산업 현장 APT 전 단계 모의 실험을 위한 SIMPLEICS 테스트베드 설계와 구현

본 논문은 산업 현장에서 발생하는 고도화된 지속 위협(APT)을 연구하기 위한 실험 플랫폼의 필요성을 제기한다. 기존의 사이버보안 테스트베드는 주로 IT 혹은 OT 영역에 국한되거나 단일 단계 공격에 초점을 맞추어, 다단계 공격이 IT‑OT‑IIoT 경계를 가로지르는 실제 상황을 재현하지 못한다는 문제점을 지적한다. 이를 해결하고자 저자들은 “SIMPLEICS”(Simulated Industrial Multitier Platform for Laboratory Emulation of Industrial Control Systems)라는 가상화 기반 테스트베드를 설계·구현하였다. 아키텍처 설계는 Purdue 엔터프라이즈 레퍼런스 모델을 근간으로 하며, 각 레이어(Enterprise, DMZ, Control, Sensor)마다 네트워크 세분화와 방화벽 정책을 적용한다. NIST SP 800‑82와 IEC 62443 표준을 참고해 보안 구역(zoning)과 레벨별 보안 요구사항을 정의하였다. IT 영역에는 Active Directory, 파일 서버, 웹 서비스 등 전형적인 엔터프라이즈 서비스가 배치되고, OT 영역에는 OPC‑UA, Modbus, DNP3 등 산업 제어 프로토콜이 구현된다. IIoT 레이어는 MQTT, CoAP 등 최신 사물인터넷 프로토콜과 디지털 트윈 기반 공정 시뮬레이터가 포함된다. 시스템 개발 과정은 V‑모델을 적용해 요구사항 정의 → 시스템 설계 → 구현 → 통합 테스트 → 검증 단계가 일대일 매핑되도록 진행되었다. 각 단계마다 추적 매트릭스를 작성해 “APT 단계 ↔ 로그 이벤트” 간 대응 관계를 명시했으며, 이는 데이터셋 라벨링의 정확성을 보장한다. 공격 시나리오는 실제 BlackEnergy 캠페인을 모델링하였다. 초기 단계에서는 피싱 이메일과 악성 문서 배포를 통해 엔터프라이즈 네트워크에 침투하고, 도메인 획득·크리덴셜 스터핑을 통해 내부 권한을 상승시킨다. 이후 Lateral Movement 기법(T1059, T1021 등)을 이용해 DMZ와 Control 네트워크로 이동하고, OT 네트워크에 침투해 PLC 프로그램을 변조하거나 OPC‑UA 세션을 가로채어 프로세스 파라미터를 조작한다. 전체 공격 흐름은 MITRE ATT&CK for Enterprise와 ATT&CK for ICS의 전술·기술을 교차 매핑해 10여 개 이상의 TTP를 포함한다. 데이터 수집 인프라는 Zeek, Suricata, Elastic Stack, InfluxDB, Grafana 등을 조합해 네트워크 패킷, 시스템 로그, 프로세스 이벤트, SCADA 태그, 센서 메트릭을 밀리초 단위로 동기화한다. 수집된 데이터는 원시 PCAP, JSON 로그, 시계열 데이터베이스에 저장되며, 각 도메인별 로그 완전성을 검증하기 위해 “로그 누락 비율 < 0.5%”를 목표로 설정하였다. 검증 단계에서는 다단계 공격 흔적 관측성, 로그 완전성, 재현성을 평가하였다. 실험 결과, 각 단계별 공격 행동이 네트워크 트래픽, 호스트 로그, 운영 텔레메트리 모두에 명확히 드러났으며, 동일 시나리오를 5회 반복 실행했을 때 로그와 이벤트의 일관성이 98% 이상 유지되었다. 또한, 공격 전후 프로세스 KPI(예: 온도, 압력)의 변동이 디지털 트윈 모델에 정확히 반영되어 물리적 영향까지 측정 가능함을 확인하였다. 논문은 기존 테스트베드와 비교해 다음과 같은 차별점을 강조한다. (1) IT‑OT‑IIoT 전 영역을 포괄하는 통합 아키텍처, (2) V‑모델 기반 체계적인 개발·검증 프로세스, (3) 다중 소스 동기화 수집 인프라, (4) 실제 APT 캠페인을 모델링한 고충실도 공격 시나리오. 한계점으로는 가상화된 PLC·RTU가 실제 하드웨어의 펌웨어 취약점이나 타이밍 특성을 완전히 재현하지 못한다는 점, 대규모 전력망이나 복잡한 공급망 시나리오로 확장하기 위한 추가 리소스 필요성, 방어 메커니즘(IDS, SOAR, 위협 인텔리전스 피드) 평가가 아직 미비함을 언급한다. 결론적으로 SIMPLEICS는 산업용 APT 연구에 필요한 “엔드‑투‑엔드, 멀티‑도메인, 재현 가능”한 실험 기반을 제공한다. 향후 연구에서는 방어 솔루션의 실시간 평가, 대규모 시뮬레이션 확장, 그리고 공개 데이터셋 배포를 통해 학계·산업계의 협업을 촉진할 수 있을 것으로 기대한다.