한 개 차단기만으로 가능한 은폐 위상 공격

초록

본 논문은 전력망의 차단기 상태를 조작하고 일부 흐름 측정을 차단함으로써, 실제 전압 위상에 변화를 주지 않으면서도 상태 추정기를 오도할 수 있는 ‘브레이커‑재머’ 공격을 제안한다. 핵심은 그래프 색칠 이론을 이용해 공격 가능 조건을 분석하고, 최적 공격은 단 하나의 차단기 상태 변경과 두 개의 흐름 측정 차단만으로 충분함을 증명한다. IEEE 테스트 시스템을 통해 공격 효과를 시뮬레이션하였다.

상세 분석

이 논문은 기존의 데이터 주입 공격과 달리, 측정값 자체를 변조하지 않고 차단기 상태(이진값)와 흐름 측정의 전송을 차단하는 두 가지 수단만을 이용한다는 점에서 혁신적이다. 저자는 전력망을 그래프 G=(V,E) 로 모델링하고, DC 전력 흐름 기반의 일반화된 상태 추정(GSE) 과정을 수식화한다. 차단기 상태가 바뀐 라인에 대해 흐름 측정이 차단되지 않으면 식 (4) 에 의해 추정된 상태 변화 c 가 0이 아닌 경우 잔차가 발생해 탐지된다. 따라서 차단기 변경 라인과 동일한 라인의 흐름 측정을 반드시 차단해야 한다는 제약(D_a·(T−T_a)=0)이 도출된다.

그 후, 식 (6) 을 통해 인젝션 측정이 차단기 변경 라인의 실제 흐름과 차단된 흐름 사이의 균형을 맞춰야 함을 보인다. 여기서 중요한 점은 인젝션 측정이 존재하는 경계 버스(다른 색상의 버스와 연결된 버스)만이 비선형 제약을 제공한다는 것이다. 저자는 이러한 제약을 그래프 색칠 문제로 변환한다. 흐름 측정이 남아 있는 라인들은 동일한 색을 부여받아 같은 c 값을 갖게 되고, 색이 다른 버스 집합 사이에는 차단된 흐름 혹은 차단기 공격 라인이 존재한다.

색칠된 그룹을 ‘슈퍼노드’로 통합하고, 색이 다른 슈퍼노드 사이에만 가상의 무임피던스 라인을 삽입해 축소 그래프 (\hat G) 를 만든다. 이 축소 그래프에서 각 슈퍼노드의 인젝션 값은 공격된 차단기 라인의 실제 흐름 합으로 정의되며, 식 (8) 형태의 라플라시안 방정식으로 표현된다. 고유한 해를 얻기 위해서는 색의 개수 k 와 인젝션 측정 수가 k‑1 관계를 만족해야 한다(정리 1). 이는 즉, 최소한 하나의 차단기 변경과 그에 연결된 두 개의 흐름 차단만으로도 충분히 은폐된 공격을 설계할 수 있음을 의미한다.

또한, 공격 설계가 현재 시스템 상태 x 나 전선 리액턴스 B 에 의존하지 않으며, 공격자는 사전 정보가 거의 없더라도 위 조건만 만족하면 된다. 이는 기존의 데이터 주입 공격이 요구하는 정밀한 실시간 동기화와 비교해 공격 비용을 크게 낮춘다.

시뮬레이션에서는 IEEE 14‑bus, 30‑bus, 57‑bus 시스템에 대해 브레이커‑재머 공격을 적용했으며, 차단기 하나만 조작하고 해당 라인의 흐름을 차단했을 때도 상태 추정기에 큰 오차를 유발하고, 나아가 전압 안정성 및 전력 시장 가격에 영향을 미치는 것을 확인했다.

요약하면, 이 논문은 차단기 상태와 흐름 측정 차단만으로도 전력망 상태 추정을 은폐적으로 왜곡할 수 있음을 이론적으로 증명하고, 그래프 색칠 기반의 분석 프레임워크를 통해 최적 공격 전략을 도출하였다. 이는 기존의 데이터 기반 사이버 공격 방어 체계에 새로운 위협 모델을 추가함으로써, 전력 시스템 보안 정책 및 탐지 알고리즘 재설계의 필요성을 강조한다.