실시간 사이버물리시스템 타이밍 공격 완화 전략

초록

**
본 논문은 실시간 제어 작업의 일정성을 이용한 타이밍 사이드채널 공격을 방어하기 위해, 작업 해제 시점을 제한된 범위 내에서 의도적으로 지연시키는 스케줄링 기반 프레임워크 SecureRT를 제안한다. 제안 기법은 최악‑경우 응답시간 분석과 제어 성능 비용 함수를 결합해 허용 가능한 지연 상한을 계산하고, 공격 효과 창(AEW)과 비신뢰 작업의 겹침을 최소화하는 최적 지연 시퀀스를 도출한다. 실험 결과, 안전성을 유지하면서도 공격 성공 확률을 크게 낮출 수 있음을 보인다.

**

상세 분석

**
이 연구는 실시간 사이버‑물리시스템(CPS)에서 안전‑중요 제어 작업이 고정‑우선순위 스케줄러에 의해 결정론적으로 실행될 때, 공격자가 작업의 실행 시점과 완료 시점을 관찰해 미래의 작업 도착 시간을 예측하고, 그 예측을 기반으로 비신뢰 작업이 제어 작업의 “공격 효과 창”(AEW) 안에서 데이터를 변조하는 타이밍 기반 사이드채널 공격을 수행할 수 있다는 사실에 주목한다. 기존 방어책은 스케줄 무작위화, 시간 격리, 차등 프라이버시 등으로 스케줄 정보를 은폐하려 했지만, 이들 방법은 제어 루프의 지연을 무분별하게 증가시켜 마감 시간 초과나 제어 성능 저하를 초래한다는 한계가 있다.

논문은 이러한 문제를 해결하기 위해 두 가지 핵심 아이디어를 제시한다. 첫째, 제어 작업에 허용 가능한 최대 지연 δₘₐₓ 을, 제어 시스템의 폐루프 비용 J(δ) 가 설계자가 정의한 임계값 Jₜₕ 을 초과하지 않도록 하는 제어‑성능 기반 분석을 통해 정량화한다. 여기서는 연속‑시간 LTI 모델을 이산화하고, 지연에 따라 변하는 상태 전이 행렬 Φ_aug(δ) 와 입력 행렬 Γ_aug(δ) 을 이용해 LQR 및 칼만 필터 기반 컨트롤러의 비용 함수를 도출한다. 두 번째는 작업 해제 시점을 조절하는 최적화 문제를 수립한다. 목적 함수는 모든 비신뢰 작업이 AEW와 겹치는 시간을 최소화하는 것이며, 제약 조건은 (1) 각 제어 작업의 최악‑경우 응답시간 WCRT 분석을 통해 계산된 상한 이하의 지연을 적용해야 함, (2) 모든 작업의 마감 시간 Dᵢ 을 만족해야 함이다. 이 최적화는 정수선형계획(ILP) 형태로 풀어, 각 작업 인스턴스마다 구체적인 지연 δₖ 시퀀스를 얻는다.

구현 측면에서 논문은 기존 고정‑우선순위 스케줄러에 “지연‑인식” 모듈을 삽입한 PFP‑d 스케줄러를 설계한다. 시스템에 내장된 χ² 기반 잔차 탐지기가 공격을 감지하면, PFP‑d는 사전에 계산된 최적 지연 시퀀스를 적용해 해당 제어 작업의 해제 시점을 미세하게 뒤로 미룬다. 이렇게 하면 비신뢰 작업이 AEW에 진입할 가능성이 크게 감소하고, 동시에 지연이 δₘₐₓ 이하로 제한되므로 제어 성능이 크게 손상되지 않는다.

실험은 리얼타임 리눅스 환경 위에 구축된 시뮬레이터와, 대표적인 제어 시나리오(예: 2‑축 무인 항공기, 온도 제어 루프)에서 수행되었다. 결과는 (i) 공격 성공률이 70 % 이상 감소, (ii) 평균 제어 비용 J 이 허용 임계값 Jₜₕ 내에 머무름, (iii) 시스템 전체의 CPU 활용도와 마감 시간 초과율이 기존 무작위화 기법 대비 10 % 이하로 유지됨을 보여준다. 특히, 스케줄 무작위화가 초래하는 과도한 컨텍스트 스위치와 에너지 소비가 크게 줄어든 점이 강조된다.

이 논문은 실시간 제어 작업의 시간적 민감성을 정량적으로 모델링하고, 보안 요구와 제어 성능 요구를 동시에 만족시키는 스케줄링 기반 방어 메커니즘을 제시함으로써, 기존 연구가 놓쳤던 “제어 루프 안정성”과 “실시간 보증” 사이의 트레이드오프를 체계적으로 해결한다는 점에서 의의가 크다. 또한, 최악‑경우 응답시간 분석과 제어 비용 기반 지연 상한 설정이라는 두 단계 접근법은 다른 CPS 도메인에도 일반화 가능성을 제공한다.

**