사이버 물리 시스템 공격 탐지와 식별을 위한 중앙 및 분산 모니터 설계

초록

**
본 논문은 사이버‑물리 시스템(CPS)의 악의적 공격을 실시간으로 탐지하고 식별하기 위한 중앙집중형 및 분산형 모니터를 설계한다. 검출 필터는 모든 검출 가능한 공격을 놓치지 않도록 최적화되었으며, 식별 절차는 식별 가능한 공격을 완전하게 구분한다. 분산 검출은 파형 완화(waveform relaxation) 기법을 이용해 각 서브시스템이 로컬 관측기를 실행하고 경계 정보를 교환하도록 구성한다. 또한 공격 식별 문제가 NP‑hard임을 증명하고, 성능 보장을 갖는 근사 분산 식별 알고리즘을 제시한다. 마지막으로 시뮬레이션을 통해 잡음 및 모델링 오차에 대한 강인성을 검증한다.

**

상세 분석

**
이 연구는 Part I에서 제시된 검출 가능성(detectability)과 식별 가능성(identifiability)의 이론적 정의를 바탕으로, 실제 구현 가능한 모니터 설계에 초점을 맞춘다. 중앙집중형 검출기는 선형 시불변(LTI) 시스템 모델 ( \dot x = Ax + Bu + Ew ) 와 공격 입력 ( a ) 를 포함한 확장 형태를 고려한다. 관측기 ( \hat x ) 와 잔차 ( r = C\hat x - y ) 를 이용해 잔차가 비영이면 정상, 비영이면 공격 존재를 판단한다. 여기서 최적성은 “모든 검출 가능한 공격에 대해 잔차가 영이 아닌 순간을 보장”한다는 의미이며, 이를 위해 관측기 이득 ( L ) 을 시스템의 무시가능 모드(null‑space)와 정규형으로 설계한다.

식별 단계에서는 잔차를 공격 위치별로 분해하는 구조화된 잔차(Structured Residual) 기법을 도입한다. 각 가능한 공격 시나리오에 대해 잔차 방정식을 선형 시스템으로 표현하고, 잔차가 영이 되는 최소 집합을 찾음으로써 공격이 발생한 정확한 컴포넌트를 식별한다. 이 과정은 식별 가능성 조건을 만족하는 경우에만 유일한 해를 보장한다.

분산 검출은 파형 완화(waveform relaxation) 알고리즘을 기반으로 한다. 전체 CPS를 ( N ) 개의 서브시스템으로 분할하고, 각 서브시스템 ( i ) 는 자체 관측기 ( \hat x_i ) 와 로컬 잔차 ( r_i ) 를 계산한다. 서브시스템 간 경계 변수(입력·출력) 교환을 반복하면서 전역 잔차 ( r = \sum_i r_i ) 가 수렴하도록 설계한다. 수렴 증명은 Banach 고정점 정리를 이용해 각 반복 단계에서 오류가 지수적으로 감소함을 보이며, 최종 잔차는 중앙 검출기와 동일한 검출 능력을 갖는다.

식별 문제의 계산 복잡도는 NP‑hard임을 증명한다. 구체적으로, 공격 식별을 “최소 공격 집합 찾기” 문제와 동형시켜 집합 커버(Set Cover) 문제로 환원함으로써 다항 시간 근사 알고리즘이 존재하지 않음을 보인다. 따라서 저자는 근사 분산 식별 절차를 제안한다. 이 절차는 각 서브시스템이 로컬 잔차를 기반으로 의심되는 공격 후보를 생성하고, 합의(consensus) 프로토콜을 통해 전역 후보 집합을 축소한다. 성능 보장은 “( k )‑정밀도” 개념을 도입해, 최대 ( k ) 개의 동시 공격에 대해 정확히 식별하거나, 그보다 많은 경우에도 최소한 하나의 공격을 반드시 탐지한다는 형태로 제시된다.

마지막으로 시뮬레이션에서는 전력망 모델(IEEE 14‑bus)과 물 공급 네트워크를 대상으로, 악성 데이터 위조 및 센서 파괴 공격을 시뮬레이션한다. 잡음 수준을 5 %까지 증가시켜도 중앙·분산 검출기의 false‑negative 비율은 0 %에 가깝게 유지되었으며, 모델링 오차(파라미터 변동)에도 강인성을 보였다. 분산 식별 알고리즘은 3개의 동시 공격을 정확히 식별했으며, 계산 시간은 중앙식 식별에 비해 40 % 정도 감소하였다. 전체적으로 이 논문은 이론적 최적성, 구현 가능성, 그리고 실험적 검증을 모두 만족하는 포괄적인 CPS 공격 방어 프레임워크를 제공한다.

**