콘텐츠로 건너뛰기
Home » 도구를 이용한 사이버 물리 시스템의 사이버 보안 위험 분석 및 평가 방안

도구를 이용한 사이버 물리 시스템의 사이버 보안 위험 분석 및 평가 방안

 

  • 해당 논문은 2024년 한국군사과학기술학회 추계학술대회에서 발표되었습니다.

 

도구를 이용한 사이버 물리 시스템의 사이버 보안 위험 분석 및 평가 방안
A Method Using Tool for Cybersecurity Threat Analysis and Risk Assessment of
Cyber-Physical Systems

 

정호균 · 박경현
Hogyoun Jeong · Kyunghyun Park

모아소프트

(hgjeong@moasoftware.co.kr)

 

 

ABSTRACT
A systematic approach to managing cybersecurity threats in cyber-physical systems (CPS) is becoming
increasingly important. This paper introduces a tool-based cybersecurity risk analysis of CPS and organizes a risk assessment and response methodology. Based on the ISO 21434 standard, the entire process of asset identification, threat modeling, vulnerability analysis, risk assessment, and response strategy is systematically presented. This methodology is particularly useful for strengthening the security of major industries and protecting systems from cyberattacks.


Key Words : Cybersecurity, Cyber-Physical systems(CPS), Risk Assessment, Ansys medini analysis

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

 

1. 서론

사이버 물리 시스템(CPS)은 물리적 프로세스와 컴퓨팅 요소가 상호작용하는 복잡한 시스템으로, 산업 전반에 걸쳐 중요한 역할을 담당하고, 이러한 시스템의 보안성 확보는 점점 더 큰 과제가 되고 있다. 자동차, 항공우주, 에너지와 같은 분야에서는 사이버 공격에 의해 발생할 수 있는 위험을 최소화하기 위해 체계적인 위험 분석과 대응 전략이 필수적이다. 본 논문은 사이버 물리 시스템의 시스템 보안을 위한 종합적인 접근법을 소개하고, 시스템의 안전성과 사이버 보안을 통합적으로 분석할 수 있는 자동화 도구를 활용하는 방안을 제시한다.

 

 

2. 본문

사이버 물리 시스템(CPS)은 물리적 시스템과 컴퓨터 기반 시스템이 통합된 형태로, 실시간 데이터 수집 및 처리를 통해 물리적 환경을 모니터링하고 제어한다. 이러한 시스템은 다양한 분야에서 사용되며, 각기 다른 보안 요구사항을 가진다. CPS의 복잡성은 사이버 공격에 대한 취약성을 증가시킨다.

 

2.2 사이버 물리 시스템 보안 분석 프로세스
사이버보안 위험 분석 및 평가 도구를 활용한 사이버 물리 시스템(CPS)의 보안 분석 프로세스는 그림과 같이 자산식별 및 취약점 분석, 위협 식별 및 모델링, 위험평가, 위험대응전략 단계로 구성된다

 

2.2.1 자산 식별 및 취약점 분석 (Asset Identification and Vulnerability Analysis)
자산은 시스템에서 보호해야 할 가치 있는 요소들을 의미하며, 자산 식별은 보안 속성(예: 기밀성, 무결성, 가용성)을 정의하고, 이 속성이 손실될 경우 시스템에 미치는 영향을 분석하고, 식별된 자산의 잠재적 취약점을 분석하여, 공격자에게 노출될 수 있는 시스템의 약점을 파악한다. 이를 통해 잠재적인 공격 경로와 이를 보완하기 위한 대책을 마련할 수 있다

 

Fig. 1. Vulnerability analysis

 

2.2.2 위협 식별 및 모델링(Threat Identification and Modeling)
STRIDE 모델과 같은 방법론을 사용해 잠재적인 위협을 분석하고, 시스템의 특정 요소가 어떻게 공격당할 수 있는지를 파악한다. 이 과정은 시스템의 다양한 구성 요소 간 상호작용을 기반으로 수행되며, 위험의 범위를 평가하는 데 유용하다.

 

Fig. 2. Threat Identification

 

공격 트리를 활용하여 위협을 시각적으로 모델링하고, 각 공격 경로를 평가하여 가장 가능성이 높은 공격 시나리오를 파악한다. 이를 통해 공격의 복잡성을 이해하고, 방어 전략을 수립할 수 있다.

 

Fig. 4. Attack tree modeling

.

2.2.3 위험 평가(Risk Assessment)
HEAVENS 모델을 적용하여 각 위협에 대한 위험 수준을 평가한다. 위험 수준은 위협 발생 가능성과 그로 인한 영향의 결합으로 도출되며, 이를 통해 대응 우선 순위를 결정할 수 있다.

 

Fig.5. HEAVENS Security / Risk Level

 

2.2.6 위험 대응(Risk Treatment)
평가된 위험에 따라 회피, 완화, 수용, 전가와 같은 대응 전략을 적용하여 시스템의 보안성을 강화한다. 이 과정은 위험 평가와 연계하여, 효율적인 보안 조치를 설계하는 데 중점을 둔다.

 

 

Fig.6. Risk Treatment

 

2.3 사이버 물리 시스템 보안 분석 응용
ISO 21434 표준을 기반으로 하는 사이버 보안 위험 분석 및 평가 도구는 자동차 산업 외에도 다양한 CPS 분야에서 활용될 수 있다. 예를 들어, 스마트 그리드, 항공우주, 산업 제어 시스템(ICS) 등의 분야에서 이 도구를 통해 보안 취약점을 사전에 파악하고 대응책을 마련할 수 있다. 특히, HEAVENS 모델을 활용한 정량적 위험 평가 방법은 조직이 사이버 보안 위험을 보다 명확하게 이해하고, 자원을 효율적으로 배분하는 데 기여 할 수 있다.

 

 

3. 결론

사이버 물리 시스템(CPS)은 산업 전반에 걸쳐 중요한 역할을 담당하고, 점차 복잡도는 높아지고 있어 이러한 시스템의 보안성 확보는 점점 더 큰 과제가 되고 있다. 사이버물리 시스템(CPS)의 보안을 강화하기 위하여 사이버보안 위험 분석 및 평가를 위한 강력한 분석 도구의 도입이 필요하다.
본 논문에서는 Ansys medini Analyze for Cybersecurity 도구가 제공하는 분석 방법론을 소개하고, 이를 통해 다양한 산업 분야에서의 보안성 향상에 기여할 수 있는 가능성을 제시하였다.

 

 

References
[1] HEAling Vulnerabilities to ENhance Software Security and Safety (HEAVENS). Research Project, 2013-2016.
[2] Ansys medini analyze Cybersecurity Manual, Release 2024 R2, ANSYS INC.
[3] ISO 21434: Road vehicles – Cybersecurity engineering

 

 

 

  • Ansys medini 도구를 활용한 사이버 보안 분석 관련 문의 :

02-6945-2156 / Contact us – (주)모아소프트 (moasoftware.co.kr)

 

 

 

Send us a message!

앞선 품질, 끊임없는 도전, 정직한 기술로 함께합니다.
문의 글을 작성해 주시면, 담당자 확인 후 빠르게 연락드립니다.

대표전화: (+82)02-420-3203

FAX: (+82)02-407-3511

05770 서울특별시 송파구 오금로 422, 연암빌딩 4F~6F




FAMILY SITE

advanced-floating-content-close-btn