사이버‑물리 공격 영향 측정을 위한 시간적 약한 동형성 메트릭

본 논문은 산업 현장과 핵심 인프라가 스마트화됨에 따라 사이버‑물리 시스템(CPS)이 다양한 물리·사이버 컴포넌트를 통합하고, 이에 따라 사이버‑물리 공격의 위험이 급증하고 있음을 지적한다. 이러한 공격은 사이버 공간에서의 침해가 물리적 프로세스에 직접적인 악영향을 미치며, 특히 센서 데이터 변조와 같은 행위는 제어 로직을 오작동시켜 심각한 재해를 초래한다. 따라서 공격이 시스템에 미치는 물리적 영향을 정량화하는 것이 방어 전략 수립에 필수적이다. 이를 위해 저자들은 두 가지 주요 목표를 설정한다. 첫째, 시간적 요소를 포함한 약한 비동형성 메트릭을 정의해, 시스템 간 행동 차이를 확률적 거리로 측정한다. 둘째, 이 메트릭을 활용해 사이버‑물리 공격에 대한 “허용성(tolerance)”과 “취약성(vulnerability)”을 형식적으로 기술하고, 실제 사례에 적용한다. **1. 이론적 배경 및 모델** - **pLTS(Probabilistic Labeled Transition System)**: 상태 집합 T, 행동 집합 A(τ와 tick 포함)와 전이 관계 → 로 구성된 모델. tick은 이산 시간 흐름을, τ는 내부 비가시적 전이를 나타낸다. - **Weak Transition**: τ 전이를 추상화한 ˆτ=⇒, 이를 통해 비시간 행동과 시간 행동을 구분한다. - **Kantorovich Lifting**: 상태 간 거리 d를 확률 분포 간 거리 K(d)로 확장해, 분포 전이의 차이를 정량화한다. **2. 시간적 약한 비동형성 메트릭 정의** - **m_k**: k번의 tick(시간 단계)까지 허용되는 최대 거리. k가 클수록 더 긴 시간 구간을 고려한다. - **함수 B와 B_tick**: 비시간 행동과 tick 행동 각각에 대해 거리 상승을 계산한다. B는 τ를 제외한 모든 행동에 대해, B_tick은 tick 전이에 대해 적용된다. - **재귀적 정의**: m_0 = 0, m_{k} = sup_h m_{k,h}, 여기서 m_{k,0}=B_tick(m_{k-1})이고, m_{k,h}=B(m_{k,h-1}) (h>0). 이를 통해 무한히 많은 비시간 전이를 허용하면서도 k번의 tick만을 제한한다. - **성질**: (i) 단조성(m_{k} ≤ m_{k+1}), (ii) k→∞이면 기존 무시간 약한 비동형성 메트릭과 일치, (iii) 거리 0 ⇔ 표준 약한 확률 동형성. **3. 공격 모델링 및 GNDC 프레임워크** - **시스템 M**: 물리적 환경(센서, 액추에이터)과 논리(통신, 제어)로 구성된 IoT 시스템을 pLTS로 기술. - **공격 A**: 센서 데이터를 변조하거나 차단하는 사이버‑물리 공격을 모델링. 공격 적용 후 시스템을 M_k^A 로 표기, 여기서 k는 공격이 지속되는 시간 단계. - **GNDC(Generalized Non‑Deductibility on Composition)**: M과 M_k^A를 비교해 보안 속성을 검증한다. - **허용성**: ∀k, m_k(M, M_k^A)=0이면 공격이 시스템 행동에 영향을 주지 않음. - **취약성**: 최소 구간