SMR, 사이버-물리적 복합 위협 속에 ‘보안 설계’ 필수
자율운전·공급망·원격운전 등 SMR 보안 위협요소 선제 대응 필요
가천대학교 IT융합대학 스마트보안학과 서정택 교수는 4월 18일 열린 NetSec-KR 2025에서 ‘SMR 추진과 원자력 사이버보안’을 주제로 강연을 진행하며, 소형모듈원자로(SMR) 시대를 대비한 사이버보안 전략 수립의 중요성을 강조했다. 서 교수는 기존 원자력시설의 디지털화 동향부터 국내외 사이버보안 법제, 그리고 SMR에 특화된 보안 위협과 대응 전략까지 폭넓게 짚었다.
◆디지털화된 원자력 시스템, 새로운 사이버 공격 표적
서 교수는 “1990년대 이후 원자력 발전소는 디지털 시스템을 점차 도입했고, 현재는 APR1400과 같은 100% 디지털화된 설비가 운전 중”이라며, 이러한 디지털화가 새로운 사이버 위협에 노출될 수 있음을 경고했다. 그는 미국 데이비스 베시 원전의 슬래머 웜 감염(2003), 이란의 스턱스넷 감염(2010), 한국수력원자력 해킹 사고(2014) 등 전 세계에서 발생한 원전 대상 공격 사례를 열거하며 실질적인 사이버 위협은 이미 현실이 되었음을 강조했다.
그는 “원자력시설은 단순한 정보자산이 아닌 물리적 재해와 연결되는 설비이기 때문에 보안은 곧 안전(Safety)과 직결된다”고 말했다. 이어 현재 국내 원자력시설은 ‘방사능방재법’과 ‘정보통신기반보호법’에 따라 주요 기반시설로 지정되어 있으며, 한국원자력통제기술원(KINAC)과 원자력안전기술원(KINS)을 통해 사이버보안 기준이 수립되어 있다고 설명했다.
특히 KINAC/RS-015(원자력시설 컴퓨터 및 정보시스템 보안)와 KINAC/RS-019(필수 디지털자산 식별), KINAC/RS-011(사이버 대응 훈련 지침)은 필수 디지털 자산(CDA) 보호 및 전 주기 훈련체계를 규정하고 있다고 덧붙였다.
◆SMR, 사이버-물리적 복합 위협 속에 ‘보안 설계’ 필수
소형모듈원자로(SMR)는 모듈화 설계, 자율운전, 원격운전 등의 특징을 가지며, 기존 대형 원전 대비 디지털 의존도가 높다. 서 교수는 이러한 특성으로 인해 SMR은 설계 초기 단계부터 보안을 내재화하는 ‘Security by Design’ 개념이 반드시 적용돼야 한다고 강조했다.
그는 미국 샌디아 국립연구소의 분석을 인용하며 SMR의 주요 사이버-물리적 위협 요소로 ▲공급망 해킹(하드웨어·소프트웨어·서비스 등) ▲자율운전 알고리즘에 대한 AI 적대적 공격 ▲원격접속 취약점 ▲새로운 디지털 I&C 기술(OPC-UA, TSN 등) 기반 위협을 제시했다.
실제 사례로는 솔라윈즈(SolarWinds)와 Log4j 취약점 공격, 우크라이나 전력망 공격 등을 언급하며 “공급망을 통한 백도어 삽입, 원격 명령 조작, 머신러닝 왜곡 공격 등은 SMR의 안정적 운용에 치명적 영향을 줄 수 있다”고 설명했다.
◆SMR 보안체계 구축, 국제 규제 수용과 설계단계 대응 병행해야
서 교수는 미국 NRC가 제정 중인 SMR 특화 사이버보안 규제 10 CFR 53, 73.110, DG-5075 등의 움직임을 언급하며, “국내도 i-SMR 수출 경쟁력 확보를 위해 이들 규제를 반영한 보안 기준 수립이 필요하다”고 말했다. 특히 설계부터 운영·폐로에 이르기까지 생애주기 전반에서의 사이버보안 통합과 국내 보안협의체 주도의 지침 확립이 중요하다고 강조했다.
그는 이를 위해 “위험 기반 차등접근법(Risk-Informed Graded Approach)을 활용한 전략적 보안 설계, 심층방호 체계 구축, 그리고 제로트러스트 아키텍처 적용이 필요하다”고 덧붙였다.
SMR의 자율운전은 AI 기반 알고리즘에 의존하는 만큼, 이에 대한 적대적 공격(Adversarial Attacks) 방어도 핵심 과제로 꼽혔다. 서 교수는 적대적 학습, 모델 쿼리 제한, GAN 기반 방어 등 다양한 방어 기법을 제시하며, “AI 오판이나 오작동은 안전계통의 오동작으로 이어질 수 있어 보안 강화가 시급하다”고 말했다.
서 교수는 “SMR의 특성상 보안은 선택이 아닌 필수이며, 원자력 안전(Safety), 보안(Security), 안전조치(Safeguards)의 3S 통합 설계가 필요하다”고 강조했다. 그는 SMR 개발 초기 단계에서부터 관련 전문가들 간의 협업을 통해 보안 내재화가 이뤄져야 한다고 전하며 강연을 마무리했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[K-CTI 2025] 케이토네트웍스 "AI 홍수 시대, SASE는 미래가 아닌 현재의 보안 패러다임”](https://www.dailysecu.com/news/photo/202504/165471_193876_3115.jpg)
![[K-CTI 2025] 엔키화이트햇 천호진 수석, 북한 연계 Konni 그룹의 정교한 공격 활동 분석 내용 공개해](https://www.dailysecu.com/news/photo/202504/165473_193882_4426.jpg)
![[K-CTI 2025] 전덕조 씨큐비스타 대표 “탐지 사각지대 여전한 기존 보안…TTP 중심 헌팅 전략 필요” 강조](https://www.dailysecu.com/news/photo/202504/165470_193873_226.jpg)
