Although many regulatory documents, guides, and standards have been published in the nuclear industry, there are still difficulties when it comes to deciding which security controls are needed and to defining appropriate security control requirements [11]. To evaluate the efficacy of security controls, this study has developed a measure of ‘cyber security improvement’. The ‘cyber security improvement’ is defined as the reduction ratio of the probability that a cyber attack will damage the target system. In addition, the concept of ‘intrusion tolerance system’ is applied to the measure of ‘cyber security improvement’ for ensuring the capability to protect, detect, respond and recover from cyber attacks. To estimate the ratio of the failure probability of the resistance strategy between a baseline system and an enhanced system, the concept of ‘mean time to compromise’ is adopted, and the adopted model is revised in accordance with the method. The validity of the suggested method is proven by conducting a case study. The suggested method can help assess how much system security can be improved by specific cyber security controls and which types of additional cyber security controls should be taken. However, this work has some limitations in estimating the efficacy of cyber security controls. The methods for obtaining the probabilities of detection strategy and the mitigation strategy need to be elaborated. Also, the verification and validation of the suggested method need to be improved.
많은 원자력 규제 기관 및 표준 기관에서 원자력 사이버 보안 이슈를 다루고자 관련 문서를 발간하고 기초적인 사이버 리스크 평가를 수행하기도 하였지만 사이버 보안 조치 적용에 있어서는 여전히 많은 어려움이 있다. 따라서 본 연구에서는 사이버 보안조치의 효과를 정량적으로 평가하는 방법을 제안하고자 ‘사이버 보안 향상도’라는 평가지표를 개발하였다. ‘사이버 보안 향상도’는 시스템에서 사이버 공격이 성공할 가능성의 감소율로 정의하였으며 다중심층보호 전략에서 요구하는 방어, 탐지, 완화 측면의 역량을 반영하기 위해 ‘침입 내성 시스템’ 개념을 지표에 적용하여 지표를 구체화하였다. 또한 정량적인 분석이 힘든 방어전략 측면의 효과를 계산하기 위해 ‘공격에 필요한 평균시간’이라는 개념을 도입하였고 계산 방법 중 본 연구의 방향과 맞지 않는 부분을 일부 수정하였다. 그리고 개발된 모델의 가용성을 확인하기 위해 사례 연구를 수행하였다. 개발된 모델은 특정 보안조치가 적용 되었을 때 효과를 평가하거나 앞으로 어떠한 보안조치들이 필요한지 조사하는 것에 도움을 줄 수 있으며 다양한 보안조치 선택지를 사전에 비교하는 것에도 적용 될 수 있을 것이라 생각 된다. 또한 정량적인 분석을 통해 보안조치의 목표 설정치로도 활용될 수 있을 것이라 기대한다.