확률적 익명성 및 허용 가능한 스케줄러

초록

본 논문은 보안 프로토콜, 특히 익명성 프로토콜을 분석할 때 전통적인 스케줄러를 적대자로 보는 접근이 과도한 권한을 부여한다는 점을 지적한다. 암호화된 메시지 내용과 내부 연산은 적대자에게 보이지 않아야 하므로, 관측 가능한 과거 행동만을 기반으로 결정을 내리는 ‘허용 가능한 스케줄러’ 클래스를 정의한다. 이 클래스 하에서 모든 허용 가능한 스케줄러에 대해 사용자의 정체와 적대자의 관측이 확률적으로 독립이면 익명성을 만족한다. 또한 두 사용자의 행동을 교환해도 적대자가 차이를 감지하지 못하도록 하는 증명 기법을 제시한다.

상세 분석

논문은 먼저 전통적인 모델링에서 스케줄러가 모든 비결정적 선택을 제어함으로써 적대자를 가장 강력한 공격자로 가정한다는 점을 비판한다. 이러한 가정은 암호화된 데이터와 프로세스 내부 상태가 적대자에게 노출된다고 전제하므로, 실제 익명성 요구사항을 과도하게 제한한다. 저자들은 이를 해결하기 위해 ‘관측 가능성(visibility)’ 개념을 도입한다. 시스템 실행 중 적대자가 실제로 관찰할 수 있는 것은 네트워크 트래픽, 공개된 메시지, 그리고 프로토콜 규격에 명시된 이벤트뿐이며, 암호문 자체나 내부 변수는 숨겨진 채로 남아야 한다. 이를 기반으로 ‘허용 가능한 스케줄러(admissible scheduler)’를 정의한다. 허용 가능한 스케줄러는 (1) 현재까지 적대자가 관찰한 이벤트 시퀀스만을 입력으로 삼고, (2) 동일한 관측 이력에 대해 동일한 확률 분포를 유지한다는 두 가지 제약을 만족한다. 즉, 스케줄러는 내부 상태에 의존하지 않으며, 관측 가능한 과거에만 의존한다.

다음으로 저자들은 익명성 정의를 확률적 독립성으로 공식화한다. 시스템 상태와 적대자 관측 사이의 확률 변수 X와 Y가 모든 허용 가능한 스케줄러에 대해 P(X,Y)=P(X)·P(Y) 를 만족하면, 사용자의 정체와 적대자 관측이 통계적으로 독립하므로 익명성이 보장된다고 본다. 이는 기존의 ‘가능성 기반’ 혹은 ‘전역 스케줄러 기반’ 정의와 달리, 스케줄러가 관측 가능한 정보만을 활용한다는 전제 하에 보다 현실적인 보안을 제공한다.

증명 기법으로는 ‘행동 교환(exchange) 기법’을 제시한다. 두 사용자를 서로 교체했을 때 시스템의 관측 가능한 실행 트레이스가 동일한 확률 분포를 유지한다면, 어떤 허용 가능한 스케줄러도 두 경우를 구분할 수 없게 된다. 이를 위해 저자들은 동형성(isomorphism) 관계와 대칭성(symmetry) 속성을 활용하여, 프로토콜 설계 단계에서 이러한 교환 가능성을 구조적으로 확보하도록 권고한다. 또한, 스케줄러가 비공개 정보를 이용하지 못하도록 하는 형식적 검증 방법을 제시하여, 자동화된 도구와 결합할 경우 실용적인 검증 파이프라인을 구축할 수 있음을 시사한다.

전체적으로 논문은 익명성 프로토콜 분석에 있어 스케줄러 모델링을 재정의함으로써, 과도한 적대자 모델을 배제하고 실제 공격 시나리오에 부합하는 보안 정의와 검증 방법을 제공한다. 이는 형식 검증 커뮤니티와 실무 보안 엔지니어 모두에게 중요한 방향성을 제시한다.