1. 서론
정보통신기술의 발전과 함께 원자력시설이 사이버위협 가능성이 높아지고 있다[1]. 원자력시설은 국가 핵심 기반시설로서, 사이버 침해 행위가 발생할 경우 방사성 물질 유출, 발전소 운영 중단 등 치명적인 피해를 초래할 수 있다. 특히 원자력시설의 디지털 제어 시스템은 폐쇄적인 네트워크 환경으로 구성되어 있어 물리적 접근이나 내부자 공격을 통한 위협이 더욱 현실적인 문제로 부각되고 있다[2]. 이러한 상황에서 원자력시설의 사이버 보안을 강화하기 위한 체계적이고 실효성 있는 훈련 프로그램이 필요하다.
현재 원자력시설에서 수행되고 있는 사이버보안 훈련은 한국원자력통제기술원(KINAC)을 중심으로 물리적 방호와 사이버보안 평가 업무가 진행되고 있다[3]. 원자력사업자들은 방사능방재법에 따라 사이버 침해에 대응하기 위한 계획을 수립하고, 주기적인 훈련을 통해 대응 역량을 점검하고 있다. 그러나 이러한 훈련은 대부분 도상훈련(Tabletop Exercise)에 그치고 있으며, 실제 시스템 조작과 실시간 대응 절차를 포함하지 않아 실질적인 대응능력 강화에는 한계가 있다는 평가가 지속적으로 제기되고 있다[4].
원자력시설의 도상훈련 방식은 특정 시나리오를 기반으로 대응 전략을 논의하는 형태로 진행된다. 이는 이론적인 이해도를 높이는 데는 효과적이지만, 원자력시설의 디지털 자산과 물리적 환경을 직접 조작하거나 시스템 간 상호작용을 시험할 수 없는 구조적 한계를 가진다. 특히 원자력시설의 주요 시스템인 PLC(Programmable Logic Controller)와 SCADA(Supervisory Control and Data Acquisition) 시스템으로 폐쇄망 구조로 구성되어 있다[5]. 이런 폐쇄망 환경에 접근한 대표적인 사이버 공격 사례는 Stuxnet이 있다. Stuxnet의 동작 방식은 USB를 매개로 PC에 침투한 후, SCADA 시스템과 PLC를 통해 원심분리기의 속도를 제어한 공격 사례이다[6]. 사이버보안 훈련 목적을 위해 실제 산업 제어 시스템(ICS, Industrial Control System)을 직접적으로 조작하는 것은 시스템의 안전성과 공정 운영에 심각한 위험을 초래할 수 있다.
사이버 훈련장은 가상화된 네트워크 환경에서 참가자가 다양한 위협 시나리오를 기반으로 실시간 대응 전략을 학습하고 실행할 수 있도록 설계된 공간이다[7]. 훈련의 실효성을 높이기 위해 모사환경 구축은 훈련장의 핵심 구성 요소로 작용한다. 모사환경 구축은 원자력시설과 같은 주요 디지털 자산과 네트워크 구조를 모방하여 실제 위협 상황을 체험하고 대응 절차를 실행할 수 있는 환경을 제공한다. 그러나 이러한 환경을 완벽히 재현하기 위해서는 높은 비용과 기술적 제약이 따르며, 이는 훈련 환경의 현실성을 제한하는 주요 한계로 작용한다. 이를 해결하기 위해 사용자 PC를 주요 공격 경로로 설정한 PC 기반 모사환경은 현실적인 대안으로 제시된다. PC 기반 환경은 저비용으로 구축이 가능하며, 운영자와 시스템 간의 상호작용을 중심으로 다양한 위협 시나리오를 실행할 수 있다는 장점이 있다.
훈련 내용 설계는 단순히 특정 공격 대응 기술을 익히는 데 그치지 않고, 예방, 탐지, 분석, 대응의 순환적 과정을 포함한 종합적인 사이버보안 활동을 반영해야 한다[8]. 기존의 임무 중심 훈련은 특정 위협에 대한 방어 기술을 익히는 데 효과적이지만, 사전 예방과 사후 복구를 포함한 종합적인 보안 활동을 충분히 다루지 못하는 한계를 가진다. 이러한 한계를 극복하기 위해 훈련 내용을 체계적으로 설계하여 참가자의 수준에 맞는 교육을 제공해야 한다.
결론적으로, 현실적인 PC 기반 모사환경과 종합적인 사이버보안 활동을 반영한 훈련 내용 설계는 사이버보안 훈련의 효과를 극대화하는 핵심 요소이다. 이를 통해 참가자는 실질적인 보안 역량을 강화하고, 다양한 위협 상황에 효과적으로 대응할 수 있다.
본 연구의 목적은 PC 기반 사이버보안 훈련 사례를 훈련 단계별로 제시함으로써, 기존 도상 훈련의 한계를 극복하고, 원자력시설을 포함한 주요 인프라의 사이버보안 체계를 강화하는 데 있다. 이러한 연구는 현실성 있는 훈련을 통해 대응 능력을 높이고, 사이버보안 사고로 인한 국가적 피해를 최소화하는 데 기여할 수 있을 것이다.
본 논문의 구성은 다음과 같다. 2장에서는 원자력시설 사이버보안 훈련 사례와 기존 방법론을 분석한다. 3장에서는 주요 시스템을 반영한 동작기반 모사환경 구축 및 훈련 시나리오 설계를 설명한다. 4장에서는 제안된 환경을 활용한 공격 시나리오별 훈련 절차와 결과를 평가한다. 마지막으로, 5장에서는 연구 결론과 향후 연구 방향을 제시한다.
2. 관련 연구
본 섹션에서는 원자력 시스템의 사이버보안을 강화하기 위해 국내외에서 진행된 주요 훈련 프로그램과 모사환경 구축 사례를 다루며, 각 사례별 특징과 한계점을 분석한다.
IAEA 사이버보안 국제공동연구는[9] 원자력발전소의 사이버보안 강화를 위해 테스트베드를 활용한 연구를 진행하였다. 브라질과 미국 연구팀이 테스트베드와 머신러닝 기반 탐지 기술을 개발했으며, 다양한 공격 시나리오 실험을 통해 탐지 및 대응 기술을 연구하였다. 연구 결과는 사이버보안 훈련과 정책 개발에 적용되었다. 하지만, 개발된 테스트베드 및 기술이 각국 원자력시설의 특수한 환경과 실제 운용 조건을 완벽히 반영하지 못하는 한계가 있다.
KINAC의 사이버보안 훈련[10]은 RS-015(원자력시설 보안 기술기준)를 기반으로 최신 취약점 정보를 활용하여 점검 대상의 취약점을 식별하고, 위험도를 평가한다. 이렇게 도출된 취약한 부분에 대해 적절한 대응 조치를 실습하며, 자동화 점검 도구와 테스트베드 환경을 통해 기술적, 운영적, 관리적 보안조치를 체계적으로 훈련한다. 이를 통해 원자력시설의 특수성을 반영한 취약점 탐지 및 대응 역량을 강화한다. 그러나, RS-015 기반으로 체계적인 훈련을 제공하지만, 훈련 시나리오가 실제 공격 상황의 복잡성과 다양성을 충분히 포괄하지 못할 가능성이 있다.
한국원자력연구원의 Human-In-the-Loop (HIL) 시스템[11]은 원전의 특수성을 반영한 시뮬레이션 환경으로, HMI 로직 변조 공격 시나리오를 통해 운전원이 잘못된 계통 정보를 탐지하고 복구하는 절차를 실습할 수 있도록 한다. 물리적 장치와 사이버 시뮬레이션을 연동하여 참가자가 원전 계통의 복구 절차를 효과적으로 습득할 수 있는 환경을 제공한다. 그러나, HIL 시스템은 원전의 특수성을 반영한 시뮬레이션을 제공하지만, 물리적 장치 기반으로 구축되어 비용 및 확장성이 제한되는 단점이 있다.
기존 원자력시설의 사이버보안 훈련은 도상훈련 방식으로 진행되며, 특정 시나리오를 기반으로 이론적 대응 절차를 논의하는 형태이다. 그러나, 실제 시스템 조작 미흡, 실시간 대응 훈련 부재, 폐쇄망 환경 고려 부족, 기술적 효과 검증 미흡 등의 한계를 가진다.
본 연구는 이러한 문제를 해결하기 위해 PC 기반 동작 훈련 환경을 도입하여, 실시간 대응 및 폐쇄망 환경 내 위협 대응 실습이 가능하도록 설계하였다. 이를 통해, 기존 훈련 방식의 한계를 보완하고, 원자력시설의 현실적인 보안 위협에 효과적으로 대응할 수 있도록 한다.
3. 사이버보안 훈련수행에 필요한 제반사항 도출
3.1 원전 시스템 고려사항
APR1400[12]은 한국에서 개발된 1400MW급 최신 경수로 원전으로, 그림 1과 같이 핵심 시스템은 PLC와 SCADA 기반으로 구성된다. 주요 구성 요소는 발전소 보호와 제어를 담당하는 안전 시스템(Safety Systems)으로 Core Protection Calculator (CPC), Plant Protection System (PPS), ESF-Component Control System (ESF-CCS) 등이 포함되며, 평상시 데이터 처리 및 공정 제어를 위한 비안전 시스템(Non-Safety Systems)으로 Power Control System (PCS), NSSS Process Control System (NPCS), Process-Component Control System (P-CCS), Diverse Protection System (DPS), Information Processing System (IPS) 등이 있다. 또한, 방사선 사고 발생 시 대응을 위한 비상 대응 시스템으로 구성된다.
(그림 1) Instrumentation and Control System Architecture [12]
특히, 비상 상황에서는 PC 기반 사람-기계 인터페이스(HMI)를 통해 경보와 상태 정보를 확인하고 제어 명령을 수행한다. 따라서 원전 사이버 보안 훈련에서는 실제 PLC 및 SCADA 시스템의 동작을 모사하고, PC 중심의 사용자 제어 환경을 구성하여 현실적인 공격 시나리오와 대응 절차를 실습할 수 있도록 해야 한다. 이는 원자력 폐쇄망 환경에서 비안전 시스템이나 비상 대응 시스템과 연결된 PC를 통한 공격 가능성이 높아 이에 효과적으로 대비하기 위함이다.
3.2 단위 구성요소별 사이버보안 고려사항
원전 사이버보안 훈련 환경을 구축하기 위해서는 각 단위 구성요소의 보안 취약점과 공격 경로를 분석하고 이를 기반으로 훈련 시나리오를 설계하는 것이 중요하다. 특히, Windows OS, PLC 플랫폼, 제어 기능 수행 시스템은 주요 공격 대상이 되며, 각각의 구성요소에 대해 고유한 보안 요구사항과 대응 방안을 마련해야 한다.
Windows OS는 주로 PC 기반 HMI 시스템에서 사용되며, 악성코드 감염, 비인가 접근, 네트워크 명령 삽입과 같은 다양한 공격 경로가 존재한다. 이러한 공격은 주로 운영자 PC를 통해 PLC나 SCADA 시스템에 명령이 전달되는 과정에서 발생할 수 있으므로, 사용자 계정 보안 강화와 네트워크 통제가 필요하다.
PLC 플랫폼은 원전 제어 시스템의 핵심 요소로, 펌웨어 취약점, 명령 삽입, 기본 계정 유지 등의 위험이 존재한다. 특히, PLC는 네트워크 기반 공격이 어렵지만, 운영자 PC를 통해 간접적으로 공격이 이루어질 수 있기 때문에 비인가 소프트웨어 설치 차단, 네트워크 격리, 명령 검증 프로세스와 같은 보안 조치가 필요하다.
제어 기능 수행 시스템은 데이터 무결성 훼손과 명령 왜곡과 같은 위험에 노출될 수 있다. 특히, 제어 명령이 PC에서 입력되어 PLC로 전달되기 때문에 PC와 PLC 간의 통신 보안 강화가 중요하다. 암호화 프로토콜 적용, 이상 명령 탐지 시스템 등을 통해 이러한 위협에 대비해야 한다.
결론적으로, 각 단위 구성요소의 보안 취약점을 분석하고 훈련 시나리오를 개발할 때 PC와 PLC/SCADA 간의 상호작용을 중점적으로 다루는 것이 중요하다. 특히, 원전과 같이 폐쇄적인 시스템 환경에서도 PC가 주요 공격 경로가 될 수 있다는 점을 고려한 보안 훈련을 진행해야 한다.
3.3 시스템 혹은 시설 단위의 사이버보안 훈련
원전 시스템은 다양한 구성요소와 네트워크로 연결되어 있으며, 이 중에서도 PC 기반 HMI가 실제 공격 시나리오에서 중요한 역할을 한다. 따라서, 시스템 혹은 시설 단위의 훈련을 위해 PC와 PLC/SCADA 간의 연결을 모사한 환경을 구성하고 단계별 훈련 시나리오를 설계할 필요가 있다.
훈련 시나리오는 탐지 및 분석(Detection and Analysis), 격리, 제거 및 복구(Containment, Eradication, and Recovery), 후속 조치(Post-Incident Activities)의 세 단계로 구성된다. 이러한 단계는 국제 표준인 NIST 사이버보안 사고 대응 프레임워크와 IAEA 원자력 사이버보안 가이드라인에서 제시하는 사고 대응 절차를 바탕으로 설계되었다. 이 단계적 접근은 사이버 사고 발생 시 초기 탐지부터 복구 및 개선까지의 전 과정을 체계적으로 수행할 수 있도록 돕는다.
각 단계별 구체적인 설명은 다음과 같다.
⦁ Stage1(S1): 탐지 및 분석 단계에서는 이상 트래픽 및 비인가 명령을 실시간으로 모니터링하고, 의심스러운 이벤트를 식별한다. 이 단계는 초동 대응을 위해 가장 중요한 단계로, 빠른 탐지가 사고 확산을 막는 핵심 요소이다.
⦁ Stage2(S2): 격리, 제거 및 복구 단계에서는 악성코드가 침투한 시스템을 네트워크에서 격리하고, 위협 요소를 제거한 뒤 시스템을 원래 상태로 복구한다. 이 과정에서 데이터를 복원하고 네트워크 연결을 재설정하여 시스템의 가용성을 확보한다.
⦁ Stage3(S3): 후속 조치 단계에서는 사고의 원인과 영향을 분석하고, 유사 사고 재발 방지를 위해 보안 정책과 절차를 개선한다. 이 단계는 보안 운영의 지속적 개선을 목표로 하며, 사고 이후 조직의 보안 체계를 강화하는 중요한 역할을 한다.
본 논문에서는 이러한 세 가지 단계에 기반하여 공격 시나리오별 훈련 절차를 구성하고, 각 단계에서의 주요 활동과 보안 절차를 평가한다. 이러한 단계적 접근을 통해 원자력시설의 사이버보안 대응력을 실질적으로 향상시키고, 사고 재발을 방지하는 체계를 마련할 수 있을 것이다.
4. 사이버보안 훈련 모사환경 구축
동작 기반 사이버보안 훈련을 위해 표본 모사환경을 구축하고, 이를 활용하여 비인가 Bad USB를 통한 공격 및 방어 시나리오를 설계한다. 본 연구에서는 훈련 절차에 따라 단계별 대응 방안을 제시하고, 시나리오 적용 과정에서 필요한 모사환경 구성 요소와 훈련 방법에 대해 다룬다.
4.1 모사환경 구성 고려사항 도출
범용적인 동작기반 사이버보안 훈련을 위해 PC 기반의 사이버보안 훈련 모사환경을 구축하고, 이를 통해 다양한 실 사례를 다루었다. 본 환경은 주요 시스템에 대한 보안 취약점을 실험하고 대응방안을 검증할 수 있도록 설계되었으며, 훈련은 실제 상황과 유사한 공격 시나리오를 기반으로 진행되었다.
4.1.1 하드웨어 구성
훈련 모사환경의 하드웨어는 Windows PC를 중심으로 구성되었으며, 아두이노를 활용하여 다양한 공격 상황을 재현하고 이를 기반으로 동작을 수행하도록 설계되었다. 아두이노 코드를 통해 Bad USB와 같은 공격 시나리오를 구현하였으며, PC 환경에서 발생 가능한 비인가 명령 실행과 같은 위협을 효과적으로 재현하였다. 이러한 구성은 실제로 사용자가 직접 대응 절차를 수행하며, 동작 기반 훈련의 실효성을 높이는 데 초점을 맞추었다.
4.1.2 소프트웨어 구성
소프트웨어 구성은 아두이노 코드를 활용하여 다양한 공격 상황을 재현하고, 이를 기반으로 훈련 절차를 설계하였다. 각 공격 시나리오는 Bad USB 기반 공격, Command Prompt Bomb 공격, Task Manager 조작 공격으로 구성되며, 이를 통해 다양한 위협에 대한 탐지 및 대응 과정을 훈련하였다. 아두이노 장치는 악성 입력을 모방하는데 사용되었으며, 이러한 환경을 통해 훈련 참가자들은 비인가 명령 실행을 인지하고 차단하는 경험을 쌓을 수 있었다.
4.2 공격 시나리오별 동작기반 사이버보안 훈련
본 절에서는 사이버보안 훈련에 활용된 세 가지 주요 공격 유형을 설명한다. 본 연구에서는 Bad USB 기반 Human Interface Device(HID) 공격, Command Prompt Bomb 공격, Task Manager 조작 공격을 다룬다. 이들은 PC 기반 운영 환경에서 발생할 가능성이 높은 대표적인 보안 위협으로, 특히 원자력시설의 폐쇄망 환경을 고려하여 선정하였다.
원자력시설은 폐쇄망으로 운영되므로 외부 네트워크 침입보다 내부자 위협 및 물리적 접근을 통한 공격 가능성이 더욱 높다. 따라서, 이 연구에서는 USB 기반 공격(Bad USB)과 시스템 명령어 실행을 악용한 공격(Command Prompt Bomb, Task Manager 조작)에 초점을 맞추었다.
본 연구에서는 이러한 세 가지 공격 유형에 대한 단계별 대응 훈련 과정을 상세히 다룬다. 이를 통해 훈련 참여자는 공격의 원리와 대응 절차를 학습하며, 실제 사이버보안 환경에서의 실질적인 대응 능력을 향상시킬 수 있도록 설계되었다.
해당 공격 코드는 Arduino 기반으로 작성되었으며 1)GitHub Repository-USBAttacks에서 확인할 수 있다. Arduino 기반 USB 디바이스를 PC에 연결하면 자동으로 동작하도록 구현되었다. 이러한 설정은 실제 공격 상황과 유사한 환경을 제공하며, 훈련 효과를 극대화하는 데 중점을 두었다. 구체적으로, 공격 코드 구현은 Arduino Code를 사용하였으며, 이는 GitHub를 통해 공개되어 있다.
본 절에서는 사이버보안 훈련에 활용된 3가지 주요 공격 유형인 Bad USB 기반 HID 공격, Command Prompt Bomb 공격, Task Manager 조작 공격에 대해 설명하고, 각 공격에 대한 대응 단계별 훈련 과정을 다룬다. 공격 시나리오와 훈련 단계별 요약은 표 1에 정리되어 있으며, 세부 내용은 이후 섹션에서 자세히 설명한다.
<표 1> 공격시나리오 및 사이버보안 훈련 단계별 훈련 요약표
⦁ Bad USB 기반 HID 공격: USB 장치를 통해 비인가 명령 실행 및 시스템 종료, 데이터 삭제를 유발하는 공격이다.
⦁ Command Prompt Bomb 공격: CMD를 활용해 무한 프로세스를 생성하여 시스템 자원을 고갈시키는 공격이다.
⦁ Task Manager 조작 공격: 작업 관리자를 조작해 주요 프로세스를 종료하여 시스템 불안정을 유발하는 공격이다.
각 공격의 대응 및 훈련 절차는 이후에서 자세하게 다룬다.
4.2.1 Bad USB 기반 HID 공격 시나리오
Bad USB 기반 HID 공격은 USB 키보드 에뮬레이터를 통해 비인가 명령을 실행하거나 악성 배치 파일을 자동 생성하여 시스템을 교란하는 유형의 공격이다. 그림 2는 배치 파일을 자동으로 생성하고 실행하는 공격의 실제 예시를 보여준다. 이 공격은 USB 장치 연결을 통해 실행되므로, USB 포트 접근을 제어하고 명령 실행 패턴을 지속적으로 모니터링하는 것이 중요하다.
(그림 2) Bad USB기반 HID 공격 실 예시 화면
탐지 및 분석 단계에서는 Windows 이벤트 뷰어를 활용해 USB 장치 연결 시 발생하는 이벤트 로그를 점검하고, 악성 명령 실행 여부를 확인한다. 또한 USB 포트의 자동 실행 설정을 비활성화하여 악성 파일이 실행되지 않도록 한다. 특정 보안 툴인 USB Guard와 같은 소프트웨어를 활용할 수 있으며, 이러한 도구는 비인가 장치 연결을 차단하는 데 유용하다. 격리 및 복구 단계에서는 비인가 USB 장치를 물리적으로 분리하고, Windows 탐색기와 명령 프롬프트를 사용해 악성 파일의 위치를 확인하고 제거한다. 또한 netstat 명령을 활용하여 의심스러운 네트워크 연결을 탐지하고 차단하는 방식으로 네트워크를 복구한다. 후속 조치 단계에서는 USB 포트 접근 권한을 제한하고, 승인된 장치만 연결할 수 있는 인증 정책을 적용한다. 대응 과정에서 수집된 로그 데이터를 분석해 유사한 공격이 재발하지 않도록 재발 방지 정책을 마련한다. 표 2는 Bad USB기반 HID 공격에 대한 훈련 단계별 주요 동작과 체크사항을 정리한 내용을 보여준다.
<표 2> Bad USB기반 HID 공격 시나리오의 훈련 단계별 주요 동작 및 체크사항
4.2.2 Command Prompt Bomb 공격 시나리오
Command Prompt Bomb 공격은 CMD를 통해 무한히 많은 프로세스를 생성하여 시스템 자원을 고갈시키는 공격이다. 그림 3은 프로세스를 무한히 생성하여 시스템 자원을 고갈시키는 Fork Bomb 공격의 실제 예시를 보여준다. 이로 인해 CPU와 메모리 사용량이 급증하며, 시스템의 정상적인 작동이 방해를 받을 수 있다.
(그림 3) Command Prompt Bomb 공격 실 예시 화면
탐지 및 분석 단계에서는 Windows 작업 관리자를 활용하여 실시간으로 CPU와 메모리 사용량을 모니터링하고, 비정상적으로 증가하는 프로세스를 식별한다. Windows 이벤트 로그를 점검하여 프로세스 생성 이력을 분석하고, 비인가 프로세스의 출처를 확인한다. 격리 및 복구 단계에서는 작업 관리자를 통해 과도하게 생성된 프로세스를 수동으로 종료하고, 안전 모드로 부팅하여 악성 스크립트를 제거한다. 특히 Fork Bomb 유형의 공격은 시스템 재부팅 후에도 지속될 가능성이 있으므로, 안전 모드에서 시스템 설정을 초기화하거나 악성 스크립트를 제거하는 것이 중요하다. 후속 조치 단계에서는 프로세스 생성 제한 정책을 적용하여 비인가 명령 실행을 방지하며, 사용자 계정의 접근 권한을 강화한다. 또한 이벤트 로그를 분석하여 유사한 공격 패턴을 사전에 탐지할 수 있도록 개선 방안을 마련한다. 표 3은 Command Prompt Bomb 공격에 대한 훈련 단계별 주요 동작과 체크사항을 정리한 내용을 보여준다.
<표 3> Command Prompt Bomb 공격 시나리오의 훈련 단계별 주요 동작 및 체크사항
4.2.3 Task Manager 조작 공격 시나리오
Task Manager 조작 공격은 작업 관리자를 통해 주요 프로세스를 강제로 종료하여 시스템의 안정성을 저하시키는 공격이다. 그림 4는 Task Manager를 자동 실행하고 우선순위 프로세스를 강제 종료하는 실제 예시를 보여준다. 이 공격은 중요한 프로세스가 중단됨으로써 시스템 가용성을 저하시키고 서비스 중단을 유발할 수 있다.
(그림 4) Task Manager 조작 공격 실 예시 화면
탐지 및 분석 단계에서는 Windows 이벤트 로그를 확인하여 작업 관리자의 프로세스 종료 이벤트를 점검하고, 관리자 권한 상승 시도를 탐지한다. 비인가 프로세스 종료 이력을 분석하여 의심스러운 종료 기록을 파악한다. 격리 및 복구 단계에서는 종료된 주요 프로세스를 재시작하여 시스템을 안정화한다. 작업 관리자가 비정상적으로 종료되는 상황을 방지하기 위해 특정 키보드 입력을 제한하거나 작업 관리자의 접근 권한을 재설정한다. 후속 조치 단계에서는 작업 관리자의 실행 권한을 제한하고 관리자 인증 절차를 강화하여 유사한 공격이 반복되지 않도록 한다. 이벤트 로그 데이터를 기반으로 공격 이력을 분석하고, 비정상적인 작업 시도를 조기에 탐지할 수 있도록 보안 정책을 개선한다. 표 4는 Task Manager 조작 공격에 대한 훈련 단계별 주요 동작과 체크사항을 정리한 내용을 보여준다.
<표 4> Task Manager 조작 공격 시나리오의 훈련 단계별 주요 동작 및 체크사항
4.3 훈련의 기대 효과 및 기술적 성과
본 연구에서 제안한 동작 기반 사이버보안 훈련 환경은 기존 도상훈련 대비 실시간 공격 탐지 및 대응 실습을 강화하여 원자력시설 운영자의 보안 대응 역량을 향상시킬 수 있다. 특히, PC 기반 훈련을 통해 폐쇄망 환경에서 발생할 수 있는 내부 위협(USB 공격, 명령 실행 공격 등)에 대한 실질적 대응 능력을 강화할 수 있다.
기술적으로는 저비용·고효율의 PC 기반 훈련환경을 활용하여 원자력 시설뿐만 아니라 다양한 ICS 환경에서도 적용 가능하다. 또한, 공격 시나리오별 탐지·대응 프로세스를 체계화하여 보안 훈련의 정량적 평가 기준을 마련할 수 있으며, 이는 향후 원자력시설 및 기타 ICS 환경에서의 사이버 보안 훈련 모델을 고도화하는 데 기여할 것으로 기대된다.
5. 결론
본 연구에서는 범용적인 사이버보안 훈련 환경을 구축하기 위해 PC 기반의 세 가지 공격 모델을 제안하고, 이에 대응한 훈련 절차를 설계하였다. 제안된 훈련은 Bad USB 기반 HID 공격, Command Prompt Bomb 공격, Task Manager 조작 공격과 같은 현실적인 사이버 위협을 모사하여 조직의 대응 역량을 체계적으로 강화하는 데 초점을 맞추었다.
각 공격에 대한 탐지, 격리, 복구, 후속 조치의 단계별 훈련을 통해 참가자들은 실제 상황에서 발생할 수 있는 보안 사고에 대한 이해를 높이고, 신속하고 효과적인 대응 방법을 습득할 수 있었다. 이러한 훈련 모델은 특정 산업에 국한되지 않고 다양한 환경에서 적용 가능하다는 점에서 범용적인 사이버보안 훈련 프로그램의 기틀을 제공할 수 있다.
향후 후속 연구에서는 훈련 환경의 현실성을 더욱 향상 시키기 위해 실제 원자력 제어와 인터페이스를 모사한 시스템을 개발할 예정이다. 이를 통해 보다 현실적이고 실제적인 훈련 시나리오를 제공함으로써, 원자력 시스템에서 효과적으로 대응할 수 있는 방안을 마련할 계획이다.
References
- Hyun-hee Kim and Daesung Lee, "A Study on the Improvement of Cybersecurity Training System in Nuclear Facilities", Proceedings of Spring Conference of the Korean Institute of Information and Communication Engineering, 2022.
- Jun Hee Lim, Huy Kang Kim, "A Study on Security Evaluation Considering Design Requirements (Code & Standard) of Digital Systems in Nuclear Power Plants", Review of KIISC, 30(2), pp. 59-63, 2020.
- Hyeon-Du Kim, and Si-Won Kim, "Development of an Evaluation Methodology for Cybersecurity Training in Nuclear Facilities", Proceedings of the Korean Radioactive Waste Society Conference, 2016.
- Jae-gu Song, Jung-woon Lee, Cheol-kwon Lee, Chan-young Lee, Jin-soo Shin, In-koo Hwang, and Jong-gyun Choi. "Development of Hardware In the Loop System for Cyber Security Training in Nuclear Power Plants", Journal of the Korea Institute of Information Security & Cryptology, 29(4), 867-875. 2019.
- Deval Bhamare, Maede Zolanvari, Aiman Erbad, Raj Jain, Khaled Khan, Nader Meskin, "Cyber security for industrial control systems: A survey", Computers & Security, Vol. 89, pp. 101677, 2020.
- Zulfikar Sembiring, "Stuxnet Threat Analysis in SCADA (Supervisory Control And Data Acquisition) and PLC (Programmable Logic Controller) Systems", Journal of Computer Science, Information Tech nology and Telecommunication Engineering, Vol. 1, Num. 2, pp. 96-103, 2020.
- J.H. Yu, K.J. Koo, I.K. Kim, and D.S. Moon, "Technological Trends in Intelligent Cyber Range", Electronics and Telecommunications Research Institute, 2022.
- Younghan Choi, Insook Jang, Inteck Whoang, Taeghyoon Kim, Soonjwa Hong, Insung Park, Jinsoek Yang, Yeongjae Kwon, and Jungmin Kang, "Design and Implementation of Cyber Range for Cyber Defense Exercise Based on Cyber Crisis Alert", Journal of the Korea Institute of Information Security & Cryptology, 30(5), pp. 805-821, 2020.
- Cheol Kwon Lee, "IAEA 주관 원자력시설 사이버사건 분석 및 대응능력 강화에 관한 국제공동연구", REVIEW OF KIISC, 29(2), 48-52, 2019.
- Yangseo Choi, and Gaeil An, "원전 사이버 보안취약점 점검 기술 동향 및 개발 사례", REVIEWOF KIISC, 30(5), pp. 35-44, 2020.
- Jae-gu Song, Jung-woon Lee, Cheol-kwon Lee, Chan-young Lee, Jin-soo Shin, In-koo Hwang, and Jong-gyun Choi, "Development of Hardware In the Loop System for Cyber Security Training in Nuclear Power Plants", Journal of the Korea Institute of Information Security & Cryptology, 29(4), pp. 867-875, 2019.
- KEPCO, "APR1400 Technical Summary", Korea Electric Power Corporation, Seoul, Korea, 2009.