The I&C system of Nuclear Power Plants(NPPs) employ a cybersecurity program what government leads. The government requires that apply the security controls of regulation to develop and operate the system. Accordingly, the licensee of NPPs tries to comply with this requirement from the development phase.
Michael Muckin called this method a compliance-driven approach in his paper[1]. This approach is efficient when the government supervises NPPs, but it is not efficient when the licensee produces NPPs.
The security controls include all the NPP-related controls without consideration of system characteristics. In other words, the development organization spends much time to exclude unnecessary controls and to write the evidence. Also, the security of the system can weaken according to the security
knowledge level of the developer, and this can lead to differences in security levels between systems.
This dissertation proposes a method for selecting the security control that can be applied in the early development phase to ensure the security of the system and to reduce the cost of excluding unnecessary security control. We formalize an attack pattern and the security controls pattern and use a relationship between patterns.
We conduct a case study on applying R.G. 5.71 in the PPS(Plant Protection System) to confirm the validation of our method.
원전 제어 시스템과 같은 산업 기반 시설의 경우 국가 주도하에 사이버보안 프로그램을 운영한다. 국가 주도 사이버보안 프로그램은 법을 근거로 한 규제 지침에 따라 보안 통제들을 적용하는 방법을 사용한다.
규제 지침은 보안 통제라는 운영 관점에서의 보안 기술들을 포함하고 있는데, 이러한 보안 통제를 개발자 들이 개발 할 때 적용을 결정하기 위해서는 많은 비용이 소요된다. 규제 지침을 이행하기 위해서 개발자들은 체크 리스트 방식을 이용하여 시스템 별로 모든 보안 통제 항목에 대해서 적용 여부를 검토하고 결정하며, 결정에 대한 근거 자료를 제시해야하기 때문이다.
정보 시스템에서 일반적으로 접근하는 방식은 위험 관리 프레임 웍을 적용하여 대상 시스템에 대한 위험을 평가하고 대응하는 방법인데, 이러한 방법을 적용 할 경우 보안에 대한 전문적인 지식이 필요하며, 위험과 관련된 사항 외에 규제에서 요구하는 모든 보안 통제에 대한 근거 자료를 추가로 작성하는데 많은 비용이 소요된다. 또한 수행하는 수행자의 수준에 따라 적용하는 보안 기술들이 다르게 결정될 수 있어 이로 인한 취약점이 발생할 가능성이 있다.
본 논문은 규제 지침에서 요구하는 사이버보안 프로그램에 대해서 공격의 패턴화, 보안 통제의 패턴화를 진행하여 시스템에 적용해야 하는 보안 통제을 체계적으로 선정할 수 있도록 방안을 제시한다. 이러한 접근 방법은 보안 전문가가 아닌 개발자 혹은 지식 수준이 낮은 보안 담당자가 보안 통제를 선정해도 보안 전문가 수준의 결과를 도출할 수 있도록 지원할 수 있다.
우리는 제안된 방안의 효과성을 검증하기 위해 원전 제어 시스템의 한 계통인 PPS (Plant Protection System)에 사이버보안 규제지침인 R.G. 5.71을 기반으로 보안 통제를 선정하는 사례 연구를 수행한다.