BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry~5.0 Cyber-Physical Systems

이 논문은 산업 5.0 의 사이버 물리 시스템 보안 강화를 위해 이질적 데이터를 통합한 지식 그래프와 대규모 언어 모델 (LLM) 을 결합하여 맥락 인식 위협 분석과 정량적 복원력 평가를 가능하게 하는 AI 기반 프레임워크 'BRIDG-ICS'를 제안합니다.

핵심

🏭 1. 문제 상황: "보이지 않는 통로"가 생겼다

과거 공장은 외부와 완전히 차단된 '성벽 안의 성'(Air-gap) 과 같았습니다. 하지만 요즘은 공장 기계 (OT) 와 사무실 컴퓨터 (IT) 가 서로 연결되어 데이터를 주고받습니다.

• 비유: 성벽에 새로운 문이 생기고, 그 문으로 들어온 도둑이 성 안의 중요한 기계들을 망가뜨릴 수 있게 된 상황입니다.
• 문제: 기존의 보안 시스템은 '문' 하나하나만 지키려 했지만, 도둑이 성 안을 어떻게 돌아다니는지, 어떤 경로를 통해 핵심 기계를 공격할지 **전체적인 흐름 **(Attack Path) 을 파악하지 못했습니다.

🧠 2. 해결책: BRIDG-ICS (지능형 보안 지도)

이 논문이 제안하는 BRIDG-ICS는 공장 전체를 하나의 거대한 **'지식 그래프 **(Knowledge Graph)로 만드는 시스템입니다.

• 비유: 공장 전체를 **구글 지도 **(Google Maps)처럼 만든다고 상상해 보세요.
  • 기존 지도: 공장 건물과 기계 위치만 표시되어 있습니다.
  • BRIDG-ICS 지도: 기계와 기계 사이의 연결고리, 약한 문 (취약점), 그리고 도둑이 어떻게 이동할지 (공격 시나리오) 까지 3D 로 입체적으로 표시합니다.

🤖 3. 핵심 기술: AI 가 지도를 '완성'시킨다

이 시스템의 가장 큰 특징은 **인공지능 **(LLM)이 지도를 채워 넣는다는 점입니다.

• 상황: 공장에는 수천 개의 기계가 있고, 해커들의 공격 방법도 수만 가지입니다. 사람이 일일이 연결고리를 찾기엔 너무 방대합니다.
• **AI 의 역할 **(지식 채우기):
  • **추측 **(Inference): "A 기계와 B 기계는 공식적으로 연결되지 않았지만, 둘 다 같은 네트워크를 쓰니까 숨은 통로가 있을 거야!"라고 AI 가 추측하여 지도에 새로운 길을 그립니다.
  • **번역 **(Translation): 해커들이 쓴 복잡한 기술 문서 (영어, 코드 등) 를 AI 가 읽어보고, "이건 '문 잠금 장치'를 뚫는 방법이야"라고 해석하여 지도에 표시합니다.
  • 결과: 사람이 놓친 **숨은 위험 **(Latent Risk)까지 지도에 다 표시해 줍니다.

🛡️ 4. 시뮬레이션: "만약에..." 게임을 해보다

이 지도가 완성되면, 공장 보안 담당자는 다음과 같은 게임을 할 수 있습니다.

1. 공격 시뮬레이션: "만약 해커가 사무실 컴퓨터에 침입하면, 어떻게 공장 로봇까지 도달할까?"라고 물어봅니다.
   • 결과: AI 가 "이 경로로 가면 3 단계 만에 로봇을 멈출 수 있습니다"라고 가장 위험한 경로를 빨간색으로 표시해 줍니다.
2. 방어 시뮬레이션: "여기에 방화벽을 설치하면 어떨까?"라고 물어봅니다.
   • 결과: AI 가 "방화벽을 설치하면 해커가 로봇까지 가는 길이가 2 배로 길어지고, 위험도가 50% 줄어듭니다"라고 구체적인 수치로 보여줍니다.

📊 5. 실제 효과: "숨은 통로"를 찾아서 막다

실험 결과, 이 시스템을 쓰면 다음과 같은 변화가 있었습니다.

• 숨은 통로 발견: 기존에는 보이지 않던 해커의 이동 경로를 찾아냈습니다. (지도가 더 정밀해짐)
• 방어 효과 확인: 보안 장치를 설치했을 때, 해커가 이동하는 거리가 실제로 길어지고 위험도가 떨어지는 것을 숫자로 증명했습니다.
• 핵심 보호: 공장 전체에서 가장 중요한 '핵심 기계 (Crown Jewel)'를 지키기 위해 어디에 방어를 집중해야 하는지 알려줍니다.

💡 요약: 왜 이것이 중요한가?

이 논문은 **"공장의 보안은 단순히 문 잠그는 게 아니라, 전체 연결고리를 이해하는 것"**이라고 말합니다.

BRIDG-ICS 는 AI 가 만든 지능형 지도를 통해, 해커가 어떻게 움직일지 미리 예측하고, 가장 약한 고리를 찾아내어 **스마트 공장을 스스로 방어할 수 있게 **(Resilient) 만들어 줍니다. 마치 공장에 스마트한 보안 경비원을 배치하여, 도둑이 발을 들이기 전에 "여기서 지나가면 안 돼!"라고 미리 경고하는 것과 같습니다.

기술 요약

1. 문제 정의 (Problem Statement)

• 배경: Industry 5.0 의 등장으로 정보기술 (IT) 과 운영기술 (OT) 시스템의 통합이 가속화되면서 산업 운영의 효율성은 높아졌으나, 사이버 - 물리 공격 표면 (Attack Surface) 이 크게 확장되었습니다.
• 핵심 문제:
  • 기존 산업용 제어 시스템 (ICS) 은 전통적인 '공기 차단 (Air-gap)' 보안 모델을 기반으로 하여, IT/OT 통합 환경에서 발생하는 새로운 위협에 취약합니다.
  • 기존 위협 인텔리전스 (Threat Intelligence) 는 단편적인 경고에 그치거나, IT 와 OT 간의 상호의존성, 자산, 취약점, 적대적 행위를 연결하는 통합된 맥락 (Context) 을 제공하지 못합니다.
  • 기존 지식 그래프 (Knowledge Graph, KG) 접근법은 정적 (Static) 인 온톨로지에 의존하여 동적인 공격 경로 시뮬레이션이나 사이버 - 물리 시스템의 인과관계 추론에는 한계가 있습니다.
• 필요성: Industry 5.0 환경에서 복잡한 다단계 공격 체인을 이해하고, 데이터 기반의 완화 전략을 수립하기 위해 AI 기반의 맥락 인식형 지능형 위협 분석 프레임워크가 필요합니다.

2. 제안 방법론: BRIDG-ICS (Methodology)

BRIDG-ICS 는 산업 제어 시스템을 위한 AI 기반 지식 그래프 프레임워크로, 이질적인 데이터를 통합하고 대규모 언어 모델 (LLM) 을 활용하여 지식을 확장합니다.

가. 온톨로지 설계 및 지식 그래프 구축

• 통합 온톨로지: 산업 운영 (ICS), 취약점 (CVE, CWE, CAPEC), 그리고 적대적 전술 (MITRE ATT&CK) 을 하나의 의미론적 프레임워크로 통합합니다.
• 계층적 구조: ICS 자산 → CVE → CWE → CAPEC → MITRE ATT&CK 순서로 하위 온톨로지를 연결하여, 저수준의 장치 결함이 고수준의 공격 전술로 어떻게 이어지는지 매핑합니다.
• 데이터 소스: 공개 데이터 (CVE, CWE, CAPEC, ATT&CK) 와 산업용 테스트베드 (ISA-95/Purdue 아키텍처 기반) 의 로컬 데이터를 통합합니다.

나. AI 기반 지식 확장 (Knowledge Enrichment)

• LLM 활용: 보안 도메인 특화 LLM (SecureBERT, CySecBERT, SecRoBERTa 등) 을 사용하여 구조화되지 않은 텍스트 (취약점 설명, 위협 보고서) 에서 의미론적 관계를 추출합니다.
  • NER (개체명 인식): 도구, 파일, 네트워크 경로 등 도메인 특화 개체 추출.
  • RE (관계 추출): 취약점과 공격 기법 간의 암묵적 관계 추출.
  • NL2KG: 자연어 위협 설명을 구조화된 그래프 트리플로 변환하여 누락된 연결을 채웁니다.
• 그래프 임베딩: FastRP 및 KNN 기반 유사도 검색을 통해 관찰되지 않았지만 존재할 가능성이 높은 통신 링크 (Latent Dependencies) 를 추론하여 그래프를 확장합니다.

다. 위험 모델링 및 공격 경로 시뮬레이션

• 확률적 위험 지표: 통신 링크 (COMMUNICATES WITH) 에 대해 다음 지표를 할당합니다.
  • pExploit: 제어 강도 (Control Strength) 를 고려하여 EPSS(Exploit Prediction Scoring System) 값을 조정된 공격 성공 확률.
  • attackCost: 공격자의 자원 소모량 (CVSS 기반).
  • riskWeight: 공격 확률과 자산의 중요도 (Criticality) 를 결합한 잔여 위험.
• 공격 경로 분석: Yen 의 k-최단 경로 알고리즘 등을 사용하여 다단계 공격 경로를 시뮬레이션하고, 보안 통제 (Network Segmentation, Patching 등) 적용 전후의 시스템 노출도를 정량적으로 비교합니다.

3. 주요 기여 (Key Contributions)

1. Industry 5.0 지식 그래프 구축: 산업 데이터와 다양한 사이버 보안 데이터셋을 융합하여 프로세스 수준의 의미론과 장치 간 종속성을 인코딩한 도메인 특화 KG 를 개발했습니다.
2. 지능형 KG 확장 (Intelligent KG Enrichment): LLM 을 활용한 NER, RE, NL2KG 기술과 그래프 임베딩을 결합하여 누락된 엔티티와 관계를 자동 추론하고 그래프의 시맨틱 깊이를 강화했습니다.
3. 맥락 인식 위협 분석: IT 와 OT 보안 뷰를 통합하여 다층적 위협 추론을 가능하게 했으며, 적의 의도, 영향 전파, 교차 영역 공격 체인에 대한 통찰력을 제공합니다.
4. 데이터 기반 공격 경로 발견: 그래프 기반 학습을 통해 공격 시나리오를 시뮬레이션하고, 확률적 위험 속성을 할당하여 공격 경로와 통제 효과성을 예측합니다.
5. 회복탄력성 및 적응형 방어: 보안 통제 적용 전후의 시나리오 기반 시뮬레이션을 통해 시스템의 회복탄력성을 정량화하고, 자율적이고 지속 가능한 Industry 5.0 생태계 구축을 지원합니다.

4. 실험 결과 (Results)

15 개의 스마트 제조 시나리오를 대상으로 한 실험 결과는 다음과 같습니다.

• 지식 확장 효과 (Enrichment):
  • LLM 과 그래프 임베딩을 통한 지식 확장은 기존에 관찰되지 않았던 공격 경로를 발견하여 공격자의 도달 가능한 자산 수를 증가시켰습니다 (예: 5 개 미만에서 12 개 이상으로).
  • 이는 숨겨진 취약점과 의존성을 드러내어 공격 표면 (Attack Surface) 을 더 정확하게 파악할 수 있게 합니다.
• 공격 경로 길이 변화:
  • 확장된 그래프 (Enriched): 추론된 연결로 인해 공격자가 목표에 도달하는 평균 홉 (Hop) 수가 20~40% 감소했습니다 (약 4.0 홉 → 3.5 홉). 이는 더 직접적인 공격 경로의 존재를 의미합니다.
  • 통제 적용 후 (Controlled): NIST SP 800-53 및 IEC 62443 기반 보안 통제 (네트워크 분할, 패치 관리 등) 를 적용한 후, 평균 공격 경로 길이는 25~50% 증가했습니다 (약 5.5 홉). 이는 방어 조치가 공격자의 횡적 이동 (Lateral Movement) 을 효과적으로 차단함을 보여줍니다.
• 중심성 분석 (Centrality Analysis):
  • PageRank 및 Betweenness Centrality 분석을 통해 게이트웨이, 로봇 셀 PLC 등 통신 중개 노드가 공격자의 이동에 미치는 영향력이 크다는 것을 확인했습니다.
  • 커뮤니티 감지 (Community Detection) 를 통해 고도로 통합된 서브네트워크 내에서의 위험 전파 (Cascade) 가능성을 식별했습니다.
• 잔여 위험 감소: 보안 통제 적용 후 주요 산업 자산의 잔여 위험이 5% 에서 100% 까지 크게 감소하는 것을 확인했습니다.

5. 의의 및 결론 (Significance)

• 통합적 관점 제공: BRIDG-ICS 는 IT/OT 간의 의미론적 격차를 해소하고, 취약점, 자산, 공격 행위를 하나의 통합된 그래프 모델로 연결함으로써 Industry 5.0 환경의 복잡한 사이버 - 물리 위협을 체계적으로 분석할 수 있는 기반을 마련했습니다.
• 예측 및 예방 능력: 정적 인벤토리 분석을 넘어, AI 기반의 추론을 통해 잠재적인 공격 경로를 사전에 예측하고, 보안 조치의 효과를 정량적으로 평가할 수 있게 합니다.
• 미래 지향성: 이 프레임워크는 향후 LLM 기반의 설명 가능한 위협 해석 (Explainable Threat Interpretation) 과 자율적인 방어 에이전트 (Agentic AI) 로의 확장을 가능하게 하여, Industry 5.0 의 지능형 사이버 보안 생태계 구축에 핵심적인 역할을 할 것으로 기대됩니다.

요약하자면, BRIDG-ICS는 AI 와 지식 그래프 기술을 결합하여 산업 제어 시스템의 동적이고 복잡한 위협을 모델링하고, 데이터 기반의 정량적 위험 평가를 통해 보다 견고한 사이버 - 물리 시스템 회복탄력성을 확보하는 혁신적인 프레임워크입니다.