안전 인증의 함정: 위험 분석 부족이 현대 시스템의 기능 안전을 위협한다

초록

본 논문은 기존 안전 표준이 보안 위협을 충분히 고려하지 못해, 안전 인증을 받은 시스템도 사이버 공격에 취약할 수 있음을 지적한다. 저자들은 IEC 62061(안전)과 IEC 62443(보안) 표준을 연계하여 시스템 정의, 위험 분석, 위험 등급 및 완화 조치를 확장하는 실용적인 절차를 제시한다. 이를 통해 현재 안전 표준을 위배하지 않으면서 보안 인식을 높이는 방법을 제안한다.

상세 분석

이 논문은 안전과 보안이 별도 표준·프로세스로 운영되는 현 산업 실태를 비판하고, 특히 IEC 61508·ISO 26262·EN 50126 등 기존 안전 표준이 의도적 악의 행위(해킹, 사보타지)를 위험 요인으로 포함하지 않는 구조적 한계를 상세히 분석한다. 저자들은 이러한 격차가 실제 사고로 이어질 위험을 강조하며, 보안 위협을 안전 위험으로 전환시키는 ‘위험 분석 확장’ 프레임워크를 제시한다. 핵심은 시스템 정의 단계에서 전통적인 ‘고장·오작동’ 중심 모델을 넘어, 인간 행위자(내·외부 직원, 해커, 테러리스트 등)와 다양한 인터페이스·자산(필드버스, USB, 클라우드 등)을 포함하는 포괄적 경계 설정을 수행하는 것이다.

위험 분석 단계에서는 기존의 FTA·FMEA·FTA와 같은 안전 기법에 보안 위협 모델(공격 트리, 위협 매트릭스 등)을 병합한다. 이를 통해 ‘의도적 악용’에 의해 발생할 수 있는 새로운 위험을 식별하고, 기존 안전 위험과 동일한 위험 등급 체계(SIL, ASIL 등)로 분류한다. 위험 등급을 동일하게 적용함으로써 안전 인증 절차를 따르면서도 보안 기반 완화 조치를 설계할 수 있다.

완화 단계에서는 안전 표준이 제시하는 전통적 안전 대책(이중화, 페일세이프 등)과 보안 표준이 제시하는 대책(인증·권한 관리, 침입 탐지, 패치 관리 등)을 조화시킨 ‘혼합 완화 전략’를 제안한다. 특히, 위험 원천이 순수히 안전(고장)인지 보안(악의적 행위)인지 구분함으로써 적절한 표준을 적용하고, 인증 기관이 요구하는 문서화·증거 확보를 동시에 만족시킬 수 있다.

실제 산업 사례(IEC 62061 기반 기계 시스템에 ISA/IEC 62443 적용) 분석을 통해 제안 방법론의 적용 가능성을 검증한다. 사례에서는 시스템 정의 확장, 위험 식별, 위험 등급 재평가, 보안 기반 완화 조치 도입 과정을 상세히 기술하고, 기존 안전 인증 절차와의 충돌 없이 보안 인식을 제고하는 데 성공하였다.

논문은 또한 표준화 기관이 보안 요소를 안전 표준에 명시적으로 포함시키는 것이 장기적으로 필요함을 강조한다. 현재는 ‘보안 위협을 위험으로 간주한다’는 권고 수준에 머물러 있어, 실무에서는 여전히 조직 간 책임 경계가 모호하고, 보안 전문가와 안전 전문가 간 협업 체계가 부재한 상황이다. 따라서 제안된 절차는 현행 표준을 보완하는 실무 지침으로서 가치가 크며, 향후 표준 개정 시 보안 요소를 통합하는 근거 자료로 활용될 수 있다.