Earticle

현재 위치 Home

Purdue 모델 기반 OT 보안 취약점의 계층별 분포와 위험 수준 분석
A Purdue Model-Based Analysis of OT Vulnerability Distribution and Risk Levels Across Layers

첫 페이지 보기
  • 발행기관
    한국보안관리학회(구 한국경호경비학회) 바로가기
  • 간행물
    시큐리티 연구 KCI 등재 바로가기
  • 통권
    제86호 (2026.03)바로가기
  • 페이지
    pp.265-281
  • 저자
    이수연, 최승원, 이주락
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A482594

※ 기관로그인 시 무료 이용이 가능합니다.

5,100원

원문정보

초록

영어
With the advancement of IT technologies and the increasing external connectivity following the Fourth Industrial Revolution, OT environments have become increasingly sophisticated, leading to greater exposure to a wider range of threats. However, existing discussions on OT security have primarily centered on specific technologies or layers, with empirical attempts to assess vulnerability distribution and risk levels across upper and lower layers remaining relatively scarce. To address this gap, this study selected 195 CISA ICS Advisory cases to which CVSS v4 scores were assigned, classified each case into lower layers (Levels 0–2) or upper layers (Level 3 and above) based on the Purdue model, and compared the cases in terms of frequency and severity. The analysis revealed that lower-layer cases were significantly more numerous than upper-layer cases, and no consistent difference in risk level was observed between the two layers in terms of average CVSS scores or severity distributions, confirming that security risks in OT environments are not confined to upper-layer systems alone. Through these findings, this study sheds light on the risk characteristics of lower-layer systems that have received relatively limited attention, and provides foundational data for establishing OT security priorities and developing vulnerability management strategies.
한국어
4차 산업혁명 이후 IT 기술의 발전과 네트워크 연결로 인한 외부 연결 증가로 인해 OT 환경은 더욱 고도화되고 있으며 이에 따라 다양한 위협에 대한 노출 또한 증가하고 있다. 그러나 기존 OT 보안 논의는 주로 특정 기술이나 계층을 중심으로 전개되어 상·하위 계층 간 취약점 분포와 위험 수준을 실증적으로 파악하려는 시도는 상대적으로 부족하였다. 이 에 본 연구는 CISA ICS Advisory 사례 중 CVSS v4가 적용된 195건을 선별하고, 각 사례를 Purdue 모델 기준에 따라 하위 계층(Level 0~2)과 상위 계층(Level 3 이상)으로 분류하여 사례 수 및 심각도를 비교하였다. 분석 결과, 하위 계층 사례가 상위 계층에 비해 현저히 많았으며, 평균 CVSS 점수와 심각도 등급 분포에서 두 계층 간 일관된 우열이 나타나지 않아 OT 환경에서의 보안 위험은 상위 계층에만 국한되지 않음을 확인하였다. 이를 통해 본 연구는 상대적으로 주목받지 못했던 하위 계층의 위험 특성을 조명하고, 향후 OT 보안 우선순위 설정과 취약점 관리 전략 수립을 위한 기초자료를 제공한다.

목차

<요약>
Ⅰ. 서론
Ⅱ. 이론적 배경
Ⅲ. 연구 방법
Ⅳ. 연구 결과
Ⅴ. 결론
참고문헌
【Abstract】

키워드

OT 보안 산업제어시스템 Purdue 모델 CVSS 취약점 분석 OT security Industrial Control System Purdue Model CVSS Vulnerability Analysis

저자

  • 이수연 [ Su Yeon Lee | 중앙대학교 융합보안학과 석사과정 ] 제1저자
  • 최승원 [ ·Seoung Won Choi | 중앙대학교 공공갈등정보학과 객원교수 ] 교신저자
  • 이주락 [ Julak Lee | 중앙대학교 산업보안학과 교수 ] 공동저자

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    한국보안관리학회(구 한국경호경비학회) [Korean Security Management Association]
  • 설립연도
    1996
  • 분야
    사회과학>행정학
  • 소개
    경호경비학 및 이에 관련된 학술의 조사·연구·발표 및 발전과 보급을 기하고 회원 상호간의 친목을 도모함

간행물

  • 간행물명
    시큐리티 연구 [KOREAN SECURITY JOURNAL]
  • 간기
    계간
  • pISSN
    2671-4299
  • 수록기간
    1997~2026
  • 등재여부
    KCI 등재
  • 십진분류
    KDC 350 DDC 351

이 권호 내 다른 논문 / 시큐리티 연구 제86호

    피인용수 : 0(자료제공 : 네이버학술정보)

    함께 이용한 논문 이 논문을 다운로드한 분들이 이용한 다른 논문입니다.

      출처 : 네이버학술정보

        0개의 논문이 장바구니에 담겼습니다.

        페이지 저장
        소속기관 조회
        이용자님의 소속기관(단체)이 서비스에 가입되어 있는지 확인해 보십시오.
        기관회원에 소속되어 있는 이용자는 원문을 무료로 이용할 수 있습니다.