3.3. 시뮬레이션 결과 및 비교 분석
앞서 기술된 ESFR 사보타주 시나리오를 TESS와 SAVI에 적용하여 1차원 ASD와 2차원 ASD 취약성 평가 프로그램의 특징을 비교 분석하였다.
(A) TESS 프로그램 결과
TESS는 시설의 2차원 배치도가 필요하므로 도면을 참조하여 500(m)×500(m)의 부지 위에 주요 건물 및 탐지 설비들을 모델링 하였으며 시설의 전체 조감도는
Fig. 5에 나타나 있다.
Fig. 5
ESFR Facility Modeling Overview
모델링에 소요되는 시간과 자원은 요구되는 세밀함 정도에 따라 크게 달라진다. 특히 TESS와 같은 2차원 취약성 분석 프로그램에서는 구성 요소가 늘어남에 따라 계산 속도가 급격히 느려지므로 신중한 최적화가 필요하다. 여기서는 건물 내부 모델링은 최소한으로 유지하고 외부 펜스 및 탐지 시설에 주안점을 두고 모델링을 진행하였다. 대응군은 6명의 인력으로 구성되었으며 발전소 외곽에 위치하고 있다. 실제 상황에서의 대응군 도착 시간은 적의 침투 전략이나 목표, 침투 경로에 따라 제각각 다르게 적용되어야 하지만 분석의 용이성을 위해서 모든 경우에 대하여 대응군 도착 시간을 960 초로 고정하였다.
이러한 시설 모델링 및 대응군 설정을 바탕으로 경로 분석을 수행한 결과는
Fig. 6과 같다.
Fig. 6
Infiltration Path and Event Log
결과 창의 상단에는 침입 경로가 붉은색 화살표로 표시 되며 화면 하단 좌편에는 시간에 따른 사건 목록이 보여지고 하단 우편에는 취약 경로 10개의 목록이 표시 된다. 취약 경로는 시설 외곽에서부터 시작하여 격리 구역(Isolated area), 방호구역, 연료 저장 구역(Fuel storage area) A, 연료 저장 구역 B, 금속 연료 제공 설비 구역(Metal fuel service area)을 거쳐 주제어실로 진입하는 경로이다. 침투 경로에 있는 각각의 방호 요소들이 결과에 어떤 영향을 미쳤는지를 보기 위해서는
Table 1과 같이 시간에 따른 사건 일람을 살펴보는 것이 유용하다.
Table 1
TESS Result : Event Log in Time
Time |
Position |
Note |
0:00 |
Outside area |
Attack begins |
0:04 |
Isolated area external fence |
Delay time : 100 (s) |
1:44 |
Passing Isolated area external fence |
Fence external vibration sensor detection probability : 20% |
1:49 |
IR sensor |
Delay time : 100 (s) |
3:29 |
Passing IR sensor |
IR sensor detection probability : 30% |
3:33 |
Isolated area internal fence |
Delay time : 100 (s) CDP, Pj=0.44 |
5:18 |
Passing Isolated area internal fence and entering protected area |
Fence internal vibration sensor detection probability : 80% Protected area distance : 95 (m) Protected area pass time : 85 (s) |
6:43 |
Door |
Breaching with explosives : 180 (s) |
9:48 |
Fuel storage area A |
Distance : 60 (m) Delay time : 54 (s) |
10:42 |
Door |
Breaching with explosives : 180 (s) |
13:51 |
Fuel storage area B |
Distance : 20 (m) Delay time : 18 (s) |
14:09 |
Door |
Breaching with explosives : 180 (s) |
17:13 |
Metal fuel service area |
Distance : 15 (m), Delay time : 14 (s) |
17:27 |
Door |
Breaching with explosives : 180 (s) |
20:36 |
MCR |
Distance : 15 (m), Delay time : 13 (s) |
Table 1에서 볼 수 있듯이 CDP는 격리 구역과 방호구역 사이의 내부 펜스에 위치하며 저지확률은 0.44이다. 또한 CDP 이후에 공격자가 목표물에 도달하는 시간은 17분 16초이다.
(B) SAVI 프로그램 결과
SAVI를 사용하기 위해 시설의 1차원 배치도를
Fig. 7과 같이 모델링하였다.
Fig. 7
침투 경로는 시설 외부에서부터 격리 구역을 통과하여 방호 구역으로 진입한 뒤에 연료 저장 구역 A, 연료 저장 구역 B, 금속 연료 제공 설비 구역을 거쳐 주제어실에 진입하는 경로이며 이는 TESS에서 얻어진 침투 경로와 동일한 결과이다. CDP도 TESS에서의 경우와 마찬가지로 격리 구역과 방호구역 사이의 내부 펜스에 위치하며 저지확률은 0.44이다. CDP 이후에 공격자가 목표물까지 방호벽을 통과하는데 걸리는 시간은 17분 16초가 나왔으며 시간에 따른 사건 일람은
Table 2 와 같이 주어진다.
Table 2
SAVI Result : Event Log in Time
Time after CDP |
Position |
Note |
0:00 |
Outside area |
Attack begins |
0:00 |
Isolated area external fence |
Delay time : 100 (s) |
0:00 |
Passing Isolated area external fence |
Fence external vibration sensor detection probability : 20% |
0:00 |
IR sensor |
Delay time : 100 (s) |
0:00 |
Passing IR sensor |
IR sensor detection probability : 30% |
0:00 |
Isolated area internal fence |
Delay time : 100 (s) |
|
|
CDP, PI=0.44 |
1:45 |
Passing Isolated area internal fence and entering protected area |
Fence internal vibration sensor detection probability : 80% Protected area distance : 95 (m) Protected area pass time : 85 (s) |
3:10 |
Door |
Breaching with explosives : 185 (s) |
6:15 |
Fuel storage area A |
Distance : 60 (m) Delay time : 54 (s) |
7:09 |
Door |
Breaching with explosives : 189 (s) |
10:18 |
Fuel storage area B |
Distance : 20 (m) Delay time : 18 (s) |
10:36 |
Door |
Breaching with explosives : 184 (s) |
13:40 |
Metal fuel service area |
Distance : 15 (m), Delay time : 14 (s) |
13:54 |
Door |
Breaching with explosives : 189 (s) |
17:03 |
MCR |
Distance : 15 (m), Delay time : 13 (s) |
SAVI에서는 TESS와는 달리 CDP 이전의 시간은 표시되지 않으며, 이는 탐지 이전의 지연 시간은 실제 물리적방호 성능평가에 있어서 무의미하다는 인식을 반영하는 것이다. 또한 CDP 이후에는 탐지가 된다고 해도 대응군이 침입군을 저지 할 시간이 충분치 않으므로 CDP 이후의 탐지확률은 계산되지 않으며 CDP 이전의 탐지확률만을 분석 대상으로 삼는다.
이와 같이 SAVI를 이용하여 분석을 하는데 있어서 한 가지 고려해야 할 점은 각 시설의 크기 및 넓이이다. 가령
Table 2에서 등장하는 방호구역이나 연료 저장 구역들을 통과하는데 있어서 실제 이동 길이는 침투 경로에 따라 변화하게 된다. 따라서 일반적으로는 건물이나 장소의 크기를 어림하여 입력 해 주어야 하므로 결과에 오차가 생기게 된다. 여기서는 앞서 기술한 TESS 분석 결과와의 일관성을 얻기 위해 TESS 분석 결과에서 얻어진 침투 경로를 이용하여 건물과 장소의 크기를 설정해 주었다.
(C) 취약성 분석 프로그램 결과 해석 및 비교 분석
앞서 살펴본 TESS와 SAVI 결과에서 얻어진 저지확률, CDP 위치, CDP 이후의 목표물까지의 소요 시간 등을 상호 비교해 보면 실질적으로 두 분석 결과는 동일하다는 것을 알 수 있다. 이와 같은 결과는 앞서 언급된 바와 같이 TESS 결과에서 얻어진 시설 크기 및 이동 경로의 길이 등을 활용하여 SAVI 적용을 위한 1차원 모델링을 하였기 때문이다. 비록 분석 결과만을 비교했을 때는 두 프로그램이 서로 부합하는 수치를 제공하였음에도 불구하고 세부 사항에서는 몇 가지 차이점을 보여주었다.
첫째, 시뮬레이션 수행 속도에 차이가 존재 한다. SAVI는 간략화된 시설 다이어그램을 기반으로 하는 1차원 ASD 프로그램이므로 수행 속도가 빠르다. 따라서 방호 요소 성능, 대응군 출동 시간과 같은 여러 가지 변수들을 바꿔가며 결과가 어떻게 변화하는지 살펴보는 연구를 수행하기가 비교적 용이하다. 또한 가능한 모든 경로 조합을 고려하더라도 일반 PC에서 충분히 수행 가능한 수준의 속도를 보여주므로 계산으로 얻어진 취약 경로의 유일성(uniqueness)이 보장된다. 반면 에 TESS는 보다 실제 시설 구조에 가까운 2차원 모델을 사용하고 있으므로 고려해야 할 변수가 매우 많아진다. 만일 공격자의 침투 전략이 고정되어 있는 것이 아니라 공격 초반에는 탐지확률을 최소로 하는 전략을 사용하다가 CDP를 지난 후부터는 지연 시간을 최소로 하는 전략을 쓰는 경우와 같이 경로를 따라가면서 전략이 변화하게 되는 변수까지 고려하게 되면 이러한 복잡성이 한층 더 증대된다. 이처럼 TESS는 1 차원 ASD 방식에 비해 추가적인 시뮬레이션 시간이 많이 소 요 되므로 각 방호 요소의 성능을 변화시켜 가면서 시설의 방호 성능을 테스트 하는데 어려움이 존재한다. 이러한 어려움을 개선하기 위해서는 위협 경로 탐색 알고리즘 및 시설 모델링의 최적화 기술 개발이 필요하다.
둘째, 시설 모델링의 난이도 및 유연성에 차이가 있다. SAVI는 공격자의 목표물이 정해지면 그 목표물까지 이어지는 중간 구역들을 직관적으로 선정한 후 그 구역들만을 고려 하여 방호 요소들을 설정해 주면 되므로 모델링 작업에 비교적 적은 노력이 투자된다. 반면에 TESS의 경우에는 중간 구 역을 설정하는 대신에 시설 전체를 모델링 해야 하므로 작업 량이 증대되며 방대한 기초 자료 수집도 요구된다. 이러한 기초 자료에는 시설 내부 도면 뿐만 아니라 주변 지형 지물, 감시 카메라의 감시 방향, 시야 범위, 대응군 위치 등이 포함된다. 두 프로그램은 모델링의 난이도 뿐만 아니라 유연성 측면에서도 차이를 보인다. SAVI에서는 일반적인 출입구, 펜스 이외에도 환풍구, 배수로, 항공기 침투 루트와 같이 다양한 침투 경로 설정이 가능하다. 물론 이러한 침투 경로의 세부 사 항이나 방호 성능을 설정하는데 있어서는 여러 가정들과 전문가의 직관이 필요하나 충분한 경험과 근거로 뒷받침 된다면 실질적인 위협 요소를 빠트리지 않고 모두 포함시킬 수 있다. 반면에 TESS와 같은 2차원 ASD 프로그램에서는 이와 같이 일반적이지 않은 침투 경로를 분석에 포함시키기 어렵다. 물론 프로그램의 업그레이드를 통해 필요한 요소들을 추가할 수는 있으나 새로운 코딩 작업이나 알고리즘의 개선이 수반되어야 하므로 시뮬레이션 개발 난이도가 급격히 증가할 우려가 있다. 따라서 시설의 침투 가능 경로들이 일반적인 특성에서 벗어나고 전문가적인 경험과 직관력이 뒷받침 되는 경우에는 1차원 ASD 방식이 2차원 ASD 방식보다 유연성을 발휘한다.
셋째, SAVI는 대략적인 이동 경로만을 보여주는 반면 TESS는 구체적인 이동 경로를 보여 준다는 차이점이 있다. SAVI에서는 침입자가 시설의 각 중간 구역을 어떤 방호 요소를 거쳐 통과하는지는 보여주지만 실제 지도에서의 이동 경로는 확정하기 어려운 반면 TESS에서는 이러한 경로를 비교 적 구체적으로 알려주며, 이러한 구체적인 경로는 결과의 빠른 이해를 돕고 방호 취약점에 대한 직관적인 분석 결과를 제시한다. 시각적인 효과 이외에 중요한 차이는 구체적인 경로에 따라 지연 시간 및 탐지확률이 차이를 보이게 된다는 점이다. 많은 경우에 각 센서들은 유효 탐지 범위를 가지고 있으며 때로는 적의 접근 방향에 따라서도 민감도가 크게 차이 나게 된다. SAVI는 이러한 문제들에 대한 근본적인 해결은 어렵고 다만 전문가의 경험에 의한 평균값을 사용하여 근사적 인 수치를 적용하여야 한다. 반면에 TESS는 증가하는 계산량에 대한 최적화만 이루어진다면 탐지 장비의 2차원 특성을 적용하기가 보다 용이하다. 마찬가지로 공격자의 지연 시간도 구체적인 경로에 영향을 크게 받는다. 특히 방호구역이나 큰 규모의 건물 내부와 같이 건물이나 시설 자체의 크기가 클 경우에는 그 요소를 가로지르는데 소요되는 시간도 고려되어야 하고 구체적인 침입 경로에 따라서 이동 시간이 달라지게 된 다. 예를 들어 앞의
Table 2의 SAVI 결과에서는 방호구역의 거리를 TESS 결과에서 얻어진 95 m로 설정하였으나 만일 TESS 결과가 없을 경우에는 시설의 전체 크기를 기준으로 산정하여야 한다. 시설을 둘러싼 펜스와 건물 출입구 사이의 평균 거리는 약 167 m이므로 이를 방호구역의 거리로 설정하여 SAVI 프로그램을 수행하면
Table 3과 같은 결과가 얻어진다.
Table 3
SAVI Result : Event Log in Time
Time after CDP |
Position |
Note |
0:00 |
Outside area |
Attack begins |
0:00 |
Isolated area external fence |
Delay time : 100 (s) |
0:00 |
Passing Isolated area external fence |
Fence external vibration sensor detection probability : 20% |
0:00 |
IR sensor |
Delay time : 100 (s) |
0:00 |
Passing IR sensor |
IR sensor detection probability : 30% |
0:00 |
Isolated area internal fence |
Delay time : 100 (s) |
0:00 |
Passing Isolated area internal fence |
Fence internal vibration sensor detection probability : 80% |
|
|
CDP, PI=0.89 |
0:00 |
Entering protected area |
Protected area distance : 167 (m) Protected area pass time : 150 (s) |
2:30 |
Door |
Breaching with explosives : 185 (s) |
5:35 |
Fuel storage area A |
Distance : 60 (m) Delay time : 54 (s) |
6:29 |
Door |
Breaching with explosives : 189 (s) |
9:38 |
Fuel storage area B |
Distance : 20 (m) Delay time : 18 (s) |
9:56 |
Door |
Breaching with explosives : 184 (s) |
13:00 |
Metal fuel service area |
Distance : 15 (m), Delay time : 14 (s) |
13:14 |
Door |
Breaching with explosives : 189 (s) |
16:23 |
MCR |
Distance : 15 (m), Delay time : 13 (s) |
방호구역의 거리가 167 m로 증가함에 따라 기존의 경우[방호구역 거리 = 95 m]보다 총 침투 시간은 1분 가량[72 m(= 167 m−95 m) 이동시간] 증가하는데 그쳤으나 CDP의 위치가 내부 펜스 통과 이전에서 통과 이후로 바뀌면서 저지확률
PI가 0.44에서 0.89로 증가하였다. 총 침투 시간 ~20분에 비해 1분 증가는 비교적 작은 폭의 증가이지만 저지확률 자체는 크게 변화를 보였는데 이는 누적 탐지확률이 시간에 선형적으로 증가하지 않고 계단형으로 증가하기 때문이다.
Fig 8은 이러한 경향을 그래프로 나타낸 것이다.
Fig. 8
Accumulated detection probability vs time
Fig. 8에서 보는 바와 같이 방호구역으로 진입하는 구간에서 누적탐지확률이 0.44에서 0.89로 큰 폭으로 증가하게 되는 데 이때 만일, CDP가 이 근방에 위치하는 경우에는 방호구역 거리 산정 결과에 따라
PI가 민감하게 변화하게 된다. 즉, 방호구역이 95 m일 때는 공격군을 시간 내에 저지 하기 위해서 방호구역 진입 전에 탐지를 해야 하는 반면, 방호구역 거리가 167 m일 때는 공격군이 방호구역에 진입한 후 탐지해도 대응이 가능하기 때문에 저지확률
PI 값이 큰 차이를 보인다. 이러한 예제에서도 알 수 있듯이 CDP 부근 시간대에 누적 탐지율에 크게 영향을 미치는 중요 탐지 장비가 있을 경우에는 보다 정확하게 침투 거리를 산정해야 저지확률의 오차를 줄일 수 있다. 따라서, SAVI로 특정 시설을 분석하는 경우에는 구성 요소 거리에 따른 민감도 분석이 중요하며, 거리 변화에 따른 결과 값의 편차가 크게 나타나는 경우에는 2차원 ASD 프로그램과 같이 보다 정밀한 분석 도구를 활용하여야 한다.
(D) 취약성 분석 프로그램 개선 필요 사항
이와 같이 두 프로그램의 접근 방식에 따라 장단점이 존재 하나 공통적으로 필요한 추가 개선 사항들이 존재 한다.
첫째, 내부 공모자 위협을 보다 현실적으로 반영할 수 있는 모듈 및 알고리즘 개발이 필요하다. 만일 시설에 내부 공모자 가 존재하고 충분한 권한이 주어졌을 시에는 공격자의 침입이 매우 용이해진다. 앞에서 예시로 들었던 침투 시나리오에 서는 CDP 이후의 대부분의 지연 시간을 제공하는 방벽은 경보가 울릴 시에 자동으로 잠금 장치가 작동하는 출입문이었다. 이 때 만일 내부 공모자가 존재하고 출입구의 잠금 장치를 해제할 수 있는 권한이 있는 경우에는 출입구들이 지연 장 벽으로써의 역할을 할 수 없게 되며 공격자의 입장에서는 손쉽게 목적을 달성할 수 있게 된다. 이처럼 내부 공모자가 물리적방호에 있어서 핵심적인 역할을 수행할 수 있으므로 반드시 이에 대한 분석과 고려가 취약성 평가 프로그램 개발에 포함되어야 한다.
둘째, 대응군의 배치 및 전략에 대한 모듈 및 알고리즘 개발이 필요하다. 대응군의 반응은 대응군의 수, 초기 배치, 통신, 소지 무기, 출동 전략, 공격자 위치 추적, 공격자의 목표 식별 등의 다양한 요소들로 구성되어 있다. 평시에 대응군은 하나의 소부대가 한 곳에 모여서 대기하거나 여러 장소에 분산 배치되어 있게 된다. 만일 한 곳에 모여 있는 경우라면 중앙 통제실에서 지시하는 장소로 곧장 출동하면 되지만 초기에 여러 장소에 분산 배치되어 있는 경우라면 서로간의 통신을 통해 공격자 추정 위치 부근 집결지로 모여서 전열을 가다듬는 과정이 필요하다. 또한 공격자와 대응군이 교전을 벌일 경우 교전 결과를 분석하는 모듈이 필요하고 만일 대응군이 여러 부대로 구성되어 시간차를 두고 투입될 경우에는 각각의 부 대가 맡게 되는 역할에 대한 분석도 중요하다. 이와 같이 다양한 대응군 요소를 포함한 취약성 분석 프로그램을 만들기 위해서는 그에 적합한 알고리즘 개발 및 프로그래밍 작업이 수행되어야 한다.
셋째, 복수의 목표물 공격 시나리오 관련 모듈 및 대응군 전략 개발이 필요하다. 유해 물질의 유출이나 대상 시설의 가동 중지를 목적으로 하는 사보타주의 경우에는 여러 개의 목표 물을 동시에 공격해야 하는 경우가 존재 한다. 이 때 공격해야 하는 목표물의 조합은 공격자의 의도 및 시나리오마다 달라지게 되는데 이러한 각각의 조합을 GEN-IV PR/PP Working Group에서 발간한 ESFR 보고서에서는 목표세트(equipment target set)라는 용어로 지칭하고 있다(
GIF/PRPPWG, 2009). 따라서 복수의 목표물 공격 시나리오 구성을 위해서는 먼저 취약 목표세트 및 이를 포함하는 핵심구역을 설정하는 과정 이 필요하며 이에 따라 대응군의 대응 전략이 세워져야 한다. 이 때, 공격자나 대응군 각각의 입장에서 여러 목표물들에 우선 순위를 부여하는 의사 결정 과정이 필요하므로 이러한 요소를 반영하여 프로그램을 개발하여야 한다.