B 논리의 신뢰성을 Coq로 검증한다

논문은 먼저 B 형식 방법론이 산업 현장에서 안전·보안이 중요한 시스템 개발에 널리 사용되고 있지만, 그 증명 도구와 구현체가 자체적으로 형식 검증되지 않아 신뢰성에 의문이 제기된다는 점을 강조한다. 이를 해결하기 위해 저자들은 B 논리를 Coq에 **깊은 임베딩**하는 프로젝트인 BiCoq를 제안한다. 깊은 임베딩은 B의 구문을 Coq의 인덕티브 타입으로 완전 재현하고, B의 추론 규칙을 Coq의 전술(predicate)로 정의함으로써, Coq 자체가 B 이론의 정당성을 검증하도록 만든다. 구체적으로, B의 구문은 두 개의 상호 귀환적 타입(P와 E)으로 모델링된다. 변수 바인딩은 전통적인 이름 기반 대신 **De Bruijn 인덱스**를 사용해, 바인더(∀, 집합 이해)와 바인드된 변수 사이의 관계를 순수히 정수 연산으로 표현한다. 이 방식은 자유 변수 검증을 별도의 well‑formedness 조건 없이 인덱스 연산으로 대체하고, 이름 충돌 문제를 근본적으로 없앤다. 또한, B의 집합 이해 구문 {V | P}는 wf‑checking을 위해 {E | P} 형태로 제한되며, 비자유 변수 조건은 `r : I → T → Prop` 관계로 정의된다. 이 관계는 몇 가지 기본 규칙(예: 인덱스가 BIG나 ω와 같은 상수와 결합될 때 자동적으로 비자유)과 바인더에 대한 스코프 이동 규칙을 포함한다. 논문은 Coq의 자동 귀납 원리를 그대로 사용하면 De Bruijn 인덱스의 스코프 변화를 올바르게 반영하지 못한다는 점을 지적하고, 대신 **깊이 함수 D(t)** 를 이용한 맞춤형 귀납 원리를 도입한다. 이를 통해 바인더 내부의 항에 대해 올바른 귀납 가정을 적용할 수 있다. 구현 측면에서는 B의 바인딩, 인스턴스화, 치환 연산을 Coq 함수로 정의한다. 바인딩 함수는 사용자에게 친숙한 구문(∀ V·P, {V | P})을 입력받아 내부적으로 De Bruijn 형태로 변환하고, 인스턴스화와 치환은 인덱스 상승(Lift)과 매칭을 통해 구현한다. 이러한 함수들은 증명 전개 과정에서 자동으로 사용되며, 사용자는 복잡한 인덱스 조작을 의식하지 않아도 된다. BiCoq의 핵심 목표 중 하나는 **검증된 B 프로버 엔진**을 추출하는 것이다. Coq의 추출 메커니즘을 이용해 정의된 전술과 연산을 OCaml 코드로 변환하고, 이를 독립 실행 파일 형태로 제공한다. 이렇게 하면 Coq 자체가 공증인(public) 역할을 수행하며, 추출된 프로버는 Coq 없이도 B 논리의 추론을 수행한다. 논문은 이 프로버가 Atelier‑B와 같은 기존 도구의 기본 규칙을 모두 재현함을 실험적으로 확인한다. 관련 연구와 비교하면, 기존의 얕은 임베딩은 B 구문을 호스트 논리의 기존 구문에 직접 매핑해 해석적 차이를 도입하거나, B 함수가 관계라는 점을 충분히 모델링하지 못했다. 반면 BiCoq는 완전한 데이터 타입 정의와 규칙 기반 전술을 통해 **이론적 일관성**과 **구현적 신뢰성**을 동시에 확보한다. 또한, 다른 깊은 임베딩 사례(예: Isabelle/HOL의 1차 논리 정리 증명기)와 달리 B의 특수한 집합 연산과 GSL을 포함한 전반적인 메커니즘을 다루며, 향후 B의 확장(예: 타임스탬프, 실시간 제약)에도 동일한 방법을 적용할 수 있는 토대를 제공한다. 마지막으로, 논문은 BiCoq가 현재 B 이론의 기본 규칙 검증과 프로버 구현을 성공적으로 수행했으며, 앞으로는 B의 전체 GSL, 도메인 특화 확장, 그리고 다른 형식 방법론(예: Event‑B)까지 포괄하는 방향으로 연구를 확대할 계획임을 밝힌다. 이를 통해 형식 방법론 전반에 걸친 **신뢰성 확보**와 **공증 가능한 도구 체인** 구축에 기여하고자 한다.