원자력발전소 계측제어시스템 보호프로파일 개발을 위한 시스템 분석 방법
저자
발행사항
서울 : 고려대학교 정보보호대학원, 2023
학위논문사항
학위논문(박사)-- 고려대학교 정보보호대학원 : 정보보호학과 정보보호 2023. 8
발행연도
2023
작성언어
한국어
주제어
발행국(도시)
서울
형태사항
112 p ; 26 cm
일반주기명
지도교수: 문종섭
UCI식별코드
I804:11009-000000277605
DOI식별코드
소장기관
산업제어시스템(Industrial Control System)과 운영 기술(Operational Technology) 보안은 새로운 도전과 위협에 대응하기 위해 지속적으로 노력하고 있다. 하지만 2021년 SANS에서 실시한 최근 설문조사에 따르면 산업 시스템을 표적으로 삼는 사이버공격이 보고되는 추세가 증가하고 있는 것으로 확인할 수 있다. 그리고 공격의 결과는 표적이 된 조직의 안전, 생산성, 수익 및 평판을 손상시킬 수 있다.
현재 가동 중인 원자력발전소(이하 원전)의 경우 신규 원전 또는 건설 중인 원전에 비하여 아날로그 기술의 비중이 높은 편이지만 점차 디지털 기술로 대체 되고 있는 상황이다.
이 같은 디지털 기술의 도입과 함께 사이버보안에 대한 필요성이 부각되고 있으며 2010년에 이란 부셰르 원전의 원심분리기를 파괴한 스턱스넷(Stuxnet)의 출현으로 인하여 원전 또한 사이버공격의 안전지대가 아니라는 것이 증명되면서, 원자력 분야 전문가들 또한 사이버공격을 중요한 문제로 인식하게 되었다.
원전 계측제어시스템은 원전의 안전한 운전을 위하여 계측, 제어 및 보호, 감시 기능을 수행하는 설비로서 수행하는 기능에 따라 안전계통과 비안전계통으로 구분된다.
원전 계측제어시스템에 사이버공격으로 잘못된 제어 명령이 전달되거나 전달 데이터가 변조되는 등의 상황이 발생할 경우 발전소의 운전 정지 또는 원자로 노심용융 및 방사선 노출 등의 피해가 유발될 수 있다. 그리고 발전소의 가동이 중단되고 이에 따라 전력 수급 문제 등이 발생할 수 있으며, 이는 한 기업의 문제가 아니라 국가 및 사회 전반적인 문제로 확대될 수 있다.
이처럼 원전 계측제어시스템의 사이버보안 강화는 시급한 문제이다. 이를 해결하기 위해서 다양한 원전 사이버보안 강화 규제지침 및 가이드가 발행된 바 있으나, 현재 가동 중이거나 건설 중인 원전 계측제어시스템에 바로 적용 가능한 보안제품은 거의 없는 실정이며 가동 중인 계측제어시스템들도 안전 및 운영 측면의 기능을 수행하도록 개발되어 기본적인 보안 기능을 내재화하고 있는 기기도 소수이다.
이러한 문제를 단계적으로 해결하고 원전 계측제어시스템의 사이버보안 강화를 위하여, 계측제어시스템에 보안 기능을 내재화하는 것이 필요하다.
본 논문에서는 보안 기능 내재화를 위해서 정보보호제품의 개발/평가/사용에 활용되는 공통평가기준(Common Criteria, CC)을 참고하여 원전 계측제어시스템에 사용 가능한 보호프로파일(Protection Profile, PP) 개발에 활용할 수 있는 시스템 분석 방법을 제안하려 한다.
보호프로파일을 작성하기 위해서는 평가 대상의 범위를 정확하게 명시하고, 명시된 범위에 따라 대상 환경과 보안목적, 보안기능요구사항을 식별해야 한다. 그리고 평가 대상의 보안환경을 분석하여 가정사항, 위협 및 조직의 보안정책을 적절하게 도출해야 하며, 위험 분석 시에는 발생 가능한 모든 위협을 도출하여 분석해야 한다.
본 논문에서 제안하는 원전 계측제어시스템 시스템 분석 방법은 가동 및 건설 중인 원전 계측제어시스템의 사용자 그룹에서 원전 계측제어시스템에 적합한 보호프로파일을 작성하는 데 필요한 세부 사항을 도출하는 방안으로, 평가 대상의 보안환경 분석과 보안기능요구사항 등의 정보를 도출을 위한 원전 계측제어시스템 분석 방법을 제안한다. 그리고 공개된 원전 계측제어시스템의 정보를 활용하여 제안 방법을 수행함으로써 본 연구의 활용성을 입증하였다.
그리고 해당 방법을 통해 원전 계측제어시스템 사이버보안 개발에 관심이 있는 제조사 및 운영자들에게 보안 기능을 갖춘 제품 개발, 평가, 인증, 조달 및 운영에 대한 참고자료로 활용될 수 있을 것으로 판단한다.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)