사이버 물리 시스템의 액추에이터 공격 복구와 강인 제어

초록

본 논문은 이산 이벤트 시스템( DES)으로 모델링된 사이버‑물리 시스템(CPS)에서 액추에이터 활성화 공격(AE‑attack)을 탐지한 뒤, 정상 동작을 유지하면서 안전한 서브시스템으로 전환하는 복구 전략을 제시한다. 복구 가능성을 나타내는 AE‑robust recoverability 개념을 정의하고, 공격 후에도 공격이 더 이상 유효하지 않은 “강인 영역”으로 시스템을 안내하는 제어기를 설계한다. 제조 현장을 대상으로 한 사례 연구를 통해 제안 방법의 실효성을 검증한다.

상세 분석

이 논문은 기존 DES 기반 사이버 보안 연구와 달리, 공격이 탐지된 후에도 공격자가 지속적으로 존재할 수 있다는 가정 하에 복구 메커니즘을 설계한다. 먼저, 액추에이터 활성화 공격을 정의하고, 공격 가능성이 있는 취약 제어 이벤트 Σc,v와 해당 이벤트가 활성화될 수 있는 상태 집합 Xv를 명시한다. 이후, Xv와 위험 상태 XUS를 모두 배제한 서브오토마톤 Grobust를 “강인 영역”으로 정의하고, 이 영역 내에서는 AE‑attack이 실질적으로 불가능하도록 설계한다. 핵심 기여는 AE‑robust recoverability 라는 새로운 복구 가능성 조건을 제시한 점이다. 이는 (1) 공격 탐지 언어 Ldet가 존재하고, (2) 탐지 후 시스템이 반드시 Grobust로 전이될 수 있는 경로가 존재하며, (3) 전이 과정에서 추가적인 공격이 발생하지 않도록 제어 명령을 제한한다는 세 가지 수학적 조건을 포함한다. 논문은 이러한 조건을 만족하도록 강인 복구 전략을 합성하는 알고리즘을 제시하고, 기존 방법이 공격 후 모든 제어 가능한 이벤트를 차단하거나 확률적 최소화를 시도하는 것과 달리, 정상 동작을 유지하면서도 안전한 서브시스템으로의 전이를 보장한다. 또한, 복구 전략이 적용된 후에도 지속적인 공격이 발생할 경우를 대비해, 복구 후 제어기가 Grobust 내부에서만 동작하도록 강제함으로써 시스템의 무결성과 가용성을 동시에 확보한다. 사례 연구에서는 제조 라인의 작업 흐름을 모델링하고, Σc,v에 해당하는 특정 기계 동작을 공격자가 임의로 활성화하는 시나리오를 설정하였다. 제안된 복구 전략은 공격 탐지 후 빠르게 안전한 상태(예: 초기 작업 단계)로 복귀시켰으며, 전체 생산 라인의 가동 중단 시간을 최소화하였다. 실험 결과는 기존의 전면 차단 방식보다 높은 운영 연속성을 보이며, 동시에 위험 상태 진입을 완전히 차단함을 보여준다. 전체적으로 이 논문은 DES 기반 CPS 보안에서 복구와 지속적인 운영을 동시에 달성할 수 있는 체계적인 프레임워크를 제공한다는 점에서 학술적·실무적 의의가 크다.