The introduction of digital and automation technologies within nuclear power plants (NPPs) has raised cyber security-related issues in the nuclear industry. Regulatory agencies require all nuclear facilities to have adequate cyber attack prevention and response capabilities, but previous studies on cyber security have focused mainly on prevention rather than response. Although technical guidelines suggest that the scope of cyber attack response strategies should be expanded security-oriented to safety-oriented depending on the progress state of a cyber attack, the guidelines do not describe how to identify the states or how to plan a course of response actions. To solve this problem, a system that can estimate security states is developed. The hidden Markov model (HMM)-based state estimation method is adopted to identify the most probable security state transition path given a sequence of security alarms. To address the shortage of training datasets required for model construction, a knowledge-based method is developed that utilizes available system knowledge. In addition, an online model update method is developed to address the limitations of the knowledge-based method. Although the current security state can be estimated, operators may find it difficult to plan cyber attack response actions. In this study, a system is developed to support operators in planning response actions based on the estimated security state. The Markov decision process (MDP) model-based response planning method is used to establish an optimal response plan. An MDP modeling method is developed in which the cyber attack process is affected by response actions taken, and an agent modeling method is developed to identify the optimal response plan. In addition, a case study is conducted to prove the feasibility of the developed systems. A cyber attack scenario is implemented experimentally using a hardware-in-the-loop (HIL) system. The developed system detected a cyber attack at an early stage and distinguished false alarm scenarios by probabilistically estimating the occurrence of a cyber attack. In addition to detecting cyber attacks, the security state transition path was estimated with a high level of confidence. The developed support system was able to recommend the optimal action based on the estimated security state. Moreover, it was able to quantify the expected effect of the response plan, which could help operators to verify the effectiveness of the response plan in advance. It was proved that the developed integrated cyber attack support system can help operators to understand the progress of cyber attacks and implement the optimal response actions. Therefore, the developed system is expected to improve the cyber attack response capabilities of NPPs in the future.

원자력 발전소 내 디지털 및 자동화 기술의 도입은 원자력 산업에서 사이버 보안이라는 새로운 문제를 일으켰습니다. 사이버 보안 문제를 해결하기 위해 규제 기관들은 모든 원자력 시설에 충분한 사이버 공격 방지 및 대응 능력을 갖출 것을 요구하지만, 지금까지의 사이버 보안 연구는 대응 역량보다는 주로 예방 역량에 주로 중점을 두어 수행됐습니다. 게다가 규제 및 표준 기관의 기술 가이드 문서에서도 시스템의 보안상태에 따라 적절한 대응 전략이 취해져야 한다고 권장하고 있을 뿐, 현재의 보안상태를 식별하는 방법이나 대응 조치 과정을 계획하는 방법에 관해서는 설명하고 있지 않습니다. 이를 해결하기 위해 본 연구에서는 사이버 공격 시 원전의 보안상태를 추정할 수 있는 시스템이 개발되었습니다. 개발된 시스템은 은닉 마르코프 모델을 사용하여 일련의 보안 경보가 제공될 때 가장 가능성 있는 보안 상태 전이 경로를 식별할 수 있습니다. 모델 구축에 필요한 데이터 부족 문제를 해결하기 위해 가용할 수 있는 지식을 활용하여 은닉 마르코프 모델을 구축할 방법이 개발되었습니다. 또한, 공격자의 유형을 사전에 예측할 수 없는 지식 기반의 모델 구축 방식의 한계점을 극복하기 위해 온라인 모델 업데이트 방법이 함께 개발되어 적용되었습니다. 보안 상태 추정 이후에도 운전원이 적절한 대응 조치를 수행할 수 있도록 하는 지원 시스템이 여전히 필요합니다. 본 연구에서는, 원전 내 사이버 공격 대응 프로세스를 마르코프 결정 프로세스 형식으로 모형화하는 방법을 개발하였습니다. 또한 의사결정 에이전트가 구축된 마르코프 결정 프로세스 모델을 사용하여 실시간으로 최적의 대응 행동을 추천할 수 있도록 모형화하는 방법이 함께 개발되었습니다. 본 연구에서는 사례 연구를 수행하여 개발된 시스템의 타당성을 증명하였습니다. 원전 사이버 공격 시나리오를 HIL (hardware-in-the-loop) 시스템을 사용하여 실험적으로 구현하였습니다. 개발된 사이버 공격 통합 대응 지원 시스템은 사이버 공격의 발생을 확률적으로 판별함으로써 사이버 공격을 조기에 탐지할 수 있을 뿐만 아니라 오경보 시나리오를 구별할 수 있었습니다. 사이버 공격을 탐지하는 것 외에도 보안상태 전환 경로를 높은 신뢰도로 추정할 수 있습니다. 개발된 시스템은 보안 상태 추정을 기반으로 최적의 대응 조치를 계획하고 추천할 수 있었습니다. 또한 대응 계획의 예상 효과를 정량적으로 평가할 수 있어 운영자가 대응 계획의 효과를 사전에 검증하는 데 도움이 될 수 있었습니다. 개발된 사이버 공격 통합 지원 시스템은 운영자가 사이버 공격의 진행 상황을 이해하고 취해야 할 대응 조치에 대한 최적의 결정을 내리는 데 도움을 줄 수 있다는 것이 증명되었습니다. 개발된 시스템은 향후 원자력 발전소의 사이버 공격 대응 능력을 향상하는데 도움을 줄 수 있을 것으로 기대됩니다.