Security

항공기 사이버 보안: 과거, 현재, 그리고 미래

Airplane cybersecurity: Past, present, future

대부분의 항공 프로세스가 디지털화되면서 항공사와 항공 산업 전반에서 사이버 보안이 필수 과제로 떠오르고 있습니다. 만약 사이버 범죄자가 항공사나 제3자 벤더의 시스템을 공격할 경우, 안전부터 승객 편의까지 모든 과정이 영향을 받을 수 있습니다.
이러한 보안 강화를 위해 최근 미 연방항공청(FAA)이 항공기 사이버 보안을 강화하는 새로운 규정을 제안했습니다. 이 규정은 "수송용 항공기, 엔진 및 프로펠러의 장비, 시스템, 네트워크가 고의적인 무단 전자 상호작용(IUEI)으로 인해 발생할 수 있는 안전 위험으로부터 보호"되도록 하는 내용을 담고 있습니다. 이 규정이 최종 확정되면 항공사, 제3자 벤더, 승객 등 항공 산업 전반에 걸쳐 큰 영향을 미치게 될 것입니다.

With most aviation processes now digitized, airlines and the aviation industry as a whole must prioritize cybersecurity. If a cyber criminal launches an attack that affects a system involved in aviation — either an airline’s system or a third-party vendor — the entire process, from safety to passenger comfort, may be impacted.

To improve security in the aviation industry, the FAA recently proposed new rules to tighten cybersecurity on airplanes. These rules would “protect the equipment, systems and networks of transport category airplanes, engines and propellers against intentional unauthorized electronic interactions (IUEI) that could create safety hazards.” If finalized, the changes will affect the entire industry, including the airlines, third-party vendors and passengers.

항공 산업의 보안 침해와 사이버 공격 문제

Breaches and cyberattacks prevalent in the aviation industry

수십 년간 사이버 보안 공격과 데이터 유출은 항공 산업 전반에서 끊임없이 발생해 왔습니다. 대표적인 사례로는 9백만 명 이상의 승객 정보가 유출된 캐세이퍼시픽(Cathay Pacific) 사건과 2021년 스타얼라이언스(Star Alliance) 및 원월드(OneWorld) 회원들의 잦은 비행자 정보가 유출된 SITA 사건이 있습니다. 또, 로스앤젤레스 공항 웹사이트가 DDoS(분산 서비스 거부) 공격으로 몇 시간 동안 접속 불가 상태에 빠진 사건도 있었습니다.

2024년 9월 18일 열린 미 의회 청문회에서 마리아 캔트웰 상원의원은 이렇게 경고했습니다.
“현실은 매우 심각합니다. 항공 산업은 지속적인 사이버 공격 위협에 직면해 있으며, 2020년 이후 공격이 74%나 증가했습니다. 항공 부문은 GDP의 5% 이상을 차지하고, 총 1.9조 달러의 경제 활동을 창출하며, 1,100만 개의 일자리를 지원하고 있습니다. 우리는 이러한 사이버 위협을 더 이상 간과할 수 없습니다.”

2024년 글로벌 항공 산업의 사이버 위험 현황 보고서에 따르면 현재 항공 산업의 평균 사이버 보안 등급은 B입니다. 연구 결과, B 등급을 받은 조직은 A 등급 조직보다 데이터 유출 피해를 입을 가능성이 2.9배 더 높다고 합니다. 작은 차이가 큰 결과를 초래할 수 있는 겁니다. 특히, 랜섬웨어 공격이 여전히 주요 위협으로 떠오르고 있으며, Bridewell의 조사에 따르면 지난 1년간 민간 항공 사이버 담당자의 55%가 랜섬웨어 공격을 경험했습니다. 이 중 38%는 운영 중단, 41%는 데이터 손실을 겪었다고 응답했습니다.

FTI 컨설팅의 사이버 보안 부문 매니징 디렉터인 테드 티센은 “항공 산업에서 여전히 사용되는 구형 장비와 시스템은 중요한 업데이트나 최신 프로토콜과의 호환성이 부족해 보안 취약점이 발생할 수 있다”고 지적했습니다. 또한 “항공 산업은 많은 서비스를 외주화하고 있어, 제3자 벤더가 시스템과 네트워크에 접근할 수 있는데, 이 과정에서 새로운 취약점이 생길 수 있다”고 설명했습니다.

티센은 이어 “분산된 근무 환경과 시스템은 공격 표면을 넓히고, 위협 행위자가 악용할 수 있는 접근 지점을 증가시킵니다. 이런 분산 구조는 시스템 보안 유지와 사이버 위협 감시, 무단 접근 차단을 어렵게 만듭니다”라고 덧붙였습니다.

Cybersecurity attacks and data breaches have touched all parts of the aviation industry for the past several decades. Notable incidents include the Cathay Pacific breach which affected more than 9 million passengers’ personal information and the 2021 SITA breach of frequent flyer members, primarily Star Alliance and OneWorld members. The Los Angeles airport website was the victim of a DDoS attack that took its website offline for several hours.

“The reality is stark: our aviation industry is under constant threat from cyberattacks, up 74% since 2020. With the aviation sector contributing more than 5% of our GDP, $1.9 trillion in total economic activity, and supporting 11 million jobs, we have to wake up and take these aviation cyber threats seriously,” said U.S. Senator Maria Cantwell at a September 18, 2024, Congressional Hearing.

Overall, the aviation industry currently receives a B grade, according to The Cyber Risk Landscape of the Global Aviation Industry, 2024 report. Researchers found that the organizations that were ranked at a B were 2.9 times more likely to be victims of data breaches than those with an A rating, illustrating the big impact of seemingly small differences. Ransomware attacks remain a top threat, with recent research by Bridewell finding that 55% of civil aviation cyber decision-makers have admitted to being on the receiving end of a ransomware attack in the past 12 months. When asked about the impact, 38% reported operational disruption and 41% said that their organization lost data.

Ted Theisen, a Managing Director in FTI Consulting’s Cybersecurity practice, said that the prolific use of legacy equipment and systems in the aviation industry lacks the features needed to protect them, such as installing critical updates and compatibility with new protocols. Because the aviation industry often outsources services to third parties, the vendors can access systems and networks, thus introducing vulnerabilities.

“The distributed workforce and distributed systems create an expanded attack surface that increase access points that can be exploited by threat actors,” says Theisen. “This dispersed setup makes it challenging to secure systems, monitor for cybersecurity threats and mitigate unauthorized access.”

항공기 데이터 유출 위험
항공 사이버 보안은 항공과 관련된 모든 시스템의 취약점과 공격을 다루지만, 이번 새로운 규정은 항공기 자체의 사이버 보안에 중점을 두고 있습니다. 비행 위치 정보나 정비 문제 알림 같은 데이터가 항공기에서 네트워크로 전송될 때마다 제3자에 의해 데이터가 유출될 가능성이 있습니다.

비행 중인 항공기에서 끊임없이 데이터가 전송되기 때문에 매일 대량의 중요한 정보가 위험에 노출됩니다. 미국 비즈니스 항공 협회(NBAA)는 승무원과 승객이 사용하는 항공기 내 라우터가 주요 취약점이 될 수 있다고 경고했으며, 특히 라우터 비밀번호를 정기적으로 변경하지 않으면 위험이 더욱 커진다고 지적했습니다.

FAA는 항공기, 엔진, 프로펠러 시스템이 내부 및 외부 데이터 네트워크와 서비스에 점점 더 많이 연결되고 있다는 점이 이번 규정 변경의 중요한 배경이라고 설명했습니다. 정비용 노트북, 공용 네트워크, 휴대전화 등 다양한 경로에서 취약점이 발생할 가능성이 높아진 만큼, 규제 기관과 업계 전문가들은 사이버 보안 위협에 대한 모니터링을 더욱 강화해야 한다고 강조했습니다.

Planes provide opportunities for data breaches

While aviation cybersecurity focuses on vulnerabilities and attacks on all systems involved in aviation, the focus of the new rules is on the cybersecurity of the actual airplane. Every time a piece of data, from flight location to an alert about a maintenance issue, is sent from a plane to a network, it is at risk of being breached by a third party.

Because data is continuously sent from every airplane in flight, a high amount of critical data is at risk each day. The National Business Aviation Association reported that the router on aircraft that provides connectivity to the crew and passengers provides a top vulnerability, especially if the router’s password is not regularly changed.

The FAA stated that the change in how airplanes, along with their engines and propeller systems, are increasingly connected to internal or external data networks and services was a key factor in the new rules. The interconnected designs make it possible for a vulnerability to come from a range of new sources, including maintenance laptops, public networks and cell phones. As a result, regulators and industry professionals must more closely monitor the systems for cybersecurity threats.

항공기 사이버 보안 표준화를 위한 새로운 규정
FAA(미 연방항공청)는 2009년 이후 사이버 보안과 관련된 “특별 조건”을 점점 더 많이 발행해 왔습니다. 이는 새로운 취약점에 대응하기 위해 특정 상황에 적용되는 임시 규정입니다. FAA 항공기 인증 서비스의 웨슬리 무티 전무 이사는 이러한 개별 조건들이 신청자와 규제 당국 모두에게 인증 과정의 복잡성, 비용, 소요 시간을 증가시킨다고 설명했습니다. 이에 따라 FAA는 일반적으로 발생하는 사이버 보안 특별 조건을 통합한 규정 패키지를 제안했으며, 이를 통해 사이버 보안 위협 대응 기준을 표준화하고 인증 비용과 시간을 절감할 계획입니다.

새로운 규정에 따르면, 제품 인증을 신청하는 기업은 항공기의 장비, 시스템, 네트워크가 항공기 안전에 부정적인 영향을 미칠 수 있는 고의적인 무단 전자 상호작용(IUEI)으로부터 보호되도록 해야 합니다.

FAA 공식 문서에 명시된 자산 보호 요구사항은 다음과 같습니다:

1. 시스템, 아키텍처, 내부 및 외부 인터페이스와 관련된 모든 위협 조건을 파악하고, 관련 자산에 미치는 위험의 심각성을 평가할 것.
2. 이러한 취약점이 악용될 가능성을 분석할 것.
3. 단일 또는 다중 계층 보호 메커니즘 설치나 프로세스 제어 등을 통해 취약점을 완화할 것.

New rules aim to standardize cybersecurity on airplanes

Since 2009, the FAA has been increasingly issuing more “special conditions” related to cybersecurity. These are temporary regulations for a specific case to address these new vulnerabilities. Executive Director of the FAA’s Aircraft Certification Service Wesley Mooty stated that each of these disconnects adds to the certification complexity, cost and time for both the applicant and regulators. As a result, the FAA has proposed a rulemaking package that covers the most common cybersecurity special conditions to standardize criteria for addressing cybersecurity threats, which will reduce certification costs and time.

The new proposed rules state that applicants for product certifications must ensure that each airplane’s equipment, systems and networks are protected from IUEIs that may result in an adverse effect on the safety of the airplane.

Here are the requirements for protecting the assets as outlined in the official FFA documentation:

1. Identify all threat conditions associated with the system, architecture and external or internal interfaces, including the severity of the risk on associated assets, such as systems and architecture.
2. Analyze these vulnerabilities to determine the likelihood of exploitation.
3. Mitigate the vulnerabilities, such as installing single or multilayered protection mechanisms or process controls to protect.

새로운 규정의 영향
새로운 규정의 주요 목표는 사이버 보안 기준을 표준화하는 것이지만, 이 규정이 미칠 영향은 그 이상일 것으로 예상됩니다. 제품이 업데이트되어 재인증을 받아야 하는 경우가 아니라면, 새로운 규정은 현재 시장에 있는 제품이 아니라 새로운 제품에만 적용됩니다. 이제 각 제품이 사이버 보안 문제에 대해 특별한 고려를 받지 않게 되므로, 인증 절차가 더 빨라져 새로운 제품들이 더 빠르게 시장에 출시될 것입니다.

또한, 이 규정은 승객 경험에도 간접적인 영향을 미칠 수 있습니다. 사이버 보안 사고가 발생하면 항공사, 공항 또는 제3자 벤더들이 오프라인 상태가 되어 지연이 발생하는 경우가 많습니다. 사이버 보안 프로세스가 표준화되고 취약점이 줄어들면, 승객들이 사이버 관련 사고로 인해 영향을 받을 가능성이 적어질 것입니다.

OPSWAT의 사이버 보안 솔루션 부사장인 이타이 글릭(Itay Glick)은 "더 엄격한 사이버 보안 규정의 시행은 항공사의 운영 비용을 증가시킬 수 있으며, 이는 항공료에 영향을 미칠 수 있습니다"라고 말했습니다. "승객들이 항공사에서 규제 준수 비용을 반영하여 항공권 가격이 다소 오를 수 있지만, 이 새로운 규정의 가장 큰 혜택은 향상된 안전성과 보안이 될 것입니다."

Impact of the proposed rules

While the goal of the new rules is to standardize the cybersecurity criteria, they are expected to have additional effects as well. Unless a product is updated and must be recertified, the new rules only affect new products — not products currently on the market. Because each product no longer must wait for special consideration for cybersecurity issues, approvals will likely be quicker, meaning new products will get to the market faster.

Additionally, the proposed rules may indirectly affect the passenger experience. When a cybersecurity incident occurs, the airline, airport or third-party vendors typically go offline, which causes delays. With standardized cybersecurity processes and reduced vulnerabilities, passengers may be less likely to be affected by cyber-related incidents.

“The implementation of stricter cybersecurity rules may also result in increased operational costs for airlines, which could affect airfare prices,” says Itay Glick, VP at OPSWAT, a cybersecurity solution company. “While passengers may experience slightly higher ticket costs as airlines pass on compliance expenses, the primary benefit of these new regulations will be enhanced safety and security.”

제안된 규정 준비하기

제안된 규정이 의견 수렴과 승인 과정을 거치는 동안, 공항, 제3자 벤더, 항공사 등 항공 관련 기관들은 새로운 지침에 대한 준비를 시작해야 합니다. 새로운 규정이 더 엄격한 기준을 적용하게 되므로, 글릭은 조직들이 사이버 보안 프로토콜, 보안 평가, 사고 대응 전략에 집중해야 한다고 말합니다.

글릭은 "이러한 변화에 대비하기 위해 항공사들은 취약점을 파악하기 위한 종합적인 위험 평가를 진행하고, 직원들의 사이버 보안 인식과 대응 능력을 높일 수 있도록 교육에 투자해야 합니다"라고 말했습니다. 이어서 글릭은 "또한, 위협 탐지와 엔드포인트 보호 같은 고급 기술을 도입하는 것이 중요합니다. 사고 발생을 막기 위해서는 항공사들이 보안 체계를 사전에 강화해 공격을 성공적으로 차단할 수 있도록 해야 합니다."라고 덧붙였습니다.

Preparing for the proposed rules

While the proposed rules are going through the comment and approval process, aviation organizations, including airports, third-party vendors and airlines, should begin planning for the new guidelines. Because the new rules will impose stricter standards, Glick says that organizations need to focus on their cybersecurity protocols, security assessments and incident response strategies.

“To prepare for these changes, airlines should conduct comprehensive risk assessments to identify vulnerabilities and invest in cybersecurity training for employees to enhance their awareness and response capabilities,” says Glick. “Additionally, requirements for advanced technologies like threat detection and endpoint protection are crucial. In order to avoid any incident response requirement, airlines would need to proactively enhance their security posture to avoid a successful attack.”

https://securityintelligence.com/articles/airplane-cybersecurity-past-present-future/

aviation | airlines | FAA | Breach | Cybersecurity | Data Breach