탄력적 제어 시스템을 위한 통합 보안·복원 설계

** 본 장은 사이버‑물리 시스템(CPS)으로서의 제어 시스템이 직면한 탄력성 문제를 체계적으로 분석하고, 이를 해결하기 위한 통합 설계 프레임워크를 제시한다. 먼저, 제어 시스템의 핵심 특성으로 사이버 계층과 물리 계층이 강하게 결합되어 있다는 점을 강조한다. 사이버 계층에서는 정보 시스템 기술(ICT)이 상황 인식을 제공하고 빠른 대응을 가능하게 하지만, 동시에 사이버 보안 취약점이 물리적 운영에 직접적인 위협을 가한다. 이러한 특성 때문에 전통적인 ‘보안 중심’ 설계만으로는 충분하지 않으며, 보안이 실패했을 때 시스템이 빠르게 회복할 수 있는 ‘복원성(resilience)’을 설계에 포함시켜야 한다. 논문은 탄력성 설계의 두 가지 차원을 제시한다. 첫 번째는 **교차‑계층(cross‑layer) 차원**으로, 사이버 계층의 방어 메커니즘과 물리 계층의 복원 메커니즘 사이에 존재하는 트레이드오프를 분석한다. 완벽한 사이버 보안이 구현될 경우 복원성은 불필요해지지만, 현실적으로 보안 비용이 제한적이므로 복원성을 보강해야 한다는 점을 강조한다. 두 번째는 **교차‑단계(cross‑stage) 차원**으로, 탄력성을 사전 계획(ex‑ante), 운용(interim), 사후 복구(ex‑post)의 세 단계로 구분하고, 각 단계가 서로 연계되는 동적 시스템으로 모델링한다. **Ex‑ante 단계**에서는 예상 가능한 위협 시나리오를 기반으로 센서·전원·제어기 중복성, 스위칭 로직, 백업 컨트롤러 등을 사전에 배치한다. 이는 향후 발생할 수 있는 공격에 대한 대응 시간을 최소화한다. **Interim 단계**에서는 이동‑시간 제어(MPC)와 같은 예측 기반 제어 기법을 적용해 미래의 공격 가능성을 고려한 현재 제어 결정을 수행한다. 예시로, 무인 차량 네트워크에서 알지 못한 적의 재밍 공격을 가정하고, 각 차량이 이동할 최적 위치를 계산해 네트워크 연결성을 유지한다. **Ex‑post 단계**는 예기치 않은 공격이 발생했을 때 빠르게 탐지하고, 재부팅·자원 재배치·자체 치유 메커니즘을 통해 성능 손실을 최소화한다. 복구 과정에서 사전 단계에서 투자한 자원의 양과 종류가 복구 속도와 비용에 직접적인 영향을 미친다. 이러한 세 단계 설계를 구현하기 위해 논문은 **게임‑인‑게임(frames‑in‑games) 프레임워크**를 도입한다. 사이버 공격·방어를 하나의 게임, 물리적 공격·방어를 또 다른 게임으로 모델링하고, 두 게임을 상호 연결해 메타‑게임을 구성한다. 예를 들어, 클라우드 기반 IoCT(Internet of Controlled Things)에서는 각 클라우드 서비스에 대해 FlipIt 게임을 적용해 공격자와 방어자 간의 제어 권한 경쟁을 모델링하고, 그 결과를 신호 게임에 전달해 디바이스가 클라우드 데이터를 신뢰할지 판단한다. 메타‑게임의 균형점인 Gestalt Nash Equilibrium(GNE)은 각 서브게임이 최적 전략을 채택했을 때 전체 시스템이 달성할 수 있는 최적 보안·복원 정책을 제공한다. 또한, 논문은 **분산 제어 시스템**에 대한 구체적인 사례를 제시한다. 무인 지상 차량(UGV)과 무인 항공 차량(UAV) 네트워크가 적의 재밍 공격을 받는 상황에서, 이동‑시간 최적제어를 통해 각 에이전트가 실시간으로 위치를 조정해 네트워크 연결성을 유지한다. 시뮬레이션 결과는 예상된 공격 수준 이하에서는 사전 설계된 중복성으로 시스템 성능이 유지되지만, 공격 수준이 초과될 경우 ex‑post 복구 메커니즘이 활성화되어 성능 저하를 빠르게 회복한다는 것을 보여준다. 마지막으로, 논문은 대규모 산업 플랜트, 스마트 그리드, IoT 기반 인프라 등 **대규모 복합 인프라**에 이 프레임워크를 적용할 수 있음을 강조한다. 분산된 제어 에이전트와 클라우드 서비스가 상호 작용하는 환경에서, 교차‑계층·교차‑단계 설계와 게임‑인‑게임 메타‑모델링은 보안 비용을 최소화하면서도 복원성을 극대화하는 실용적인 설계 도구가 된다. **