통합 안전·보안 전략으로 바라본 현대 핵심 시스템 보호

초록

현대 핵심 시스템은 하드웨어 고장·환경 교란·인적 오류와 같은 우연적 사고와 악의적 공격이라는 비우연적 위협 모두에 대비해야 한다. 프랑스어에서 ‘sécurité’가 안전(safety)과 보안(security)을 혼용하는 문제를 지적하고, 철도 신호와 같은 상호연결된 시스템에서 두 영역을 통합적으로 다루는 필요성을 제시한다.

상세 요약

본 논문은 현대 핵심 시스템이 직면한 위험을 크게 두 축으로 구분한다. 첫 번째는 전통적인 안전(safety) 관점으로, 하드웨어 결함, 전력 공급 불안정, 환경적 요인(예: 온도·습도 급변) 및 설계·운용 단계에서 발생할 수 있는 인간 실수 등을 포함한다. 이러한 위험은 시스템이 정상적인 동작을 유지하지 못하고, 최악의 경우 인명 피해나 대규모 재산 손실을 초래한다. 두 번째는 보안(security) 관점으로, 악의적 침입, 악성 코드, 서비스 거부 공격(DoS) 및 사이버 스파이 활동 등 의도적인 위협을 다룬다. 기존 문헌에서는 이 두 영역을 별개의 분야로 취급해 왔으며, 각각의 표준(예: IEC 61508 안전, IEC 62443 보안)과 인증 체계가 독립적으로 운영된다.

프랑스어 ‘sécurité’가 두 의미를 혼용한다는 언어적 사실을 출발점으로, 저자는 용어 혼동이 실제 설계·운용 단계에서 위험 인식의 격차를 초래한다는 점을 강조한다. 예를 들어, 안전 엔지니어는 시스템 고장 시 자동 복구 메커니즘을 설계하지만, 보안 엔지니어는 동일 메커니즘이 공격 표면이 될 수 있음을 경고한다. 따라서 한쪽만 강화하면 다른 쪽에서 새로운 취약점이 발생한다는 ‘보안-안전 트레이드오프’가 나타난다.

논문은 이러한 트레이드오프를 해소하기 위한 통합 프레임워크를 제안한다. 핵심 요소는 (1) 위험 식별 단계에서 안전 위험과 보안 위협을 동시에 매핑하고, (2) 위험 평가 모델에 두 위험 유형을 동일한 스코어링 체계로 통합, (3) 설계 단계에서 ‘공동 방어 메커니즘’을 도입해, 예를 들어, 중복된 하드웨어는 물리적 고장뿐 아니라 물리적 침입에도 강인하도록 설계한다. 또한, 실시간 모니터링 시스템은 이상 징후를 안전·보안 양쪽 관점에서 해석하도록 알고리즘을 확장한다.

특히 철도 교통 신호 시스템을 사례로 들어, 기존에는 신호 장치의 고장에 대비한 ‘Fail‑Safe’ 설계가 주를 이루었으나, 최근 사이버 공격으로 인해 신호 데이터 변조가 발생하면 ‘Fail‑Safe’가 오히려 위험을 가중시킬 수 있음을 지적한다. 따라서 신호 전송 프로토콜에 암호화와 인증을 적용하고, 동시에 비상 상황 시 물리적 백업 라인을 유지하는 복합 방어 전략이 필요하다.

마지막으로, 표준화와 규제 차원의 제언도 포함한다. 안전 표준과 보안 표준을 연계하는 ‘통합 인증 체계’를 도입하고, 위험 관리 프로세스에 다학제 팀(안전·보안·운용·인간공학) 참여를 의무화함으로써 조직 차원의 문화 변화를 촉구한다. 이러한 접근은 단순히 두 위험을 나열하는 것이 아니라, 시스템 전체의 복원력(resilience)을 극대화하는 방향으로 설계·운용을 전환한다는 점에서 의의가 크다.