 안전에 상당한 위협이 될 수 있다. 마치 네트워크상에서 해킹수법으로 사용하는 스푸핑(Spoofing) 공격의 원리와 유사하다. 최근에 선박들의 충돌을 방지하고 추적을 위해 사용하는 핵심적인 항해장비인 선박자동식별장치(AIS)가 해킹을 위한 포트스캔에 반응했다는 해외 연구 결과가 발표되기도 하였다.

1997년에 상영된 영화 '스피드 2'에서는, 선박회사의 전직 고용인으로 회사에 불만을 갖고 있던 정신이상자이며 컴퓨터 천재인 가이거(윌렘 데포 분)가 복수의 대상으로 호화 유람선을 선택했으며, 자신의 컴퓨터 기술로 유람선의 정보시스템을 조작하여 항로를 바꿀 수도 멈출 수도 없게 만들어 놓아 항구로 돌진하게 하였다.

2011년 3월 22일 전남 진도 연안 해상교통관제센터(VTS; Vessel Traffic management System) 해킹으로 서남해 연안을 감시하는 국가 기간 레이더망이 무력화돼 20일간 이 해역을 통항하는 선박 추적·감시·관제 업무가 이뤄지지 않은 초유의 사태가 벌어졌다. 당시 국가 안보를 위협하는 치명적인 사건으로 국정감사가 이뤄지는 등 세간의 이목이 집중되었다. 해외에서는 멕시코만 인근 해양석유굴착시설이 악성코드에 감염된 기기와 연결되어 시스템이 한때 마비되기도 하였다. 미국 국토안보부(DHS) 산업통제시스템 사이버위기대응팀(ICS-CERT)이 최근 발간한 보고서에 따르면, 2012년 약 40%의 사이버공격이 에너지 기반시설을 목표로 하고 있어 해양석유굴착시설의 해킹을 통한 폭발위험성을 경고하고 있다. 

이처럼 선박과 IT기술의 융합으로 컴퓨터 바이러스, 해킹 등의 외부침입 위험요소와 시스템의 오류로 인해 선박 항해시스템의 안전을 위협받을 가능성이 증가하고 있어 영화에서나 볼 수 있는 해킹에 의한 해양사고가 점점 현실화 되고 있다. 선박 및 해상교통관제시스템의 취약점을 이용한 해킹공격은 육상의 교통사고와 달리 그 피해규모와 환경오염이 막대한 대형사고가 될 수 있고 테러집단으로 부터의 위협이 될 수 있어, 해양안전시스템의 해킹위협은 지금까지 정보유출, 시스템 장애와 같은 해킹사고와 전혀 다른 차원에서 반드시 주목할 필요가 있다. 

작년 STX유럽에서 제조한 22만5천톤 규모의 크루즈선에서는 2,700개의 선실에 승객과 승무원을 포함해 9,400여명의 인원을 수용가능하다. 지난 11월 13일 부산출입국관리사무소에 따르면 올해 부산항의 크루즈선박 입항 횟수는 모두 108차례, 승객은 20만864명으로 집계되었고, 이용 승객은 계속 급증하고 있다. 인천항에도 올해 크루즈선 기항 횟수가 총 112항차로 확정되어 있다. 최근 현대중공업 울산조선소에서는 축구장 3배 만한 크기의 액화천연가스(LNG)선이 제조되는 등 제조되는 선박의 규모가 점점 커지고 있다. 선박의 규모가 증가할수록 안전문제는 더욱 검토해야 할 사항이다. 2012년 1월 13일밤 이탈리아 질리오 섬 근처 암초에 부딪혀 좌초해, 32명이 목숨을 잃었던 크루즈선 코스타 콩코르디아호 사고와 같은 해양사고가 의도적인 항해시스템 해킹공격으로 발생하지 않는다고 아무도 보장할 수 없다.

우리나라가 해양산업과 조선산업에서 영향력을 강화하고 위상을 더욱 증대시키기 위해서는 이제 선박과 해상교통관제센터에서 육상과 동일한 수준의 정보보호 대책을 마련하여 위험관리를 해야 할 것으로 보인다. 특히 관계기관과 선박회사들의 협조로 정보보호를 위한 선박설비기준의 강화 등 제도적 개선과 해양안전 정보보호기술의 개발을 촉구하고 여객선, 대형화물선, 유조선, LNG선, 해양석유굴착시설 등 대형 선박시설에는 일정수준 이상의 정보보호 예산투자와 최고정보보안책임자(CISO)의 의무적인 탑승을 고려해야 할 시점이다.

2014년 4월 21일 월요일

[투고] 연안 여객선 선박용 블랙박스 의무화 시급

이번에 침몰한 세월호에는 선박용 블랙박스(VDR; Voyage Data Recorder)가 설치되지 않아 사고 원인 규명이 늦어지고 있으며, 갖가지 설이 난무하고 있다.
  
VDR은 선박의 주요부에 센서를 설치해 선박의 위치,속도, 레이더 영상 등을 감지하여 저장장치에 기록하는 장치로 항공기의 블랙박스와 유사한 시스템이다.사고가 발생할 경우 다운로드 버튼을 누르면 사고발생12시간 전부터의 기록을 보조기록장치에 따로 보관할 수 있도록 되어있다. 특히 선박이 침몰한 경우에는 사고원인 규명에 사용되기 때문에 임의조작 방지를 위한 보호장치가 설치되어 있고 신속한 회수를 위해 눈에 잘 띄는 색깔과 역반사 물질로 표면이 덮여 있으며 위치표시장치도 설치되어 있다. 이러한 VDR에는 조타실에서 주고 받은 각종 대화와 교신내용 등이 함께 기록되기 때문에 선장을 비롯한 항해사가 운항 중에 조타실에서 주고받은 사소한 내용까지 모두 확인할 수 있다.
  
이번에 세월호가 침몰한 후 해경 등 정부 조사기관은 선장 등을 소환하여 사고원인을 조사하고 있지만 정확한 사고 원인을 밝히는데 어려움을 겪고 있다. 만일 침몰한 세월호에 VDR이 설치되어 있었다면 지금쯤 어떠한 이유로 이렇게 충격적인 일이 벌어졌는지 파악하는데 수월했을 것이다. 또한 선장과 항해사가 자신들의 대화내용이 VDR에 기록되는 것을 알기 때문에 더욱더 신중하고 책임감 있게 행동하였을 것이다.
 
이는 차량용 블랙박스가 대부분 장착된 2011년 법인택시의 교통사고 비율이 2007년에 비해 17.7% 감소한 예에서 단적으로 증명되고 있다. CCTV가 설치되어 있으면 행동을 조심하는 것과 같이 차량용 블랙 박스가 설치되어 있으면 공격적인 운전을 안하게 하는 효과가 있다. VDR이 장착되어 있다면 이러한 효과가 선박에도 당연히 있을 것이다.
 
해양사고가 발생하면 막대한 인적, 물적, 환경적인 피해가 수반된다. 그럼에도 불구하고 바다 한가운데서 선박이 침몰하면 사고 원인규명을 위한 증거를 찾아내기는 상당히 어렵다. 특히 선장과 항해사에게 불리한 상황인 경우 진술에 의존해서 원인 규명을 하는 것은 한계가 있다. 사고 원인이 제대로 규명되지 않으면 지루한 법정 공방이 있을 것이고 제대로 된 피해 배상이 안될 것이다. 재발방지를 위한 대책 수립도 어려울 것이다.
 
VDR은 국제해사기구(IMO)의 해상인명안전 협약(SOLAS)과 우리나라 국토해양부에서 고시한 선박설비기준 제108조의7(항해자료기록장치)에 설치근거를 두고 있어, 국제항해에 종사하는 선박으로 근해구역 이상을 항행구역으로 하는 여객선과 여객선 이외의 선박도 3,000톤 이상의 선박에는 설치를 의무화하고 있다. 하지만 국내 연안에서 운항되는 선박은 의무가 아니어서 대부분 설치하지 않고 있다.
  
사고가 발생하면 무엇 때문에 발생했는지 논란이 많지만 정확한 원인 규명을 하기 위한 시스템 구축은 소흘하다. 원인 규명이 선행되어야 재발 방지 대책이 나올 수 있고, 제대로 된 책임 추궁이 가능하다. 이제 사고 원인 파악에 시간을 허비하지 않도록 VDR 장착을 의무화 하자. 정부는 선주단체, 검사단체(선급 등) 및 여객선사들에게 적극적인 협조를 요청해 국내 연안에서 운행하는 일정규모 이상의 선박에도 VDR 설치를 확대하고, 선박설비기준 등 관련 규정을 개정해야 한다.또한 사고가 발생하면 신속하게 VDR를 수거하는 절차 역시 마련하여야 한다.
  
우리나라는 3면이 바다로 쌓여있어 선박의 이동이 많아 선박 사고도 자주 발생하고 있다. 사고조사를 신속하게 진행하고 철저한 원인 규명과 재발방지를 위해 국내 항행 선박에도 VDR 설치가 반드시 필요하다. 세월호 사고의 비극이 반복되지 않도록 정부의 노력이 절실히 요구된다.

2014년 4월 20일 일요일

DVD/CD Recording Freeware

CDBurnerXP (https://cdburnerxp.se/en/home)

CDBurnerXP is a free application to burn CDs and DVDs, including Blu-Ray and HD-DVDs. It also includes the feature to burn and create ISOs, as well as a multilanguage interface. Everyone, even companies, can use it for free. It does not include adware or similar malicious components.

Screenshot No.0 Screenshot No.1 Screenshot No.2 Screenshot No.3 Screenshot No.4


ImgBurn (http://www.imgburn.com)

ImgBurn is a lightweight CD / DVD / HD DVD / Blu-ray burning application that everyone should have in their toolkit!

ImgBurn supports all the Microsoft Windows OS's - Windows 95, Windows 98, Windows Me, Windows NT4, Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7 and Windows 8 (including all the 64-bit versions). If you use Wine, it should also run on Linux and other x86-based Unixes.

Screenshot - Ez-Mode Picker

Screenshot - Read


Ultimate CD/DVD Burner (http://www.mispbo.com/burner.htm)

Ultimate CD/DVD Burner is a free, easy and simple to use CD and DVD burning solution.With this software you can burn CD-R, CD-RW DVD+R/RW DVD-R/RW discs.

It supports a very wide range of internal and external (USB 2.0 and FireWire) CD and DVD writers. Burn any data, copy any disc, make backups, create astonishing photo CD albums, make ISO CDs with this very easy to handle software!

The interface is intuitive and easy to use. Advanced options are available for those who want to take advantage of them, though they are completely optional, making Ultimate CD/DVD Burner the perfect CD/DVD burner software for users of any experience level


InfraRecorder (http://infrarecorder.org)

InfraRecorder is a free CD/DVD burning solution for Microsoft Windows. It offers a wide range of powerful features; all through an easy to use application interface and Windows Explorer integration.

InfraRecorder is released under GPL version 3.

Main application.



Reentrancy Attack: 블록체인 스마트 컨트랙트의 치명적인 취약점

블록체인 기술이 전 세계적으로 주목받으면서 스마트 컨트랙트(Smart Contract)의 사용이 급격히 증가하고 있습니다. 하지만 그만큼 보안 취약점도 함께 늘어나고 있는데, 그 중에서도 Reentrancy Attack(재진입 공격)은 매우 치명적이고...