물리 기반 공격에 대한 형식적 접근

본 논문은 사이버‑물리 시스템(CPS)의 보안 취약점을 물리 기반 공격이라는 관점에서 형식적으로 분석하고자 한다. 서론에서는 CPS가 물리적 프로세스와 네트워크·컴퓨팅 요소가 긴밀히 결합된 시스템임을 강조하고, STUXnet, Sewage 처리 시설 공격, BlackEnergy 등 실제 사례를 통해 물리 장치를 직접 조작하는 공격이 시스템 안전에 미치는 심각성을 제시한다. 이러한 공격은 물리적 상태가 연속적으로 변하고, 특정 시점에 더 취약해지는 시간‑의존적 특성을 가지므로, 기존의 정보 보안 모델만으로는 충분히 설명되지 않는다. 이를 해결하기 위해 저자들은 새로운 하이브리드 프로세스 계산법인 CCPSA를 설계한다. CCPSA는 물리 컴포넌트와 사이버(논리) 컴포넌트를 각각 정의한다. 물리 컴포넌트는 상태 변수 집합 X, 센서 집합 S, 액추에이터 집합 A와 함께 상태 함수 ξ_x, 센서 함수 ξ_s, 액추에이터 함수 ξ_a 로 구성된 물리 상태와, 진화 함수 evol, 측정 함수 meas, 불변식 집합 inv, 안전 집합 safe, 불확실성 함수 ξ_w, 센서 오차 함수 ξ_e 로 이루어진 물리 환경을 포함한다. evol와 meas는 각각 현재 상태와 액추에이터 설정에 따라 다음 가능한 상태와 센서값을 집합 형태로 반환함으로써 시스템의 불확실성과 다중 가능 경로를 모델링한다. 시간은 이산적이며, 라벨링 전이 시스템(LTS)을 통해 물리적 이벤트(데드락, 안전 위반)와 사이버 이벤트(채널 통신)를 동시에 관찰한다. 공격 모델링에서는 MITM(Man‑in‑the‑Middle) 공격을 중심으로 센서값을 읽고 교체(y_k → y_a_k)하거나 액추에이터 명령을 읽고 삭제·교체(u_k → u_a_k)하는 행위를 정의한다. 이러한 행위들의 집합 I와 공격이 시작·종료되는 시간 구간 m..n을 매핑하는 함수 C를 통해 공격 클래스를 형식화한다. 예를 들어, 특정 센서에 대한 위조가 5번째부터 10번째 타임스텝까지만 유효한 경우 C(센서) = {5,…,10} 으로 표현한다. 보안 특성 평가는 GNDC(Generalized Non‑Deducibility on Composition) 개념을 차용한다. 시스템 Sys가 공격 A에 대해 허용성을 갖는다는 것은 Sys ⊨ A, 즉 공격이 존재해도 관찰 가능한 행동이 변하지 않음을 의미한다. 반대로 Sys ⊭ A는 특정 구간 m₀..n₀에서 공격이 관측 가능함을 뜻한다. 논문은 가장 강력한 공격 Top(C)를 정의하고, Sys가 Top(C)를 허용하면 클래스 C의 모든 공격을 허용하고, Top(C)에 취약하면 클래스 C의 모든 공격이 동일 구간에서 영향을 미친다는 정리를 증명한다. 이는 보안 검증을 클래스 전체에 대해 확장할 수 있는 강력한 도구가 된다. 공격 영향량 평가는 물리적 상태 함수와 불확실성, 센서 오차를 고려한 최대 교란량을 수학적으로 정의한다. Top(C)의 영향이 클래스 C 내 모든 공격의 상한임을 보이며, 이를 통해 위험 평가 단계에서 취약점의 심각도와 공격 성공 확률을 정량화한다. 이러한 메트릭은 산업 현장에서 자원 배분 및 방어 전략 수립에 직접 활용될 수 있다. 실증 부분에서는 비트루얼한 물리 플랜트와 제어 로직을 포함한 예제를 설계하고, 이를 Uppaal SMC에 모델링한다. Uppaal SMC는 시간 및 확률 자동화를 지원하므로, 각 공격 클래스에 대해 시뮬레이션을 수행하고 안전성 위반 확률, 데드락 발생 시점, 시스템 복구 시간 등을 통계적으로 분석한다. 세 가지 공격 시나리오(센서 위조, 액추에이터 차단, 복합 위조)를 적용해 각각의 영향과 시스템 회복력을 비교함으로써, 제안된 CCPSA와 자동 검증 도구가 실제 CPS 보안 분석에 유용함을 입증한다. 또한, 공격 클래스와 가장 강력한 공격 개념을 활용해 모델 검증을 단순화하고, 전체 공격 공간을 포괄적으로 평가할 수 있음을 보여준다. 결론에서는 CCPSA가 물리 기반 공격을 형식적으로 모델링하고, 시간‑의존적 특성을 정밀히 다루며, 공격 허용성·취약성 판단과 영향량 정량화라는 네 가지 핵심 기여를 제공함을 정리한다. 향후 연구 방향으로는 연속 시간 모델링, 실시간 침입 탐지와 연계한 동적 검증, 더 복잡한 물리‑네트워크 상호작용을 포함한 확장 등을 제시한다. 전체적으로 이 논문은 CPS 보안 분야에서 물리적 공격을 체계적으로 다루는 첫 번째 포괄적 형식적 프레임워크로서, 학술 및 산업 현장에서의 적용 가능성을 크게 확대한다.