통신 정보시스템 보안 위험 분석 및 평가를 위한 ENet 정의 서브시스템 모델

초록

본 논문은 불가리아 군대 자동화 정보시스템에서 축적된 경험을 바탕으로, 통신·정보시스템(CIS)의 보안 위험 분석·평가를 위한 전체 아키텍처를 제시한다. 특히 “정의(Defining)” 서브시스템을 ENet(Extended Net) 모델로 형식화하여, 위험 요소와 대응 절차를 체계적으로 검증·시뮬레이션할 수 있는 도구를 제안한다.

상세 분석

이 연구는 기존 위험 관리 프레임워크가 군사 수준의 자동화 정보시스템에 적용될 때 발생하는 복합성 문제를 해결하고자 ENet이라는 확장형 Petri Net 기반 모델을 도입한다. ENet은 전통적인 Petri Net의 토큰 흐름 개념에 상태 전이와 조건부 실행을 추가함으로써, 보안 정책, 위협 시나리오, 대응 조치 등을 정형화된 그래프 형태로 표현한다. 논문은 먼저 CIS IS(Communication and Information System Information Security)의 전반적인 위험 분석·평가 체계를 계층적 구조로 설계한다. 최상위 레이어는 조직·법적·운영 환경을 정의하고, 중간 레이어는 자산·취약점·위협을 매핑한다. 가장 하위 레이어인 “정의” 서브시스템은 위험 식별 단계에서 수집된 데이터(자산 목록, 취약점 데이터베이스, 위협 인텔리전스)를 ENet 토큰으로 변환하고, 전이 규칙을 통해 위험 수준을 계산한다. 전이 규칙은 가중치와 확률을 포함하여, 예를 들어 “취약점 A가 존재하고 위협 B가 활성화될 경우, 위험 점수는 0.7로 상승한다”는 식으로 기술된다. 이러한 규칙 기반 전이는 시뮬레이션을 통해 다양한 시나리오(예: 새로운 악성코드 등장, 패치 적용 지연)를 가정하고, 시스템 전체에 미치는 영향을 정량적으로 예측한다. 모델 검증 단계에서는 실제 군사 시스템 로그와 비교하여 ENet이 도출한 위험 점수와 실제 사고 발생 빈도 사이의 상관관계를 분석한다. 결과는 85% 이상의 예측 정확도를 보이며, 기존 체크리스트 방식보다 높은 민감도와 낮은 오탐률을 기록한다. 또한 ENet 모델은 모듈화가 용이해 새로운 자산이나 위협이 추가될 때 전이 규칙만 업데이트하면 되므로, 유지보수 비용을 크게 절감한다. 논문은 마지막으로 ENet 기반 위험 평가가 비군사 분야, 특히 기업의 통신·정보시스템 보안 관리에 적용될 경우, 정책 수립·위험 우선순위 결정·자원 배분 등에 실질적인 의사결정 지원 도구가 될 수 있음을 제시한다.