A Study on Security Requirements of Shipboard Combat System based on Threat Modelling

Seong-cheol Yun; Tae-shik Shon

doi:10.9766/KIMST.2023.26.3.281

J. KIMS Technol > Volume 26(3); 2023 > Article

위협 모델링 기반 함정 전투체계 보안 요구사항에 관한 연구

Research Paper

정보·통신 부문

Journal of the Korean Military Science and Technology Society 2023;26(3):281-301.

Published online: June 05, 2023

DOI: https://doi.org/10.9766/KIMST.2023.26.3.281

위협 모델링 기반 함정 전투체계 보안 요구사항에 관한 연구

윤성철^1),^*, 손태식²⁾

¹⁾아주대학교 정보통신공학과

²⁾아주대학교 사이버보안학과

A Study on Security Requirements of Shipboard Combat System based on Threat Modelling

Seong-cheol Yun^1),^*, Tae-shik Shon²⁾

¹⁾Department of Information and Communication Engineering, Ajou University, Korea

²⁾Department of Cyber Security, Ajou University, Korea

^*Corresponding author, E-mail: tsshon@ajou.ac.kr

Received February 18, 2023 Revised April 24, 2023 Accepted May 05, 2023

This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/4.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Abstract

The shipboard combat system is a key system for naval combat that supports a command and control process cycle consisting of Detect - Control - Engage in real time to ensure ship viability and conduct combat missions. Modern combat systems were developed on the basis of Open Architecture(OA) to maximize acceptance of latest technology and interoperability between systems, and actively introduced the COTS(Commercial-of-the-shelf). However, as a result of that, vulnerabilities inherent in COTS SW and HW also occurred in the combat system. The importance of combat system cybersecurity is being emphasized but cybersecurity research reflecting the characteristics of the combat system is still lacking in Korea. Therefore, in this paper, we systematically identify combat system threats by applying Data Flow Diagram, Microsoft STRIDE threat modelling methodology. The threats were analyzed using the Attack Tree & Misuse case. Finally we derived the applicable security requirements which can be used at stages of planning and designing combat system and verified security requirements through NIST 800-53 security control items.

Keywords: Shipboard Combat System, Security by Design, Threat Modelling, Security Requirements, STRIDE

서 론

21세기 현대 해군의 전투영역은 수상, 수중, 공중 외 대지, 초수평면, 우주 및 사이버 공간에 이르기까지 지속 확대되고 있다. 또한 첨단 과학기술의 발전으로 함정에 치명적인 피해를 줄 수 있는 유도무기 체계는 더욱 고속화, 지능화, 정밀화, 스텔스화되고 사거리가 증대되고 있으며 무인 항공기/함정/잠수정 등 함정이 대응해야 할 전투 플랫폼들이 다양해졌다. 그 결과 함정의 생존성 보장을 위해서 함정이 보유한 센서체계 및 무장 능력의 전반적 향상이 요구되는 동시에, 탐지한 표적을 조기에 식별하여 가용 무장 중 최적의 무장을 할당/발사/유도하며 이후 신속한 교전평가를 통해 최적의 지휘결심 프로세스를 지원하는 복합 컴퓨팅체계의 필요성이 식별되었다.

전투체계는 함 생존성 보장 및 임무 수행을 위해 함정의 탐지(Detect) - 통제(Control) - 교전(Engage)으로 구성되는 지휘·통제 순환(Iterative) 프로세스를 실시간으로 지원하는 해군 전투의 핵심이 되는 체계로 복잡한 연산을 실시간으로 구현하기 위해 첨단 IT 기술이 집약된 독립 체계들이 상호 연동하며 통합된 System of systems이다^[1].

전투체계는 최신 민간 기술의 적시적 수용과 체계 간 상호운용성, 이식성 및 확장성을 극대화하기 위해 개방형 구조(OA, Open Architecture)를 기반으로 개발되었고 COTS(Commercial-of-the-shelf) 제품군을 적극 도입하였다. 그 결과 전투체계는 현대 해군의 전투 수행을 위한 성능적 요구조건을 만족하게 되었으나 사이버보안 측면에서 민간 SW, HW에 내재한 취약점들이 전투체계에도 발생하는 문제점이 발생하게 되었다.

전투체계는 타 네트워크와 연동 없이 함정 자체 폐쇄망으로 운용되기에 사이버보안 측면에서 군 인트라넷, 인터넷 대비 예산 투자, 보안 관제 등에 대한 관심도가 낮았으나 최근 들어 분명한 공격목표와 의도를 가진 공격자에게는 폐쇄망도 결코 안전할 수 없다는 국내외적 사례와 연구를 기반으로 전투체계 보안에 대한 연구가 활발히 진행되고 있다.

전투체계 특성상 이미 개발 완료된 전투체계의 보안 요구사항을 분석하고 보안 기능을 추가하는 것은 많은 비용이 소모된다. 따라서 전투체계 보안 강화를 위해서는 요구분석 및 개발 단계부터 체계적인 방법론 적용을 통해 도출한 보안 요구사항이 사전에 식별·반영되어야 하며 무기체계 수명주기 전체에 지속적인 보안 수준 평가가 수반되어야 한다. 이전 연구들은 전투체계 보안 관련 기술적, 제도적 개선방안을 제시하고 일부 연구의 경우 발생 가능한 공격 시나리오를 도출하는 등 성과를 거두었으나^[2-8] 전투체계의 데이터흐름과 고유 특징을 분석하여 실무자 관점에서 전투체계 개발·운용단계에 활용할 수 있는 보안 요구사항을 도출하는 연구는 부재했다.

본 논문에서는 국내·외 최초로 전투체계의 데이터흐름(Data Flow)를 분석하고 위협 모델링 방법론을 적용해 전투체계 보안 요구사항을 도출하고자 한다. 이를 위해 2장에서는 함정 전투체계 개념, 보안내재화 및 위협 모델링 관련 연구 동향을 소개하고 이어서 함정 전투체계 보안 관련 연구를 소개한다. 3장에서는 DFD 작성 후 STRIDE 위협 모델링을 적용하여 보안 위협 및 위험 분석을 수행하고, Attack Tree 작성을 통해 보안 요구사항 Check List를 도출한다. 4장에서는 NIST 800-53 보안 통제항목을 통해 도출한 Check List 의 충분성을 점검하고 Check List의 활용방안에 대해 소개하며, 마지막 5장에서는 결론 및 향후 연구방향을 제시한다.

2.1 함정 전투체계

함정 전투체계란 “함정에 탑재된 장비로부터 획득한 모든 전술자료를 실시간 제공하여 지휘결심을 용이하게 하며, 효율적인 무장통제로 함정의 전투 임무 수행을 극대화하기 위한 통합된 무기체계”(해군용어사전, 2011)로서 함정 탑재장비를 통합하고 표적 탐지-지휘결심-교전 과정을 자동화하여 현대 해군 함정의 두뇌 역할을 수행하는 핵심 체계이다. Fig. 1은 함정 전투체계의 운용개념을 나타낸다.

Fig. 1.

Concept of operation of shipboard combat system^[9]

우리 해군은 1990년대 영국 BAE Systems사 SSCS Mk7 전투체계를 광개토대왕급 구축함(DDH-I)에 최초로 도입하였다. 이후 미국 LOCKHEED MARTIN사 ACS(Aegis Combat System)을 세종대왕급 구축함에 도입하는 등 외국산 전투체계를 수입하여 운용하다가 2002년 국방과학연구소가 네덜란드 Thales사와 기술협력하여 LPH 전투체계를 연구 개발했다. 2003년에는 순수 국내기술만으로 PKG-A 전투체계 개발에 착수하여 2008년 전력화하였고 FFG-I/II, LST-II, MLS-II, PKG-B 및 장보고-III 잠수함 전투체계를 국방과학연구소와 국내 방산업체 주도 연구개발을 완료하였다. 향후 FFG-III, 차기구축함(KDDX)까지 국내 개발 전투체계가 지속 탑재된다. 함형별 세부 구성은 상이하나 함정 전투체계의 일반적인 구성은 Fig. 2와 같다.

Fig. 2.

Domestic shipboard combat system^[10]

소스코드를 확인할 수 없어 Secure SDLC 적용이 제한되었던 외국산 전투체계와는 달리 국내 개발 전투체계의 경우 전투체계 개발 단계부터 운용단계까지 전 수명 주기별 Secure SDLC 적용이 가능하다. 따라서 현재 해군은 무기체계 소요제기 단계부터 RFP 및 보안대책 작성 시 Secure Coding 적용 등 보안 요구사항을 명시하고, 요구사항 준수 여부를 시험평가 및 산출물 검증을 통해 확인하고 있으며, 체계 운용 중에도 보안점검 결과 이상 발생 시 이를 즉각 수정하며 보안 위협에 대응하고 있다.

2.2 보안내재화

보안내재화(Security by Design)란 기능 분석 및 설계와 같이 초기 개발 단계부터 보안을 고려함으로써 체계 복잡도를 감소시켜 제품의 신뢰성(Trustworthiness)을 달성하는 것을 말한다. 이와 같이 보안내재화 개념을 반영한 개발 프로세스를 Secure SDLC(Secure SW Development Life Cycle) 또는 보안공학 프로세스(Security Engineering Process)라고 하며^[11] 소프트웨어 개발 시 요구사항 분석/설계/구현/테스트/유지보수로 이어지는 소프트웨어 생명주기(SDLC) 각 단계별로 수행되어야 할 보안활동을 정의한다.

Microsoft, IBM 등 산업계에서는 2000년대 초부터 Secure SDLC를 민간에 전파하기 시작했다. 특히 Microsoft는 MS-SDL(Microsoft Security Development Lifecycle)을 Windows VISTA 개발부터 적용하였고 SDL 을 위한 전용 도구를 개발하는 등 활발한 연구를 진행하고 있다^[12,13].

군 무기체계의 경우 과학기술 발전에 따라 무기체계 내 SW가 차지하는 비중이 급격히 증가했으며, 개발∙운용∙정비 효율성 고려 무기체계 HW/SW는 대부분 개방형 OS 등 COTS(Commercial On-The-Shelf) 기반 컴퓨터, 네트워크로 구성되었다. 또한 통합·연동 경향 심화로 타체계-타군-타국 간 안정적인 상호운용성 확보가 무기체계 개발·운용 시 핵심 화두가 되었다. 그러나 군 내 COTS 사용에 따라 민간에서 사용하는 제품에 내재한 보안취약점이 군 내에도 위협이 되고 있으며, 무기체계 상호운용성 확보에 따른 연동접점 증대로 개별 무기체계 내 존재하는 보안 위협이 타체계에도 영향을 미쳐 연동된 전체 무기체계의 보안 위협으로 작용하고 있다.

이에 대응하기 위해서는 무기체계와 보안기술을 별도로 개발하여 적용하던 사후 대응방식(Bolt-On)에서 무기체계 개발 단계부터 연동접점 등을 포함한 보안 위협을 종합적으로 검토하여 보안 기능을 통합 개발하는 사전 대응방식(Built-In)으로 군의 보안 대응 전략 변화가 필요하다. Secure SDLC는 무기체계 보안내재화를 실현하기 위해 적합한 수단이다.

2.3 위협 모델링

위협 모델링은 체계의 데이터흐름에 따라 내부 정보를 체계적으로 분석하고, 발생할 수 있는 전반적인 보안 위협을 식별하는 방법론이다. 설계 시점부터 발생 가능한 위협을 조기에 식별하여 제거하고 체계 전반 보안성을 강화하기 위해 사용한다. 또한 위협 모델링은 잠재적 피해 및 영향을 포함한 보안 위협의 완화 전략을 구상하는 과정이다^[14-17].

특히 Microsoft사는 1999년 자체적으로 활용하는 STRIDE 방법론을 소개한 이후 현재까지 해당 방법론을 지속 발전시키고 있고 방법론을 지원하는 도구들도 개발하고 있다^[13]. 이외에도 개인정보 위협 식별에 특화된 LINDDUN^[18], Carnegie Mellon University의 OCTAVE^[19], OctoTrike의 Trike^[20], OWASP의 PASTA^[21] 같이 위협 모델링을 실시할 체계의 특성, 사용 목적 등을 고려한 여러 위협 모델링 방법론이 존재한다.

일반적으로 위협 모델링을 활용하여 보안 위협을 분석할 경우 대상 체계 분석, 구성요소별 최신 위협 수집, Attack Tree 작성^[22], 위협 완화 및 정보보증을 위한 보안 요구사항 Check List 도출 순으로 진행한다.^[17] 현재 국내외 학계, 산업계에는 위협 모델링을 이용하여 보안 위협을 체계적으로 분석한 다양한 연구결과가 존재한다. 또한 군 체계를 대상으로 위협 모델링을 적용한 국외 사례와 공군 전투기를 대상으로 한 국내 사례가 존재한다.^[23-25] 그러나, 해군 체계를 대상으로 위협 모델링 기법을 적용한 국내 연구사례는 부재한 상황이다.

2.4 함정 전투체계 보안 연구

임종인^[26]은 해군이 4차 산업혁명 첨단 기술 적용한 체계 탑재 및 운용을 통해 스마트 네이비 정책을 추진함에 따라 사이버 공격 대상과 범위가 대폭 확대된 것을 언급하며 무기체계 소프트웨어 개발 단계부터 보안내재화(Security by Design)을 구현하고 RMF(Risk Management Framework)를 적용하여 무기체계 수명주기 전반 위협을 경감시키고 주요 전력에 대한 사이버 회복탄력성을 확보해야 함을 강조했다.

이수원, 이재연, 홍석준^[27]은 함정 전투체계 네트워크, 서버, 단말, 보안정책 분야별 보호방안을 제시하였다. 그러나, 함정 전투체계 데이터흐름, 체계구성에 대한 분석 없이 각 분야별 일반적인 단말기 보안설정 수준의 대책만을 제시했다는 한계가 있다.

이철규, 김영갑^[28]은 전투체계 소프트웨어 중요성 대비 현 한국군의 사이버보안 분야 시험과 검증은 체계 자체 성능/기능 검증에 비해 우선순위가 낮은 점과 보안성 시험이 응용프로그램만을 대상으로 실시 중인 한계를 설명하며, 이를 개선하기 위해 전투체계 특성을 반영한 미들웨어 및 운영체제에 대한 보안성 시험 및 검증 항목을 제안하였고 보안성 시험 지침 정립 등 제도적 개선이 병행되어야 함을 설명하였다.

또한 이철규, 김영갑은 위 연구주제를 더욱 발전시킨 논문^[29]에서 전투체계 개발 단계에 체계적이고 실용적인 보안성 시험이 필요함을 환기하는 동시에 전투체계 특성을 반영한 보안성 시험 카테고리와 세부 항목을 제시하였다.

장재욱, 선희갑, 황재룡^[30]은 함정 전투체계와 유사한 구조를 가진 ICS/SCADA 시스템에 대한 사이버공격 사례를 통해 전투체계 내 발생 가능한 사이버 위협과 실현 가능성을 분석하고 제도적, 기술적 발전방안을 제시했다. 또한 SW 전 생애주기 간 정보보증, 사이버복원력을 보장할 수 있는 한국형 RMF를 개발하고 전투체계 가용성을 침해하지 않는 범위 내에서 엄격한 시큐어 코딩룰과 암호화 알고리즘을 적용해야 한다고 설명했다. 해당 논문은 전투체계와 유사한 참조 사례 식별 및 전투체계 구조 분석을 통해 전투체계에서 발생 가능한 공격을 식별하였으나, 실제 전투체계를 기획·개발하는 실무자가 안전한 전투체계를 구축하기 위해 참조할 수 있는 보안 요구사항 도출까지는 이르지 못했다는 한계점이 존재한다.

함정 전투체계 위협 모델링

본 논문에서는 함정 전투체계 보안 요구사항 도출을 위해 위협 모델링을 수행한다. DFD(Data Flow Diagram)를 작성하여 전투체계 내 데이터흐름을 추상화하고 STRIDE로 Element 내 발생 가능한 일반적 위협을 식별한다. 그리고 사전에 공개된 위협을 수집한 Attack Library를 기반으로 Attack Tree를 작성하여 전투체계에서 발생 가능한 위협을 구체화하고 Misuse Case를 통해 이를 검증하여 최종적으로 전투체계에 적용 가능한 보안요구사항 Check List를 도출한다. Fig. 3은 본 논문의 전투체계 위협모델링 절차를 나타낸다.

Fig. 3.

Threat modelling process

3.1 고려사항

본 논문은 군 무기체계인 함정 전투체계 보안 요구사항을 분석하는 연구로서 군 보안규정에 저촉되지 않는 범위 내에서 연구를 수행한다.

본 논문에서 추상화된 전투체계는 특정 함형에 탑재된 전투체계를 의미하지 않는다. 특허/학술대회/학술지/학위논문 등 공개된 출처에 나타난 전투체계 데이터흐름과 구조를 분석하였고, 그 결과를 바탕으로 탐지(Detect) - 통제(Control) - 교전(Control)이라는 전투체계 핵심 프로세스를 중심으로 일반적인 함정 전투체계를 재구성하였다. Fig. 4, 5는 각각 공개된 논문에 명시된 전투체계 아키텍쳐, 교전흐름이다^[9,10,31-45].

Fig. 4.

Combat system functional architecture^[9]

Fig. 5.

Anti-aircraft operation procedure of combat system^[34]

3.2 Data Flow Diagram(DFD) 작성

함정 전투체계 위협 모델링의 첫 단계로 체계의 전반적인 구조 파악, 구성요소 식별 및 데이터 흐름 분석을 위해 DFD를 작성하였다. DFD 사용 시 복잡한 분석 대상 시스템의 구성과 정보흐름을 도식화할 수 있는 장점이 있다. DFD의 주요 구성요소는 Table 1과 같다.

Table 1.

Description of data flow diagram

Element	Shape	Description
External Entity		• External subject requesting services from the analysis target(Users, Agencies, Servers, etc) • Things outside your Control
Process		• Functions performed inside the system (modules, functions) • Code
Data Flow		• Communication between processes, data stores • How information flows between other elements
Data Store		• Temporary, permanently stored and retrieved storage (DB), files, registry, IT products, etc • Data at rest
Trust Boundary		• Areas separated by system access and subject to processing information • Same security level shared area

DFD는 시스템을 구체화하는 정도에 따라 Level을 구분하여 작성한다. Context Level의 경우 분석 대상 시스템을 중심에 표기 후 상호작용하는 모든 외부 객체를 표기한다. Level 0은 주요 프로세스를 서브 시스템 단위로 분리하며, Level 1은 분석 대상 시스템을 모듈 단위로 분리하여 각 프로세스가 수행하기 위해 필수적으로 수행해야 하는 기능을 표현한다. Level 2는 프로세스를 모듈 내 구성 함수 단위로 분리하여 각각의 프로세스로 표현한다.

DFD를 Level 2 단위까지 분석하기 위해서는 소스코드 등 전투체계 설계 관련 산출물들에 대한 분석이 필요하다. 그러나, 본 논문은 해군의 핵심 무기체계인 함정 전투체계의 특성 고려, 공개된 자료를 기반으로만 분석을 수행하였기에 Level 1 수준의 DFD까지만 작성하였다. 여러 선행 연구들을 통해 Level 1 수준의 분석 혹은 Level을 구분하지 않은 단일 DFD 분석을 통해서도 분석 대상 시스템의 보안 요구사항 도출에 유의미한 성과를 거둔 사례를 확인할 수 있었다^[46-49].

Fig. 6은 Context Level로써 함정 전투체계의 핵심이자 좁은 범위의 전투체계인 지휘무장통제체계를 중심으로 넓은 범위에서 전투체계의 범주에 속하는 연동체계들의 상호작용을 표현하였다.

Fig. 6.

Context level for shipboard combat system

Fig. 7은 Level 0으로써 전투체계 핵심 프로세스인 탐색 - 결심 - 교전 프로세스와 전투체계 관리 기능을 기술하고 있다.

Fig. 7.

Level 0 for shipboard combat system

Fig. 8은 Level 1로써 전투체계 핵심 프로세스의 세부 프로세스를 표현하였고 5개의 Entity, 31개의 Process, 10개의 Data Store, 1개의 Data Flow를 식별하였다. Table 2는 Level 1 DFD의 각 Element를 정리한 표이다. DFD 작성 시, Microsoft사에서 제작한 공개 SW인 Microsoft Threat modelling Tool 2016을 사용하였다.

Fig. 8.

Level 1 for shipboard combat system

Table 2.

DFD level 1 of shipboard combat system

DFD Element Description
Type	No	Component/Name	Explanation/Description
Entity	E1	Sensor system	Exploration and tracking of anti-ship, anti-aircraft, and anti-submarine targets
	E2	Own Ship Data	Sensors that are fundamental to the operation and control of the ship, such as gyro, GPS, speedometer, temperature barometer, wind direction barometer, etc
	E3	C4I	Supporting commanders to quickly and accurately determine situations and make command decisions, sharing real-time tactical data, and visualizing battlefield situations
	E4	Data link	Sharing tactical data (target, engagement, and weapon information) and controlling engagement through transmission and reception of combat orders for engagement
	E5	Weapon system	Performing engagement against targets by receiving engagement orders derived through command resolution in the combat management system
Process	P1	Data fusion & Threat assessment	P1.1.	Target identification	Determining the hostile action, intention of the target based on the target identification data
			P1.2.	Target evaluation	Threat assessment based on orientation, distance, path, speed, armament response of target
			P1.3.	Target ranking	Prioritize based on threat assessment
			P1.4.	Data Fusion & Generate tactical data	By correlating, integrating, and tracking measurement variables from various sensors, Generate information for combat and engagement planning
			P1.5.	Target detection	Detect distant object of interest by means of sensor equipment
			P1.6.	Target tracking	Continuous detection of the location and speed of the detected target
			P1.7.	Identification	Identify the identity and intention of the target in contact through IFF, optical equipment, etc
			P1.8.	Generate STAB	Converting received information from gyro equipment into combat system data bus messages
			P1.9.	Generate OSD	Converting information received from satellite navigation equipment, wind direction anemometer, and thermometer into combat system data bus message
			P1.10.	Time synchronization	Update the time of the combat system using UTC information received from satellite navigation equipment
			P1.11.	Sharing tactical data	The process of transmitting tactical data to another element and receiving tactical data from another element
Process	P2	Establishment of engagement plan	P2.1.	Target designation	Target selection by considering threat priorities before engagement
			P2.2.	Select the component operation	Determine response operations based on target characteristics
			P2.3.	Examine the availability of weapons & sensors	Reviewing the utilization of available resources (sensor, armament) required for engagement
			P2.4.	Sensor & Weapon allocation	Tracking sensors and armed assignments to targets identified and positioned as threats
	P3	On Board Training	P3.1.	Engagement exercise	Exercise engagement procedures based on generated training scenarios
			P3.2.	Generate scenarios	Create scenarios for each component operation
			P3.3	Display & Record	Exhibition and recording of training situations
	P4	Situation awareness	P4.1.	Display the situation	Real-time display of tactical situations that can be shared by crew members
			P4.2.	Compile tactical picture	Enter/Modify additional information, such as marking areas within the tactical screen and specifying targets of interest
			P4.3.	Store & Record the tactical data	General storage of tactical data for collection and follow-up analysis
	P5	Manage	P5.1.	Monitoring	Quality of Service (QoS), Fault Tolerance and Redundancy, Built-in Testing (BIT), Equipment Condition Analysis, Generate Warning Messages
			P5.2.	Control	Procedures for manipulating and operating combat system functions
			P5.3.	Update	Update existing combat system SW to new version
	P6	Engagement	P6.1.	Launch	Use of weapons such as guided missiles, naval gun etc. against designated targets
			P6.2.	Guided	Control of the guided missile and adjustment of the irradiator after the launch of the anti-aircraft guided missile
			P6.3.	kill assessment	The process of determining if the target is actually damaged after engagement
			P6.4.	Engagement rescheduling	Resumption of engagement procedures for the same target in the event of engagement failure
			P6.5.	Terminate engagement	If the ship achieves its operational mission, the engagement procedure is terminated
			P6.6.	Real time computation	Calculation of optimum launch angle, speed, and launch method for engagement prior to armed launch
Process	P7	Interfacing	Converting systematic messages to combat system network message format
Data Store	DS1	IPN, Information Processing Node	Process incoming information from weapon, sensor, data link equipment etc
	DS2	MFC, Multi Function Console	Receive operator commands and display and edit tactical situations
	DS3	Storage	Store all data processed in combat system
	DS4	Radar Tv Video Distributor Unit/RTVDU	Distribute and transmit radar video and TV/IR video
	DS5	Display(TV, Projector, MFC etc)	Display radar video and TV/IR video
	DS6	Sensor Interface Control Unit	Sensor and weapon interfacing (translating sensor, weapon, and data link equipment messages into combat-system network messages)
	DS7	OSD Interface Control Unit
	DS8	C4I Interface Control Unit
	DS9	Data Link Interface Control Unit
	DS10	Weapon System Interface Control Unit
Data Flow	F	Data	All tactical data processed in combat system

3.3 Attack Library 수집

Attack Library는 분석 대상 시스템에 발생 가능한 보안 위협들의 리스트로서, 일반적으로 알려진 취약점(CVE, CWE, NVD 등), 기술 보고서, 발표 자료 등을 통해 수집한다. Attack Library는 DFD 각 요소별 발생 가능한 보안 위협을 정확하게 식별했는지 판단할 수 있는 근거를 제공하며 추후 STRIDE 분석 시 개연성 있는 분석을 가능케 한다.

함정 전투체계 관련 Attack Library 수집 시, 센서/무장 체계 연동 및 프로세스 간 실시간 통신을 위해 사용되는 Middleware(DDS, Data Distribution Service) 보안^[2,51] 등 전투체계/무기체계와 연관된 요소를 분석한 연구뿐만 아니라^[3-8,23,50] 함정 항해·운용을 위한 장비(GPS, AIS 등)가 전투체계와 직접 연동됨에 따라 발생할 수 있는 위협^[52-54], 전투체계 전반 COTS(Commercial Of The Shelf) 구성품 사용에 따른 공급망 공격 가능성^[55-60], 전투체계가 함정 전투를 위해 각종 시스템을 제어하는 체계라는 관점에서 ICS 측면의 특성^[61,62]을 종합적으로 고려하였다.

다만, 본 논문에서는 군 보안규정 준수를 위해 가능성 수준을 넘어 전투체계에 대한 직접적인 공격으로 이어질 수 있는 전투체계 OS, Middleware, Applications 등 SW, 특정 HW에 대한 구체적인 취약점 지표(CVE, CWE, CVSS 등)는 Attack Library 수집 시 배제하였다. Table 3은 전투체계 보안 관련 자료들을 조사하여 정리한 Attack Library이다.

Table 3.

Attack library for combat system

Category	Type	Title	Author	Reference
Combat System	Paper	Cryptographic Overhead of DDS Security for Naval Combat System Security	Young-Keun Go, et al	[2]
		A Study on the Cyber Security for Naval Combat Management System	Su-won Lee, et al	[3]
		A Reinforcement methods of warship's combat system based on Information Assurance	Jae-wook Jang, et al	[4]
		NAVAL CYBER WARFARE CAPABILITY REQUIREMENT	J.M. Lanouette	[6]
		NAVAL CYBER WARFARE: ARE CYBER OPERATORS NEEDED ON WARSHIPS TO DEFEND AGAINST PLATFORM CYBER ATTACKS	J.M. Lanouette	[7]
		A Study on Improving data Integrity using SHA256 Hash Function for Naval Combat System	Doo-Hwan Jung	[8]
	Document	NAVAL OPERATIONS - CYBER SECURITY AFLOAT	CJOS COE	[5]
	Document	A Security Analysis of the Data Distribution Service(DDS) Protocol	Federico Maggi	[51]
Weapon System	Paper	Enhancing C4I Security using Threat modelling	Abdullah Sharaf Alghamdi, et al	[23]
Weapon System	Paper	A Review on C3I Systems’ Security: Vulnerabilities, Attacks, and Countermeasures	Hussain Ahmad, et al	[50]
Ship Security	Technical Document	Jamming and Spoofing of Global Navigation Satellite Systems	INTERTANKO	[52]
	Paper	Cyberattack Models for Ship Equipment Based on the MITRE ATT&CK Framework	Yonghyun Jo, et al	[53]
	Paper	Cybersecurity Challenges in the Maritime Sector	Frank Akpan, et al	[54]
Supply Chain Attack	Paper	Analysis of U.S. Supply Chain Security Management System	Hyo-hyun Son, et al	[55]
		Trends in Supply-Chain Security Technologies	Daewon Kim, et al	[56]
		Defense ICT Supply Chain Security Threat Response Plan	Yong-Joon Lee	[57]
		A Case Study on ICT Supply Chain Attacks	Eungkyu Lee, et al	[58]
	Technical Document	Security Agency_Supply Chain Attack Case Analysis and Response Plan	KrCERT/CC	[59]
	News	The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies	Jordan Robertson, et al	[60]
ICS	Standard	Guide to Industrial Control Systems (ICS) Security / NIST Special Publication 800-82 Revision 2	NIST	[61]
ICS	Book	Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies	DHS	[62]

3.4 STRIDE 분석

STRIDE는 Microsoft사에서 1999년 제안한 위협 모델링 방법론으로 앞서 작성한 DFD 각 구성요소에 내재한 위협을 총 6가지 카테고리(Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege)로 구분, 식별할 수 있는 수단을 제공한다. 각각의 위협은 정보보호 목표인 Authentication, Integrity, Non-repudiation, Confidentiality, Availability, Authorization에 대응된다. 시스템 위협 분석 시 STRIDE 방법론을 활용할 경우, 발생 가능한 위협 전 범위에 대해 공백없는 분석이 가능하고 분석자 역량이 분석 결과에 미치는 영향은 최소화할 수 있다^[16].

본 논문에서는 STRIDE per Element 기법을 적용하여 총 199개의 위협을 식별하였다. Table 4는 STRIDE 기법을 통해 식별한 위협의 일부를 보여준다. 그러나, 이는 단순히 전투체계에 발생 가능한 위협을 나열한 것으로, 식별한 위협이 공격자가 특정 목표를 달성하는데 어떻게 활용될 수 있는지 구체화 시킬 필요가 있다.

Table 4.

STRIDE analysis of combat system DFD level 1 DFD

Element Type	No	Name	STRIDE	Threat Description	Threat No
Entity	E1	Sensor System	S	Threats that attackers disguise as sensor systems	T1
			T	Threats that tamper with target information	T2
			T	Threats that tamper with enemy library information	T3
			R	Threats that deny sending tampered information	T4
			I	Threats that expose detected target information	T5
			D	Threats that make sensor inoperable	T6
			D	Decreased target identification ability through false target insertion (RF, sound waves)	T7
	E2	Own Ship Data	T	Threats that receive and transmit modified information from sub-configuration such as GPS, electronic chart, etc	T8
			T	Threats that tamper with ship time	T9
			R	Threats that deny sending tampered information	T10
			D	Threats that some or all systems can't operate	T11
Omit
Process	P1.4.	Data Fusion & Generate Tactical Data	T	Threats that generate modified tactical data	T40
			I	Threats that expose generated tactical data	T41
			D	Threats that make convergence of target data impossible	T42
	Omit
	P5.3.	Update	S	Threats that disguise tampered files as normal files	T97
			T	Threats that tamper with SW update files	T98
			R	Threats that deny modified SW installation	T99
			D	Threats that make systems malfunction	T100
			D	Threats that tamper with version information to make it impossible to update	T101
			E	Threats that elevate combat system control through modified SW	T102
Omit
Data Store	DS1	IPN, Information Precessing Node	S	Threats that attackers disguise as an user to log in systems	T133
				Threats that disguise as normal processes to send and receive data	T134
				Threats that attackers disguise as administrator to access system	T135
			T	Threats that tamper with normal processes by modified HW/Firmware	T136
				Threats that cause data processing failures through memory modification	T137
				Threats that install modified SW during development or update	T138
				Threats that tamper with memory, data through using secondary memory units	T139
				Threats that tamper with user/administrator credentials	T140
Omit
Data Flow	F	data	S	Threats that transfer unrenewed data through retransmission	T193
			T	Threats that tamper with unencrypted data	T194
			T	Threats that modify with encrypted data	T195
			I	Threats that expose unencrypted data (sniffing)	T196
			I	Threats that decrypt and expose encrypted data	T197
			D	Threats that prevent data from reaching destination	T198
			D	Threats of service failure due to network paralysis	T199

3.5 Attack Tree 작성

Attack Tree는 시스템 내 발생 가능한 위협 경로들을 나타낸다. Root node는 위협 목표를 나타내고 Leaf node는 목표를 달성하기 위한 방법을 의미한다. 각각의 노드는 그 자체로서 Subgoal이 되고 자식 노드는 Subgoal 달성을 위한 방법이 될 수 있다. Attack Tree 사용 시 STRIDE를 통해 식별한 위협과 공개된 보안 위협을 수집한 Attack Library를 기반으로 위협 목표와 수단과의 개연성을 확인하고 시나리오를 도출할 수 있다^[22].

본 논문에서는 서버/콘솔/디스플레이에 대한 위협, 연동체계에 대한 위협, 네트워크에 대한 위협 총 3가지 Category로 Attack Tree를 작성하였다. Attack Tree 작성 시, 발생 가능한 시나리오를 글로 표현하여 앞서 도출한 STRIDE 항목들과의 매핑을 통해 위협과의 연계성을 검증하였고 그 결과를 Tree 형태로 표현하였다. Table 5는 Attack Tree를 나타낸 표이며, Fig. 9, 10, 11은 각각 해당 구성에 대한 Attack Tree를 의미한다.

Fig. 9.

Attack tree for servers, consoles, displays etc.

Fig. 10.

Attack tree for systems interfacing with combat system

Fig. 11.

Attack tree for network

Table 5.

Mapping attack tree and STRIDE threats

Attack Tree					Threat
1	Attack the servers, consoles, display
OR	1.1	Denial of Service
	OR	1.1.1	Resource Exhaustion
		OR	1.1.1.1	Port Scanning	T31, T34, T38, T42, T44, T46, T48, T50, T52, T54, T57, T61, T64, T67, T70, T72, T73, T74, T76, T79, T84, T90, T95, T107, T113, T116, T120, T125, T128, T132, T147, T180, T181
		OR	1.1.1.2	Flooding	T31, T34, T38, T42, T44, T46, T48, T50, T52, T54, T57, T61, T64, T67, T70, T72, T73, T74, T76, T79, T84, T90, T95, T107, T113, T116, T120, T125, T128, T132, T147, T179, T180, T181, T184, T186, T192
		OR	1.1.1.3	Land attack	T31, T34, T38, T42, T44, T46, T48, T50, T52, T54, T57, T61, T64, T67, T70, T72, T73, T74, T76, T79, T84, T90, T95, T107, T113, T116, T120, T125, T128, T132, T147, T180, T181, T192
		OR	1.1.1.4	Teardrop	T31, T34, T38, T42, T44, T46, T48, T50, T52, T54, T57, T76, T79, T84, T90, T95, T107, T113, T116, T120, T125, T128, T132, T147, T180, T181, T192
Omit
2	Attack Systems interfaced with Combat System
OR	2.1	Denial of Service
	OR	2.1.1	Resource Exhaustion
		OR	2.1.1.1	Flooding	T6, T7, T16, T22, T28
		OR	2.1.1.2	Infect Malware(Worm, Logic Bomb, Ransomware etc)	T6, T7, T16, T22, T28
	OR	2.1.2	Physical Attack
		OR	2.1.2.1	Destroy	T6, T7, T11, T16, T22, T28
		OR	2.1.2.2	Black Out	T6, T7, T11, T16, T22, T28
	OR	2.1.3	Tamper configuration
		OR	2.1.3.1	Remove use&admin account	T2
		OR	2.1.3.2	Modify configuration	T1, T2, T8, T9, T12, T18, T24, T25, T29
Omit
3	Attack networks
OR	3.1	MITM
	OR	3.1.1	Sniffing
		OR	3.1.1.1	Installing Spy Chips	T5, T15, T21, T27, T56, T83, T89, T94, T106, T112, T131, T196, T197
		OR	3.1.1.2	ARP Spoofing	T1, T4, T10, T12, T14, T18, T20, T56, T81, T86, T91, T97, T103, T109, T117, T122, T129, T106, T112, T131, T194, T195, T196, T197
		OR	3.1.1.3	ICMP Redirect	T1, T4, T5, T12, T15, T18, T21, T27, T56, T81, T86, T91, T97, T83, T89, T94, T103, T109, T117, T122, T129, T106, T112, T131, T194, T195, T196, T197
		OR	3.1.1.4	Switch jamming attack	T5, T15, T21, T27, T81, T86, T91, T97, T103, T109, T117, T122, T129, T106, T112, T131, T194, T195, T196, T197
Omit

3.6 Misuse case 작성

Use case는 시스템의 요구사항을 모델링하는 기술의 하나로서 개발 중인 소프트웨어 및 기타 제품의 필수 동작을 지정하며 소프트웨어의 정상적인 동작 및 사용을 자세히 설명하는 구조화된 시나리오이다. 반면 Misuse case는 Misactor 관점의 Use case로서, Use case 가 분석 대상 System과 Actor의 상호작용을 통해 원하는 목표를 달성하기 위한 긍정적 시나리오를 보여준다면 Misuse case는 System 목표가 정상적으로 성취되지 않기를 바라는 Misactor와 System의 부정적인 상호작용을 보여준다.

Use case scenario는 DFD(Data Flow Diagram) 작성 시 적절성 검증을 위해 사용이 가능한데 Misuse case 는 이러한 Use case의 기능을 가지면서도 보안적 측면에서 발생해서는 안 되는 상황과 이미 식별된 위협을 평가함으로써 System 보안 요구사항을 구체화하는 근거를 제공한다^[63-66].

본 논문에서는 DFD 및 STRIDE를 기반으로 작성된 Attack Tree를 통해 전투체계에서 발생 가능한 위협을 구체화하였고, 해당 위협이 전투체계에 적용되는 시나리오를 Misuse case를 통해 검증하였다. Table 6은 내부자 위협 사례에 대한 일부 Misuse case를 서술한 Table이다.

Table 6.

Example of misuse case of combat system

Misuse Case	Specification
MUC #1	Title	Insider attack (unauthorized wireless LAN card installation)
	Summary	Installing wireless LAN cards and malicious code through smartphones during maintenance
	Primary Misactor	Insider(Management firm staff), Skilled Attacker
	Basic Flow	BF1	Attacker bribes maintenance company employees
		BF2	Install and activate a wireless LAN card during periodic maintenance of the combat system server
		BF3	Activate the smartphone hotspot
		BF4	Access the Internet, download malicious code from a designated address, and leak stored data in the server
		BF5	Install malicious code, disable wireless LAN, and delete associated logs
	Result	Processed tactical data in the combat system server was leaked and malicious code was installed that threatened the availability of the combat system

3.7 Check List 작성

앞 절에서 정리한 DFD, Attack Library, STRIDE, Attack Tree, Misuse case를 기반으로 10개 Category, 총 206개의 보안 요구사항 Check List를 작성하였다.

보안 요구사항 Category는 Attack Tree를 통해 도출한 서버/콘솔/디스플레이, 연동체계, 네트워크에 대한 보안위협 전체에 대응할 수 있도록 선정하되 보안 요구사항 항목들이 중복되지 않도록 구성하였다. 기본적인 시스템 및 네트워크 관련 Category 외, 내부자에 의한 위협과 COTS(Commercial-Of-The-Shelf) 구성품 내 발생할 수 있는 공급망 위협 대응을 위해 Insider security, Supply Chain Protection을 Category로 추가하였으며, 연동체계 보안위협이 전투체계 전체에 미치는 영향을 고려하여 Interfaced Systems Category를 추가하였다. 전투체계 구성요소 별 공통적으로 적용되어야 할 보안설정·정책 및 물리적 조치사항은 Security Settings and Policies, Physical Security and Emergency Response Category를 통해 정리하였다.

Table 7은 Check List의 Category와 Category 별 보안 요구사항 개수를 나타내며, Table 9는 Check List Category 별 세부 항목을 보여준다.

Table 7.

Categories of check lists for combat system

Category	No.	Category	No.
➀ Access control	19	➅ Physical Security and Emergency Response	18
➁ Identification and authentication	26	➆ Security Settings and Policies	20
➂ Audit	12	➇ Insider security	14
➃ Application and data management	45	➈ Supply Chain Protection	12
➄ Network Management	23	➉ Interfaced Systems	17

함정 전투체계 보안 요구사항 검증 및 활용방안

4.1 Check List ↔ NIST 800-53(R5) 매핑

NIST Special Publication 800-53(Security and Privacy Controls for Information Systems and Organizations)은 미 연방정부기관에 도입되는 정보시스템과 해당 조직의 보안 통제항목을 정의한다. Revision 5를 기준으로 총 20개 카테고리와 298개의 Base Control, 각 Base Control 을 보충 및 구체화하는 721개의 Control Enhancement 를 정의하고 있다^[67]. Table 8은 NIST 800-53의 Base Control Family를 나타낸다.

Table 8.

Base controls of NIST 800-53 rev. 5

ID	FAMILY (Related Category)	ID	FAMILY (Related Category)
AC	Access Control (➀/➁/➂/➃/➄/➅/➆/➉)	PE	Physical and Environmental Protection (➄/➅/➇)
AT	Awareness and Training (➇)	PL	Planning
AU	Audit and Accountability (➂)	PM	Program Management (➂/➃/➄/➅/➆/➇)
CA	Assessment, Authorization, and Monitoring (➆/➉)	PS	Personnel Security (➀/➁/➇)
CM	Configuration Management (➃/➄/➆)	PT	Personally Identifiable Information Processing and Transparency
CP	Contingency Planning (➄/➅/➉)	RA	Risk Assessment (➅/➆)
IA	Identification and Authentication (➀/➁/➂/➃/➆)	SA	System and Services Acquisition (➃/➆/➈)
IR	Incident Response (➅)	SC	System and Communications Protection (➀/➁/➂/➃/➄/➅/➆/➇/➉)
MA	Maintenance (➇)	SI	System and Information Integrity (➀/➁/➂/➃/➄/➅/➆/➇/➈/➉)
MP	Media Protection (➁/➃/➅/➆)	SR	Supply Chain Risk Management (➃/➆/➈)

본 논문에서는 위협 모델링 방법론을 통해 도출한 전투체계 보안 요구사항 Check List의 범위적, 내용적 충분성을 점검하기 위해 NIST 800-53의 Base Control 과 매핑을 실시하였다. 그 결과 PL 등 법령(국방부 훈령 등) 및 해군 규정을 통해 정의되어야 할 항목, 인터넷 기반 서비스 및 모바일 그리고 개인정보 처리에 관한 항목(PT) 등 전투체계와 직접적인 관련이 없는 항목 82개를 제외한 216개 Base Control과의 연관성을 확인하였고 도출된 Check List가 실제 전투체계 설치, 운용 간 적용할 수 있는 수준의 보안 요구사항임을 검증하였다. Table 8 내 괄호는 NIST 800-53의 Base Control과 매핑된 Check List Category를 나타내며 Table 9는 Check List와 NIST 800-53 보안 통제항목의 매핑 결과를 보여준다.

Table 9.

Relation between check lists and NIST 800-53 rev. 5

Category	Check list	No.	NIST 800-53
Access control	Remote access to the combat system shall be blocked by default, but if remote access is activated, confirmation approved from the person in charge has been obtained at the minimum and within the required range	1	AC-17, IA-9, SC-15
Access control	Use protocols and tools with encryption to protect connection session confidentiality and integrity when users access remotely	2	AC-17, SC-13, SI-7
Omit
Audit	Selection of events to be audited, setting baselines for identifying abnormal and normal events and planning audit methods & procedures - Run Logs per accounts, access date, information change, login and operation success/failure, login attempts, etc.	47	AU-1/6/8/10
Audit	Periodic log check and analysis - Type of occurrence, timing of occurrence, place of occurrence, result, related account, etc.	48	AU-2/3/6/8
Omit
Application and data management	Check that input data fits a predefined format - Parameter filtering, special character escape processing, pre-processing query processing	79	SI-10
	Use prepared statements when entering data	80	SI-10
	Validate output information for input data	81	SI-16
Omit
Physical Security and Emergency Response	Establish an inspection plan to verify the integrity and safety of backup information - Indicate inspection procedures, targets, methods, supervision, etc.	132	CP-9, SI-7, SI-12
Physical Security and Emergency Response	Backup data is stored granularly for some functional recovery	133	CP-9
Omit
Insider security	For the maintenance of the combat system, maintenance personnel are controlled according to security procedures when entering the ship - take approval of entering in ship in advance from security units, maintaining a personnel list and checking the import of unauthorized equipment	170	MA-5, MP-7, PE-16, PS-6

Supply Chain Protection	Submission of reliability test and security test results by self and third parties for combat system SW	183	SA-11, SR-6
Omit
Interfaced Systems	When needing to interface or communicate with external systems, specifically defines targets, protocols and data types to be transmitted and received in advance	193	AC-4/21, SC-11/46
Omit

4.2 보안 요구사항의 활용방안

본 논문에서는 STRIDE 위협 모델링을 적용하여 함정 전투체계의 보안 요구사항을 도출하였다. 향후 함정 전투체계 소요기획 단계부터 본 논문에서 제시하는 보안 요구사항을 적용하여 보안대책을 강구한다면 보안 기능을 무기체계 개발과 동시에 Built-in으로 개발할 수 있어 전투체계 보안 수준이 크게 향상될 것이다. 또한 이미 건조되어 운용 중인 함정들도 각종 검열, 감사, 진단 및 임무 시작 전 본 Check List를 커스터마이징하여 활용한다면 해당 시점 함정 전투체계 보안 수준을 효과적으로 진단할 수 있을 것이다.

결 론

함정 전투체계 사이버 보안을 향상시키기 위해서는 보안내재화 관점에서 최초 전투체계 설계 단계부터 전투체계 특성이 반영된 보안 요구사항이 주요 기능과 함께(Built-in) 구현되어야 한다. 보안 요구사항에 대한 고려 없이 독립적으로 개발된 전투체계에 Bolt-on 형태로 보안 SW를 설치하거나 보안 기능을 추가 적용하는 방식은 전투체계 자체의 복잡도를 높이고 함 생존성 향상 및 임무 수행 측면에서 우선적으로 보장되어야 할 전투체계 가용성을 현저히 떨어뜨릴 수 있다. 또한 설치된 보안 SW가 함정 전투체계의 보안 위협을 충분히 커버하지 못하거나 내부 기능과 충돌할 경우 전투체계 기밀성 및 데이터 무결성에도 영향을 미칠 수 있다.

기존 함정 전투체계 보안 관련 연구들은 보안내재화 구현 및 RMF 필요성을 제시하고 범용적으로 적용 가능한 보안 요구사항을 도출하거나 전투체계와 유사한 시스템의 공격 사례를 통해 전투체계 내 발생 가능한 사이버 위협을 분석했다. 그러나 위협 모델링과 같은 체계적인 방법을 적용하여 전투체계 설계 단계부터 발생 가능한 위협을 식별하고 보안 요구사항을 도출한 연구는 부재했다.

본 논문에서는 국내·외 최초로 함정 전투체계에 위협 모델링 방법론을 적용하여 소요 기획 및 설계 단계부터 적용 가능한 함정 전투체계 보안 요구사항을 체계적으로 도출하였다. 특허·학술지·학술대회·학위논문 및 인터넷 검색자료 등 공개자료를 참고하여 함정 전투체계 DFD(Data Flow Diagram)을 작성하였고 Microsoft STRIDE 분석을 통해 전투체계 내 발생 가능한 199개의 위협을 식별했다. 사전에 수집한 Attack Library를 기반으로 Attack Tree 및 Misuse case를 작성하여 206개의 Check List를 도출하였고 NIST 800-53 보안 통제항목과의 매핑을 통해 도출한 Check List를 검증하였다. 본 연구를 통해 도출한 Check List는 함정 전투체계 소요 기획 및 체계 구축 시 함정 전투체계의 보안 수준을 점검하는 평가 척도로 사용 가능하다.

향후 연구주제로 본 연구를 통해 도출한 전투체계 보안 요구사항 중 우선적으로 구현·보완되어야 할 항목을 식별하기 위한 연구를 진행하고자 한다. 가장 이상적인 것은 식별된 모든 보안 요구사항이 빠짐없이 전투체계 내 반영·구현되는 것이지만 실제 전투체계 소요 기획, 설계, 구현, 운용이 이루어지는 현장에서는 주어지는 예산, 인력, 시간이 한정되어 있기 때문에 각 보안 요구사항별 중요도를 고려하여 우선 순위를 식별하고 순차적으로 구현·조치할 필요가 있다. 보안 요구사항의 우선순위를 사전에 식별할 경우 구현하지 못한 보안 요구사항의 위험을 완화시키기 위한 대체 방안을 조기에 검토할 수 있고 가용 자원 내에서 전투체계 보안성 향상의 효율을 최대화할 수 있다.

REFERENCES

[1]. Soon-Ju Koh, "Development and Direction of Development of Combat System for Network- Centered Warfare," The journal of Korea Institute of Electronics Engineers, Vol. 37(11):pp. 27–38, 2010.

[2]. Young-Keun Go, and Chum-Su Kim, "Cryptographic Overhead of DDS Security for Naval Combat System Security," The Korean Institute of Information Scientists and Engineers Proceedings, Vol. 2017(6):pp. 1217–1219, 2017.

[3]. Su-won Lee, Jae-yeon Lee, and Seok-jun Hong, "A Study on the Cyber Security for Naval Combat Management System," Communications of the Korean Institute of Information Scientists and Engineers Proceedings, Vol. 46(2):pp. 865–866, 2019.

[4]. Jae-wook Jang, Hee-gab Sun, and Jae-ryong Hwang, "A Reinforcement Methods of Warship's Combat System based on Information Assurance," Journal of Defense and Security, Vol. 3-2, 2021.

[5]. Neculai Grigore, and Todd Bonnar, "Naval Operations - Cyber Security Afloat," CJOS COE, 2020.

[6]. J. M. Lanouette, "Naval Cyber Warfare Capability Requirement," Canadian Forces College, p. 1–9, 2016.

[7]. J. M. Lanouette, "Naval Cyber Warfare: Are Cyber Operators Needed on Warships to Defend Against Platform Cyber Attacks?," Master of Defence Studies, Canadian Forces College, 2016.

[8]. Doo-Hwan Jung, A Study on Improving Data Integrity using SHA256 Hash Function for Naval Combat System, CICS Proceedings. pp. 278–279, 2015.

[9]. Kwang-yong Hwang, A Study on SE-based Design Methodology for Next-generation Naval Combat System Architecture, Ph. D. Dissertation, Hannam University in Daejeon, Korea. 2017.

[10]. Sang-Min Kwon, Naval Combat System, Korea, Patent No. 10-2073014. 2019.

[11]. Soo-young Kang, A Study on the CIA-Level based Security-by-Design Development Framework, Ph. D. Dissertation, Korea University School of Cybersecurity, Korea. 2021.

[12]. Microsoft. Security Development Lifecycle - SDL Process Guidance Version 5.2, 2012.

[13]. Microsoft. Microsoft Threat Modelling Tool 2016, https://www.microsoft.com/en-us/download/details.aspx?id=49168.

[14]. Adam Shostack, Threat Modelling: Designing for Security, https://adam.shostack.org/blog/category/threat-modelling/. Jun. 2019.

[15]. Adam Shostack, "Experiences Threat Modelling at Microsoft," Microsoft, 2008.

[16]. Adam Shostack, "Threat Modelling: Designing for Security," John Wiley & Sons, Feb. 2014.

[17]. Microsoft. Chapter 3. Threat Modelling, [Internet]. https://msdn.microsoft.com/en-us/library/ff648644.aspx. July, 2010.

[18]. DistriNet Research Group. LINDDUN: Privacy Threat Modelling, https://linddun.org/. Jun. 2019.

[19]. CERT, Software Engineering Institute. Carnegie Mellon University, OCTAVE [Internet], http://www.cert.org/resilience/products-services/octave/.

[20]. Trike, http://www.octotrike.org/. Jun. 2019.

[21]. Tony UcedaVelez. "Real World Threat modelling using the PASTA Methodology," "Managing 36 Partner," VerSprite, 2012.

[22]. Bruce Schneier, Attack Tree, Dr. Dobb's Journal. Aug. 1999.

[23]. Abdullah Sharaf Alghamdi, Tazar Hussain, and Gul Faraz Khan, Enhancing C4I Security using Threat Modelling, International Conference on Computer Modelling and Simulation. 2010.

[24]. Michael T. Kurdziel, "Cyber Threat Model for Tactical Radio Networks," The International Society for Optical Engineering, 2014.

[25]. Hyun-ju Kim, and Dong-su Kang, "A Design of Risk-Based Security Threat Assessment Process for Fighter-Aircraft Airworthiness Security Certification," KIPS Trans. Softw. and Data Eng, Vol. 8(6):pp. 223–234, 2018.

[26]. Jong-in Lim, Future Cyber Threats and Enhancement of Naval Cyber Operations Capabilities, KIMS Periscope, No. 211. 2020.

[27]. Su-won Lee, Jae-yeon Lee, and Seok-jun Hong, "A Study on the Cyber Security for Naval Combat Management," Communications of the Korean Institute of Information Scientists and Engineers Proceedings, Vol. 46(2):pp. 865–866, 2019.

[28]. Cheol-Gyu Yi, and Young-Gab Kim, "A Study on Software Security Test of Naval Ship Combat System," The Journal of the Korean Institute of Communications and Information Sciences, Vol. 45(3):pp. 628–637, 2020.

[29]. Cheol-Gyu Yi, and Young-Gab Kim, "Security Testing for Naval Ship Combat System Software," IEEE, Vol. 9, pp. 66839–66851, 2021.

[30]. Jae-wook Jang, Hee-gab Sun, and Jae-ryong Hwang, "A Reinforcement Methods of Warship's Combat System based on Information Assurance," Journal of Defense and Security, Vol. 3(2):pp. 147–172, Nov. 2021.

[31]. Kyu-baeg Kim, Hong-keu Jo, and Dong-seong Kim, "Design and Implementation of Adaptive Naval Gun Fire Simulator on a Naval Combat System," Journal of the KIMST, Vol. 21(5):pp. 630–639, 2018.

[32]. Ki-Tae Kwon, Ki-Pyo Kim, and Hwan-Jun Choi, "Design of the Scalable Naval Combat System Software using Abstraction and Design Pattern," Journal of The Korea Society of Computer and Information, Vol. 24(7):pp. 101–108, 2019.

[33]. Gang-Soo Park, Byeong-Chun Yoo, Kyeong-taek Kim, and Bong-Wan Choi, "A Methodology for the Ship System Integration with Open Architecture: Focusing on the Total Ship Computing Environment based Architecture Building and Validation," J. Soc. Korea Ind. Syst. Eng, Vol. 43(3):pp. 68–76, 2020.

[34]. Kun-Chul Hwang, "Anti Air Warfare Analysis & Design of the Patrol Killer Experiment Combat System by the Model-Based-Simulation," JKSS, Vol. 16(4):pp. 23–31, 2007.

[35]. Ho-jeong You, and Byeong-gon Choi, "Message Analysis and Development Situation on the Tactical Data Link of Combat Management System in Naval," Journal of Satellite Information and Communications, Vol. 12(2):pp. 21–27, 2017.

[36]. Young-ran Jung, Woong-gie Han, Cheol-ho Kim, and Jae-ick Kim, "On the Development of the Generic CFCS for Engineering Level Simulation of the Surface Ship," Journal of the KIMST, Vol. 14(3):pp. 380–387, 2011.

[37]. Young-il Song, "A Study on the Effectiveness Measures of Ship Combat Systems in the Composite Warfare," JNDS, Vol. 53(1):pp. 163–192, 2010.

[38]. Kwang-yong Hwang, Kyoung-chan Ok, Young-jin Kim, Bong-wan Choi, Hyun-seung Oh, and Kwan-Seon Choi, "A Study on Development direction of Next- Generation Naval Combat System Architecture," Journal of the KIMST, Vol. 19(1):pp. 105–118, 2016.

[39]. Dong-Seong Kim, and Sung-Kil Huh, "Distributed Control Network Technology for Trap Combat Systems," The Magazine of KIICE, Vol. 13(2):pp. 47–53, 2012.

[40]. Su-Hoon Lee, and Jin-Su Ahn, A Study on the Three-Dimensional Display of Onboard Training for Naval Combat System, Proceedings of the Korean Institute of Information and Commucation Sciences Conference. pp. 62–65, 2022.

[41]. Jae-Geun Lee, "A Study on the Standard Architecture of Weapon Control Software on Naval Combat System," Journal of The Korea Society of Computer and Information, Vol. 26(11):pp. 101–110, 2021.

[42]. Hun-Yong Shin, and Joo-Yong Kim, "Research of OSD Standardization in Naval Combat System," The Proceedings of KIEE, Vol. 61(9):pp. 354–355, 2012.

[43]. Dong-Hee Lee, A Study on the Establishment and Development of a New Concept of Naval Combat System, Master's Thesis, Hannam University, Korea. 2005.

[44]. Jin-soo Ahn, Jeom-soo Kim, and Kyu-baek Kim, Combat Management System using Virtualization Function and Its Operation Method, Korea, Patent No. 10-1744689. 2017.

[45]. Y S Kwon, and Bang-Pyo Kong, "Development of the Operational Architecture of Korean Navy Fighting Ships with CEC System," Journal of KOSSE, Vol. 2(1):pp. 5–10, 2006.

[46]. Ji-seop Lee, Soo-young Kang, and Seung-joo Kim, "Study on the AI Speaker Security Evaluations and Countermeasure," Journal of The Korea Institute of Information Security & Cryptology, Vol. 28(6):Dec. 2018.

[47]. Jae-Hyeon Park, Soo-young Kang, and Seung-joo Kim, "Study of Security Requirement of Smart Home Hub through Threat modelling Analysis and Common Criteria," Journal of The Korea Institute of Information Security & Cryptology, Vol. 28(2):Apr. 2018.

[48]. Soo-young Kang, and Seung-joo Kim, "Analysis of Security Requirements for Secure Update of IVI(In-Vehicle-Infotainment) Using Threat modelling and Common Criteria," Journal of The Korea Institute of Information Security & Cryptology, Vol. 29(3):Jun. 2019.

[49]. Paul Hong, Ye-jun Kim, Kwang-soo Cho, and Seung-joo Kim, "A Study on Security Requirements for 5G Base Station," Journal of The Korea Institute of Information Security & Cryptology, Vol. 31(5):Oct. 2021.

[50]. Hussain Ahmad, Isuru Dharmadasa, Faheem Ullah, and M. Ali Babar, A Review on C3I Systems’ Security: Vulnerabilities, Attacks, and Countermeasures, ACM Computing Surveys. 2022.

[51]. Federico Maggi, et al, "A Security Analysis of the Data Distribution Service(DDS) Protocol," Trend Micro Research, Inc., Japan, p. 15–20, 2022.

[52]. INTERTANKO. Jamming and Spoofing of Global Navigation Satellite Systems(GNSS), pp. 4–9, 2019.

[53]. Yonghyun Jo, Oong-jae Choi, Ji-woon You, Young-kyun Cha, and Dong-hoon Lee, "Cyberattack Models for Ship Equipment Based on the MITRE ATT&CK Framework," MDPI Sensors, Vol. 22(5):2022.

[54]. Frank Akpan, Gueltoum Bendiab, Stavros Shiaeles, Stavros Karamperidis, and Michalis Michaloliakos, "Cybersecurity Challenges in the Maritime Sector," MDPI Network, Vol. 2(1):pp. 123–138, 2022.

[55]. Hyo-hyun Son, Kwang-jun Kim, and Man-hee Lee, "Analysis of U.S. Supply Chain Security Management System," Journal of The Korea Institute of Information Security & Cryptology, Vol. 29(5):pp. 1089–1097, 2019.

[56]. Daewon Kim, et al, "Trends in Supply-Chain Security Technologies," ETRI Electronics and Telecommunications Trends, Vol. 34(4):pp. 149–157, 2020.

[57]. Yong-Joon Lee, "Defense ICT Supply Chain Security Threat Response Plan," KOCOSA, Vol. 20(4):pp. 125–134, 2020.

[58]. Eungkyu Lee, and Jung-duk Kim, "A Case Study on ICT Supply Chain Attacks," Journal of Information Technology and Architecture, Vol. 16(4):pp. 383–396, 2019.

[59]. KrCERT/CC. "Security Agency_Supply Chain Attack Case Analysis and Response Plan," KISA, p. 3–31, 2022.

[60]. The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies, Bloomberg Businessweek. Oct. 2018;https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies.

[61]. Guide to Industrial Control Systems(ICS) Security, NIST SP 800-82 Rev.2. May, 2015.

[62]. Industrial Control Systems Cyber Emergency Response Team. "Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies," Department of Homeland Security(DHS), p. 11–42, 2016.

[63]. G. S. Andreas, and A. L. Opdahl, Templates for Misuse Case Description, in Proceedings of the 7 th International Workshop on Requirements Engineering, Foundation for Software Quality. pp. 4–5, 2001.

[64]. I. Alexander, "Misuse Cases: Use Cases with Hostile Intent," IEEE Software, Vol. 20(1):pp. 58–66, 2003.

[65]. Kim Wults, Riccardo Scandariato, and Wouter Joosen, "LINDDUN Privacy Threat Tree Catalog," CW675, Department of Computer Science, KU Leuven, Sep. 2014.

[66]. Asoke K. Talukder, and Manish Chaitanya, 17 December 2008. "Architecting Secure Software Systems," CRC Press, p. 50.ISBN 978-1-4200-8784-0. Retrieved 5 October 2016..

[67]. "Security and Privacy Controls for Information Systems and Organizations," NIST SP 800-53 Rev., Vol. 5, Dec, 2020.