$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

원전디지털자산 사이버보안 규제 요건 개발을 위한 보안조치 적용 방안에 대한 분석
Analysis of the Application Method of Cyber Security Control to Develop Regulatory Requirement for Digital Assets in NPP 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.5, 2019년, pp.1077 - 1088  

김인경 (한국원자력통제기술원) ,  변예은 (한국원자력통제기술원) ,  권국희 (한국원자력통제기술원)

초록
AI-Helper 아이콘AI-Helper

원자력 발전소의 사이버위협이 현실화되면서 국제사회 및 국내에서는 사이버보안 규제지침 마련을 통해 필수디지털자산에 대한 적절한 보안조치를 적용하도록 요구하고 있다. 그러나 각 필수디지털자산에 대해 일괄적으로 동일한 사이버 보안조치 적용에 대해 규제 대상 내에서도 원전의 비상정지를 일으키고, 노심 손상을 유발할 수 있는 사고와 직접적으로 관련된 디지털자산에 단계적 접근방식을 적용한 규제 효과성 제고가 필요하다. 이에 본 연구에서는 원전 사고와 직접 관련된 디지털자산에 대하여 단계적 접근방식의 규제요건 개발을 위한 보안조치 적용 방안을 제시하였다. 단계적 접근방식의 기본적 고려사항인 규제 대상 설비의 침해영향도(Consequence)를 기반으로 한 규제 요건 적용을 위해 기존의 필수디지털자산에 요구되고 있는 보안조치를 보다 강화하거나 추가적인 보안조치를 개발하여 원전 사고와 직접 관련된 디지털자산에 요구하는 방식과 기존의 보안조치를 재분석하여 원전 사고와 직접 관련되지 않는 필수디지털자산에 대해서는 최소한의 보안조치를 요구하는 방식으로 크게 나누고 각 방안 별 세부적 사항을 기술하였다.

Abstract AI-Helper 아이콘AI-Helper

As the cyber threats of nuclear power plants become more necessary to systematically prepare against the cyber attack, the international community and the domestic government are urged to apply proper security controls for Critical Digital Assets (CDA) through cyber security regulatory guidelines. I...

주제어

#Nuclear digital assets   #cyber security   #Regulation  

표/그림 (8)

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 71 및 KINAC/RS-015 에서는 심층방호 구조를 4가지 등급으로 분류하여 필수디지털자산 중 안전 관련 기능(Safety function) 기능을 등급4에 배치하는 Fig 2의 예시를 통해 SSEP기능을 기준으로 하는 심층방호 전략을 제시하였다. 본 연구에서는 SSEP 기능 기준을 적용한 심층방호등급 분류에서 나아가 사고와 직접 연관된 디지털자산은 추가로 더 높은 등급에 배치하여 현행 요건을 강화시키는 방안을 제시한다. 즉.
  • 본 연구에서는 단계적 접근방식을 고려하여 사고와 직접적으로 연관된 디지털자산을 대상으로 기존에 필수디지털자산에 요구되고 있는 보안조치를 보다 강화하거나 추가적인 보안조치를 개발하여 하는 방안 및 현행 사이버 보안조치를 그대로 적용하고, 사고와의 연관성이 낮은 디지털자산에는 기존 보안조치를 대안적으로 만족시킬 수 있는 대안조치를 적용하는 방안을 제시하였다. 본 연구에서의 결과는 기존의 사이버보안 규제 대상 자산보다 높은 보안성을 가질 수 있는 규제 요건을 마련하는 기반이 될 것이며, 나아가 사고와 직접적으로 관련된 원전디지털자산 규제방안을 마련함으로써 원전의 보안성을 강화할 수 있을 것으로 기대된다.
  • 직접 필수디지털자산에 대해서는 설비의 소프트웨어 및 하드웨어 특성 등에 따라 유형을 분류하고, 유형별로 각 기술적 보안조치마다 적용 가능 여부와 대안조치에 대해서 사전에 평가하여 보안조치 적용 방안을 표준화한 후, 유형별로 일관된 보안조치를 적용하는 것을 기본으로 하고 있다. 이는 필수디지털자산에 대한 보안조치 적용 프로세스를 최적화하여, 규제 기준에서 요구하는 보안 수준을 효율적이고 효과적으로 달성하는 것을 목적으로 하고 있다.
  • 따라서 규제 대상 내에서도 원전의 비상정지를 일으키고, 노심 손상을 유발할 수 있는 디지털자산을 분석하고 관련된 자산에 단계적 접근방식을 적용한 보안대책 및 규제방향 제시를 통한 효과성 제고가 필요하다. 이에 본 연구에서는 사이버 위협으로 발생할 수 있는 원전 사고와 직접 관련된 디지털 자산에 대하여 국내외 원전 사이버보안 규제지침 및 최적관행 분석을 통해 단계적 접근방식의 규제요건도출을 위한 보안조치 적용 방안을 제시하고자 한다.
  • 원전디지털자산을 대상으로 하는 사이버보안 규제 활동은 규제기준에서의 100여가지의 보안조치 항목을 통제하는 방식으로 사이버 위협에 대응하는 체계로, 보안통제 적용 대상이 되는 필수디지털자산에 대해 일괄적으로 동일한 사이버 보안조치를 적용하는 것에 대한 실효성 제고가 필요하다. 이에 본 연구에서는 원자력시설 사이버보안 규제 대상 내에서도 사고와 직접 관련된 필수디지털자산의 집합으로 이루어진 디지털자산에 대해서는 더 많은 자원을 투입하는 규제 요건 도출을 위해 단계적 접근방식(Graded Approach)의 보안조치 적용 방안을 제시하고자 한다. 단계적 접근방식은 규제 대상 설비의 침해영향도(Consequence)를 분석하여, 높은 침해영향도를 갖는 설비에 대해 보다 높은 수준의 보안조치를 적용하는 것을 기본으로 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
단계적 접근방식을 적용하기 위한 방안은? 단계적 접근방식은 규제 대상 설비의 침해영향도(Consequence)를 분석하여, 높은 침해영향도를 갖는 설비에 대해 보다 높은 수준의 보안조치를 적용하는 것을 기본으로 한다. 이를 적용하기 위한 방안은 기존에 필수디지털자산에 요구되고 있는 보안조치를 보다 강화하거나 추가적인 보안조치를 개발하여 원전 사고와 직접 관련된 디지털자산에 요구하는 방식과 기존의 보안조치를 재분석하여 원전 사고와 직접 관련되지 않는 필수디지털자산에 대해서는 최소한의 보안조치를 요구하는 방식으로 크게 나눌 수 있어 본 장에서는 각각의 방식에 대해 세부적으로 구체화한 방안을 기술한다. 
“원자력시설 등의 컴퓨터 및 정보시스템 보안 기술기준”(KINAC/RS-015)의 규제 내용은? 국내에서도 원자력시설 등의 방호 및 방사능 방재 대책법(이하, 방사능방재법) 및 관련 원자력안전위원회 고시와 한국원자력통제기술원(KINAC)의 “원자력시설 등의 컴퓨터 및 정보시스템 보안 기술기준”(KINAC/RS-015)에 따라, 각 시설에서 정보시스템 보안규정을 마련하고 원자력시설의 안전(Safety-related 및 Important-to-Safety), 보안(Security), 비상대응(Emergency Preparedness) 기능을 수행하거나 침해 시 해당 기능에 악영향을 줄 수 있는 디지털기기를 필수디지털자산으로 식별하도록 요구하고 있으며, 각 필수디지털자산에 대해 적절한 보안조치를 적용하도록 규제하고 있으나 필수디지털자산에 대해 일괄적으로 동일한 사이버 보안조치 적용에 대한 보안조치 관리에 어려움이 있다. 따라서 규제 대상 내에서도 원전의 비상정지를 일으키고, 노심 손상을 유발할 수 있는 디지털자산을 분석하고 관련된 자산에 단계적 접근방식을 적용한 보안대책 및 규제방향 제시를 통한 효과성 제고가 필요하다.
원전디지털자산에 적용하는 단계적 접근방식이란? 이에 본 연구에서는 원자력시설 사이버보안 규제 대상 내에서도 사고와 직접 관련된 필수디지털자산의 집합으로 이루어진 디지털자산에 대해서는 더 많은 자원을 투입하는 규제 요건 도출을 위해 단계적 접근방식(Graded Approach)의 보안조치 적용 방안을 제시하고자 한다. 단계적 접근방식은 규제 대상 설비의 침해영향도(Consequence)를 분석하여, 높은 침해영향도를 갖는 설비에 대해 보다 높은 수준의 보안조치를 적용하는 것을 기본으로 한다. 이를 적용하기 위한 방안은 기존에 필수디지털자산에 요구되고 있는 보안조치를 보다 강화하거나 추가적인 보안조치를 개발하여 원전 사고와 직접 관련된 디지털자산에 요구하는 방식과 기존의 보안조치를 재분석하여 원전 사고와 직접 관련되지 않는 필수디지털자산에 대해서는 최소한의 보안조치를 요구하는 방식으로 크게 나눌 수 있어 본 장에서는 각각의 방식에 대해 세부적으로 구체화한 방안을 기술한다.
질의응답 정보가 도움이 되었나요?

참고문헌 (14)

  1. Korea Institute of Nuclear Nonproliferation And Control(KINAC), KINAC/RS-015, "Regulatory Standard on Computer Security of Nuclear Facilities", 2016. 

  2. Korea Institute of Nuclear Nonproliferation And Control(KINAC), KINAC/RS-019, "Regulatory Standard on Critical Digital Assets of Nuclear Facilities", 2015. 

  3. U,S.Nuclear Regulatory commissio(U.S.NRC), Regulatory Guide 5.71(R.G 5.71), "Cyber Security Programs for Nuclear Facilities", 2010. 

  4. U,S.Nuclear Regulatory commissio(U.S.NRC), Regulatory Guide(R.G) 1.152(Rev.2), "Criteria for Use of Computers in Safety Systems of Nuclear Power Plants", 2006. 

  5. U,S.Nuclear Regulatory commissio(U.S.NRC), 10 CFR 73.54, "Protection of Digital Computer and Communication Systems and Networks", 2009. 

  6. Nuclear Energy Institute(NEI), NEI 10-09(rev.0) "Addressing Cyber Security Controls for Nuclear Power Reactors", 2011. 

  7. Nuclear Energy Institute(NEI), NEI 08-09(rev.6) "Cyber Security Plan for Nuclear Power Reactors.", 2010. 

  8. Nuclear Energy Institute(NEI), NEI 10-04(rev.2) "Identifying Systems and Assets Subject to the Cyber Security Rule", 2012. 

  9. Nuclear Energy Institute(NEI), NEI 13-10(rev.6) "Cyber Security Control Assessments.", 2017. 

  10. International Atomic Energy Agency(IAEA), Nuclear Security Series No. 13, "Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities" (INFCIRC/225/Revision 5), 2011. 

  11. International Atomic Energy Agency(IAEA), "Nuclear Security Series No. 17, Computer Security at Nuclear Facilities", 2011. 

  12. International Atomic Energy Agency(IAEA), "Nuclear Security Series No. 13-T, Computer Security of Instrumentation and Control Systems at Nuclear Facilities", 2018. 

  13. National Institute of Standards Technology(NIST), 800-53(rev3) "Recommended Security Controls for Federal Information Systems and Organizations", 2015. 

  14. National Institute of Standards Technology(NIST), 800-82(rev2) "Guide to Industrial Control Systems (ICS) Security", 2015. hash protocols," CS-2006-20, Computer Science Department, University of Virginia, 2006. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로