마크 스자코니, IHS마킷 저널오브커머스(JOC) 주필
결국 세계 최대 해운사인 머스크라인이 지난 6월 27일 랜섬웨어 공격을 당했다. 터미널은 마비되고 신규 예약은 불발되었다. 이로 인해 사이버 공격이 컨테이너 해운업계 전반에 미칠 위험과 파장이 어느 정도인지 뼈저리게 느낄 수 있게 되었다.
머스크 뿐만 아니라 미국의 대형 제약사 머크(Merck), 우크라이나 정부, 네덜란드 물류업체 TNT 익스프레스 등 각종 기관을 동시다발적으로 공격한 이번 사건은 국제 해운업계도 그 영향력에서 벗어날 수 없으며, 이에 따라 미칠 파장 역시 세계적 규모에 이르게 될 것이라는 점을 보여준다.
사이버 공격을 예방하기 위해 적절한 대응책을 마련하지 않는다면, 지금 아무리 개탄해봤자 말만 무성할 뿐 실질적인 대처는 미비하게 될 것이다. 대형화주(BCO) 및 운송업체 역시 사이버 공격을 완전히 차단할 수 없다는 점을 받아들이고 악천후, 해적, 노사 분규 등 물류운송에 차질을 빚을 수 있는 요소에 악성 사이버 공격도 포함할 필요가 있다.
우선 해운업계는 전략이 필요하다. 브루킹스 연구소(Brookings Institution) 및 EU 산하 네트워크정보보안청에 따르면, 해운업계는 현재 사이버 공격 대비 및 대응책 관련 전략이 부재한 상황이다.
국제 선박 및 항만시설 보안규칙(The International Ship and Port Facility Security code)은 컴퓨터 보안체계를 구축하는 방법에 대한 가이드라인을 제시하고 있지만, 컴퓨터 체계를 규명하는 방식이 비일관적이며 분명하지 않다고 캐나다는 지적했다.
국제해사기구(IMO)는 지난해 해운업계 사이버 위기관리에 관한 임시 가이드라인을 승인한 바 있으나 이는 의무사항이 아닌 자발적 의지에 맡기는 것이라고 법률회사 홀랜드&나이트(Holland & Knight)의 수석 정책 고문 노마 크라옘(Norma Krayem)이 지난 1월 보고서에서 밝힌 바 있다.
미국의 항만은 그나마 나은 편이다. JOC의 자매지인 페어플레이(Fairplay)에 따르면, 미국 해안경비대(US Coast Guard)는 사이버 공격 감시에 대한 위험 인식 및 권고에서 벗어나 실질적인 규제에 나설 것이며, 이러한 내용을 담은 정책 가이드라인을 곧 발표할 것이라고 폴 토마스(Paul Thomas) 해안경비대 예방정책과 부사령관이 지난 3월 개최된 해운 콘퍼런스에서 발표했다.
토마스 부사령관은 "지금 시점은 단순한 문제 인식에서 벗어나 기존의 사이버 체계의 운영 및 관리와 관련한 위험에 제대로 대처하고 이러한 체계에 내재한 위험을 완화하기 위해 사용할 수 있는 거버넌스의 기본 요소들에 초점을 맞출 때”라고 역설했다.
미국 항만시설의 사이버보안을 강화하기 위해서는 더 많은 예산이 필요하다. 미 전역의 항만에서 이를 위해 사용하는 비용은 연간 약 1억 달러. 하지만 물리적 위협에서 디지털 위협으로 문제 해결의 초점을 바꾸려면 현재 예산 수준으로는 부족하다. 미국항만협회(American Association of Port Authorities) 추산에 따르면 적어도 연간 4억 달러가 필요하다.
해운사 역시 사이버 보안 강화에 나설 필요가 있다. 해운사들은 지난 12~18개월 동안 사이버 위협의 가능성에 대해 인지하고는 있었지만, 선뜻 나서서 상태를 점검하거나 보호책을 마련하지는 않았다고 해운업계 사이버보안업체인 사이버킬(CyberKeel)의 라스 옌슨(Lars Jensen) 공동창업자는 지적했다. 옌슨씨는 "(해운사의 사이버 보안 대책은)해운업계에서 강력하게 추진 중인 자동화 및 디지털화와 전혀 맞지 않은 상황"이라고 밝혔다.
그러나 대형화주들이 염원했던 디지털화가 예산 부족으로 실현되지 못했다면, 해운업계의 심각한 부진과 최근의 합병 및 신규 얼라이언스 출범 등으로 인한 자원 유출이 사이버 위협에 대비할 보호 체계를 업그레이드하는 데 어려움을 주었다고 볼 수 있다.
변명이 아니라 실제 상황이 그렇다. 해운업계의 재정 상황이 개선될 때까지 과연 사이버 공격을 막으면서 물류 서비스를 제대로 제공할 수 있을지는 미지수다. 사실 사이버 공격을 막고 물류운송을 제대로 하는 능력이야말로 경쟁적 우위로 작용할 수 있다. 머스크라인이 디지털화에 앞장서려 노력하는 상황에서 정보혁명의 어두운 면이 찬물을 끼얹은 것 같은 이 상황이 안타까울 뿐이다.