The maritime industry carries approximately 90% of global trade. A successful cyberattack on a major shipping company, a port's operational technology, or a vessel's navigation system could disrupt supply chains affecting billions of dollars in commerce. The 2017 NotPetya attack on Maersk—which disrupted the world's largest container shipping company for approximately two weeks (with core IT systems restored in ~10 days) and cost an estimated $300 million—demonstrated that this risk is not hypothetical.

Yet maritime cybersecurity receives a fraction of the attention devoted to financial, healthcare, or energy sector security. Miller et al.'s systematic review is among the most comprehensive assessments of how AI can address the maritime industry's unique cybersecurity challenges—challenges that arise from the intersection of legacy operational technology, remote connectivity constraints, and the physical consequences of digital compromise.

The Maritime Attack Surface

The maritime domain presents a cybersecurity profile unlike any other industry:

Legacy operational technology: Ships operate for 25-30 years. Their control systems—engine management, ballast water, steering, cargo handling—run on operational technology (OT) designed decades ago without cybersecurity considerations. These systems are increasingly connected to IT networks for efficiency and monitoring, creating pathways from internet-facing systems to safety-critical controls.

Satellite dependency: Ships at sea rely on satellite communication for navigation (GPS), weather data, and corporate communication. GPS spoofing—transmitting false positioning signals—can misdirect a vessel, cause collisions, or enable piracy. Satellite communication links are bandwidth-limited and high-latency, constraining the speed and volume of security monitoring data that can be transmitted to shore-based security operations centers.

Crew digital literacy: Maritime crew members are trained in seamanship, not cybersecurity. Phishing attacks, infected USB drives, and social engineering target this knowledge gap.

Regulatory fragmentation: Maritime regulation (IMO, flag state authorities, classification societies) is fragmented across jurisdictions. Cybersecurity requirements are evolving but not yet consistently enforced, creating an uneven landscape where some vessels and ports maintain strong defenses while others remain largely unprotected.

AI for Maritime Threat Detection

Miller et al.'s review identifies three primary applications of AI in maritime cybersecurity:

Network anomaly detection: Machine learning models trained on normal vessel network traffic patterns detect deviations that may indicate intrusion—unusual data flows between the bridge systems and crew personal devices, unexpected outbound communications from OT networks, or traffic patterns consistent with known attack signatures.

Predictive threat intelligence: AI models analyze global maritime threat data—reports of cyber incidents, vulnerability disclosures, threat actor behavior patterns—to predict which types of attacks are most likely to target specific vessel types, routes, or ports. This predictive capability enables proactive defense measures rather than reactive incident response.

Autonomous response: For vessels at sea with limited real-time connectivity to shore-based security teams, AI-driven autonomous response systems can take immediate protective actions—isolating compromised network segments, switching to backup navigation systems, or alerting the crew—without waiting for human security analysts.

Federal Cloud Security Parallels

Temiloluwa et al. examine AI-powered zero trust security for federal cloud systems—a context that shares key characteristics with maritime security: critical infrastructure status, sophisticated threat actors (nation-states), and legacy system integration challenges.

Their framework integrates three AI-driven components:

• Continuous identity verification: AI-powered behavioral analysis that detects credential misuse even when the attacker has valid credentials
• Automated threat intelligence: Real-time integration of threat feeds with AI analysis to prioritize alerts based on relevance to the specific deployment
• Compliance automation: AI tools that continuously monitor system configurations against CISA (Cybersecurity and Infrastructure Security Agency) requirements, flagging deviations before they become vulnerabilities

The parallels to maritime security are instructive: both domains require security systems that operate with limited human oversight, must integrate with legacy systems, and face adversaries with resources and sophistication that exceed typical commercial threats.

Claims and Evidence

<

Claim	Evidence	Verdict
Maritime cybersecurity is a growing critical risk	NotPetya precedent; increasing digitalization of vessels	✅ Well-documented
AI improves maritime threat detection over traditional methods	Miller et al. review multiple studies showing improvement	✅ Supported
Autonomous response is necessary for vessels at sea	Connectivity limitations documented; autonomous response demonstrated in simulations	✅ Supported (rationale clear)
Current maritime cybersecurity regulations are adequate	Multiple gaps identified; IMO guidelines are non-binding	❌ Insufficient
AI-powered security is widely deployed in the maritime sector	Adoption remains early; most vessels lack AI-based security	⚠️ Early stage

Open Questions

Air-gapped OT security: Can AI-based monitoring be deployed on isolated OT networks without introducing new attack surface? The monitoring system itself becomes a potential target.

GPS resilience: Beyond detecting GPS spoofing, how do we build navigation systems that are resilient to it? AI-based multi-sensor fusion (radar, inertial navigation, celestial navigation) may provide redundancy.

Supply chain cybersecurity: Ships interact with ports, suppliers, classification societies, and flag state authorities—each a potential compromise vector. How do we secure the maritime supply chain without impeding the efficiency that digitalization provides?

Crew training at scale: The global maritime workforce exceeds 1.9 million seafarers. How do we deliver cybersecurity training at this scale across diverse cultures, languages, and educational backgrounds?

Insurance and liability: When a cyber incident causes a maritime casualty, who bears liability? How should maritime cyber insurance be priced when the threat landscape evolves faster than actuarial models?

What This Means for Your Research

For cybersecurity researchers, the maritime domain offers a rich and under-studied application context where physical safety consequences (collision, grounding, environmental pollution) create urgency that purely digital security domains lack. The constraints of the maritime environment—limited connectivity, long system lifecycles, crew skill gaps—force creative solutions that may transfer to other constrained domains.

For maritime industry practitioners, the gap between the digitalization pace and the cybersecurity investment pace is widening. AI-driven security tools offer a path to close this gap—but they require investment in network infrastructure, sensor deployment, and crew training that the industry has historically underweighted.

For policymakers, the maritime cybersecurity gap represents a systemic risk to global trade. The IMO's guidelines on maritime cyber risk management (MSC.428(98)) provide a framework, but their non-binding nature limits enforcement. Binding cybersecurity requirements, backed by AI-enabled compliance monitoring, would accelerate the industry's security posture.

면책 조항: 이 게시물은 정보 제공 목적의 연구 동향 개요이다. 학술 연구에서 인용하기 전에 구체적인 연구 결과, 통계 및 주장은 원본 논문을 통해 검증해야 한다.

해상에서의 사이버보안: 해양 산업을 위한 AI 기반 위협 탐지

해양 산업은 전 세계 교역량의 약 90%를 담당하고 있다. 주요 해운 회사, 항만의 운영 기술(OT), 또는 선박의 항법 시스템에 대한 사이버 공격이 성공한다면 수십억 달러 규모의 상거래에 영향을 미치는 공급망 혼란을 야기할 수 있다. 2017년 머스크(Maersk)에 대한 낫페트야(NotPetya) 공격—세계 최대 컨테이너 해운사를 약 2주간(핵심 IT 시스템은 약 10일 만에 복구) 마비시키고 약 3억 달러의 피해를 입힌—은 이러한 위험이 가상의 시나리오가 아님을 입증하였다.

그러나 해양 사이버보안은 금융, 헬스케어, 에너지 부문 보안에 비해 극히 일부의 관심만을 받고 있다. Miller et al.의 체계적 문헌 고찰은 AI가 해양 산업 고유의 사이버보안 과제—레거시 운영 기술, 원격 연결 제약, 디지털 침해의 물리적 결과가 교차하는 지점에서 발생하는 과제—를 어떻게 해결할 수 있는지에 대한 가장 포괄적인 평가 중 하나이다.

해양 공격 표면

해양 분야는 다른 어떤 산업과도 다른 사이버보안 특성을 지닌다:

레거시 운영 기술: 선박은 25~30년간 운항된다. 엔진 관리, 밸러스트 수(ballast water), 조타, 화물 처리 등의 제어 시스템은 수십 년 전에 사이버보안을 고려하지 않고 설계된 운영 기술(OT) 위에서 작동한다. 이러한 시스템들은 효율성 및 모니터링을 위해 IT 네트워크와 점점 더 연결되고 있으며, 이는 인터넷 연결 시스템에서 안전 필수(safety-critical) 제어 장치로 이어지는 경로를 만들어 낸다.

위성 의존성: 해상의 선박은 항법(GPS), 기상 정보, 기업 통신을 위해 위성 통신에 의존한다. GPS 스푸핑(spoofing)—허위 위치 신호를 전송하는 행위—은 선박을 오도하여 충돌을 유발하거나 해적 행위를 가능하게 할 수 있다. 위성 통신 링크는 대역폭이 제한적이고 지연 시간이 길어, 육상 보안 운영 센터로 전송할 수 있는 보안 모니터링 데이터의 속도와 용량이 제한된다.

승무원의 디지털 리터러시: 해양 승무원은 사이버보안이 아닌 항해술 훈련을 받는다. 피싱(phishing) 공격, 감염된 USB 드라이브, 사회공학적 기법은 이러한 지식 격차를 표적으로 삼는다.

규제 분절화: 해양 규제(IMO, 선적국 당국, 선급 협회)는 여러 관할권에 걸쳐 분절되어 있다. 사이버보안 요건은 발전하고 있으나 아직 일관되게 시행되지 않아, 일부 선박 및 항만은 강력한 방어 체계를 유지하는 반면 다른 곳은 대체로 무방비 상태에 놓이는 불균등한 환경이 조성되어 있다.

해양 위협 탐지를 위한 AI

Miller et al.의 문헌 고찰은 해양 사이버보안에서 AI의 세 가지 주요 응용 분야를 식별한다:

네트워크 이상 탐지: 정상적인 선박 네트워크 트래픽 패턴으로 훈련된 머신러닝 모델은 침입을 나타낼 수 있는 편차—선교(bridge) 시스템과 승무원 개인 기기 간의 비정상적인 데이터 흐름, OT 네트워크로부터의 예상치 못한 외부 통신, 또는 알려진 공격 서명과 일치하는 트래픽 패턴—를 탐지한다.

예측적 위협 인텔리전스: AI 모델은 전 세계 해양 위협 데이터—사이버 사고 보고서, 취약점 공개 정보, 위협 행위자 행동 패턴—를 분석하여 특정 선종, 항로, 항만을 표적으로 삼을 가능성이 가장 높은 공격 유형을 예측한다. 이러한 예측 역량은 사후 사고 대응이 아닌 선제적 방어 조치를 가능하게 한다.

자율 대응: 육상 보안 팀과의 실시간 연결이 제한된 해상 선박의 경우, AI 기반 자율 대응 시스템은 인간 보안 분석가의 개입을 기다리지 않고 즉각적인 보호 조치—침해된 네트워크 세그먼트 격리, 백업 항법 시스템으로의 전환, 또는 승무원 경보—를 취할 수 있다.

연방 클라우드 보안과의 유사점

Temiloluwa 외 연구진은 연방 클라우드 시스템을 위한 AI 기반 제로 트러스트(zero trust) 보안을 검토하는데, 이 맥락은 해양 보안과 핵심 특성을 공유한다: 중요 인프라 지위, 정교한 위협 행위자(국가 행위자), 그리고 레거시 시스템 통합 과제가 그것이다.

이들의 프레임워크는 세 가지 AI 기반 구성 요소를 통합한다:

• 지속적 신원 검증: 공격자가 유효한 자격 증명을 보유한 경우에도 자격 증명 오용을 탐지하는 AI 기반 행동 분석
• 자동화된 위협 인텔리전스: 특정 배포 환경과의 관련성을 기준으로 경고를 우선순위화하기 위해 AI 분석과 위협 피드를 실시간으로 통합
• 컴플라이언스 자동화: CISA(사이버보안 및 인프라 보안국) 요구 사항에 따라 시스템 구성을 지속적으로 모니터링하고, 취약점이 되기 전에 편차를 표시하는 AI 도구

해양 보안과의 유사성은 시사하는 바가 크다: 두 영역 모두 제한된 인적 감독 하에서 운용되는 보안 시스템이 필요하고, 레거시 시스템과 통합되어야 하며, 일반적인 상업적 위협을 능가하는 자원과 정교함을 갖춘 적대자에 직면한다.

주장과 근거

<

주장	근거	판정
해양 사이버보안은 증가하는 중대한 위험이다	NotPetya 선례; 선박의 디지털화 가속	✅ 충분히 문서화됨
AI는 전통적 방법 대비 해양 위협 탐지를 개선한다	Miller 외 연구진이 개선을 보여주는 다수의 연구를 검토	✅ 뒷받침됨
자율 대응은 항해 중인 선박에 필수적이다	연결성 제한이 문서화됨; 시뮬레이션에서 자율 대응이 실증됨	✅ 뒷받침됨 (근거 명확)
현행 해양 사이버보안 규정은 적절하다	다수의 격차 확인됨; IMO 지침은 비구속적	❌ 불충분
AI 기반 보안이 해양 분야에서 광범위하게 배포되었다	도입은 초기 단계에 머물고 있으며, 대부분의 선박에는 AI 기반 보안이 없음	⚠️ 초기 단계

미해결 과제

에어갭(air-gapped) OT 보안: AI 기반 모니터링을 새로운 공격 표면을 도입하지 않고 격리된 OT 네트워크에 배포할 수 있는가? 모니터링 시스템 자체가 잠재적 표적이 된다.

GPS 복원력: GPS 스푸핑(spoofing) 탐지를 넘어, 이에 탄력적인 항법 시스템을 어떻게 구축할 것인가? AI 기반 다중 센서 융합(레이더, 관성 항법, 천문 항법)이 이중화를 제공할 수 있다.

공급망 사이버보안: 선박은 항만, 공급업체, 선급 협회, 기국 당국과 상호작용하며, 각각이 잠재적 침해 벡터이다. 디지털화가 제공하는 효율성을 저해하지 않으면서 해양 공급망을 어떻게 보호할 것인가?

대규모 승무원 교육: 전 세계 해양 인력은 190만 명 이상의 선원을 포함한다. 다양한 문화, 언어, 교육적 배경에 걸쳐 이 규모로 사이버보안 교육을 어떻게 제공할 것인가?

보험 및 책임: 사이버 사고가 해양 인명 피해를 초래할 경우 누가 책임을 지는가? 위협 환경이 보험 계리 모델보다 빠르게 진화할 때, 해양 사이버 보험의 가격은 어떻게 책정되어야 하는가?

연구에 대한 시사점

사이버보안 연구자들에게 해양 분야는 풍부하면서도 충분히 연구되지 않은 응용 맥락을 제공하는데, 이 분야에서는 물리적 안전 결과(충돌, 좌초, 환경 오염)가 순수하게 디지털 보안 분야에는 없는 긴박성을 만들어낸다. 해양 환경의 제약—제한된 연결성, 긴 시스템 수명 주기, 승무원 역량 격차—은 다른 제약된 분야로 이전될 수 있는 창의적인 해결책을 강제한다.

해양 산업 실무자들에게 디지털화 속도와 사이버보안 투자 속도 간의 격차는 점점 벌어지고 있다. AI 기반 보안 도구는 이 격차를 좁힐 수 있는 경로를 제공하지만, 산업계가 역사적으로 과소 평가해온 네트워크 인프라, 센서 배포, 승무원 교육에 대한 투자를 필요로 한다. 정책 입안자들에게 있어 해양 사이버보안 격차는 글로벌 무역에 대한 시스템적 위험을 나타낸다. 해양 사이버 위험 관리에 관한 IMO의 지침(MSC.428(98))은 하나의 프레임워크를 제공하지만, 비구속적 성격으로 인해 집행에 한계가 있다. AI 기반 컴플라이언스 모니터링이 뒷받침하는 구속력 있는 사이버보안 요건은 업계의 보안 태세를 가속화할 것이다.