퍼지 사설 매칭: 오류 허용 교집합 계산의 새로운 프로토콜

초록

**
본 논문은 반쯤 정직한 환경에서 두 참여자가 보유한 속성 집합을 ‘t / T’ 유사도 기준으로 교집합을 비밀리에 찾는 퍼지 사설 매칭 문제를 다룬다. 기존 Freedman et al. 방식의 오류를 지적하고, 두 가지 새로운 프로토콜을 제시한다. 첫 번째는 단순하지만 비트 전송량이 O(n·C(T,t)·(T·log|D|+k))이며, 두 번째는 전송량을 O(n·T·(log|D|+k))로 크게 줄이지만 클라이언트가 O(n)의 추가 연산을 수행한다. 또한 해밍 거리 기반 및 전송 전용(OT) 기반 변형도 제안한다.

**

상세 분석

**
퍼지 사설 매칭(Fuzzy Private Matching, FPM)은 전통적인 사설 집합 교집합(Private Set Intersection, PSI) 문제를 일반화한 형태로, 요소가 정확히 일치하지 않더라도 일정 수(t) 이상의 속성(attribute) 일치를 보이면 “매치”로 인정한다. 이는 DNA 서열, 이미지 특징, 오류가 섞인 센서 데이터 등 실세계 애플리케이션에서 필수적인 요구사항이다. 논문은 먼저 Freedman et al.이 제안한 초기 FPM 프로토콜이 근본적인 설계 결함을 가지고 있음을 증명한다. 그들은 각 속성을 독립적인 비밀 공유로 처리하면서, 전체 요소의 유사성을 단순히 속성별 일치 횟수의 합으로 판단했는데, 이는 속성 간 상관관계를 무시해 거짓 양성(false positive)과 거짓 음성(false negative)을 초래한다. 특히, 동일 속성 값이 여러 번 등장하는 경우(다중 매핑)와 속성 값이 서로 다른 도메인에 걸쳐 있을 때 오류가 발생한다. 논문은 이러한 오류를 구체적인 반례와 수학적 증명을 통해 명확히 드러낸다.

그 뒤 제시된 두 가지 프로토콜은 이러한 함정을 회피하면서도 효율성을 유지한다. 첫 번째 프로토콜은 “속성 조합 기반 비밀 공유” 방식을 채택한다. 전체 T개의 속성 중 t개를 선택하는 모든 조합 C(T,t)에 대해 각각 비밀 공유를 수행하고, 클라이언트는 자신이 보유한 조합에 해당하는 공유값을 복원한다. 서버는 각 조합에 대해 무작위 마스크를 적용해 전송하고, 클라이언트는 복원된 값이 0이면 매치를, 그렇지 않으면 비매치를 판단한다. 이 과정에서 사용되는 암호학적 도구는 (1) 선형 비밀 공유(Linear Secret Sharing Scheme, LSSS), (2) 동형 암호(Homomorphic Encryption) 혹은 (3) 대칭키 기반 PRF이다. 전송량은 각 조합당 T·log|D| 비트(속성값 인코딩)와 보안 파라미터 k 비트를 추가로 요구하므로 전체 복잡도는 O(n·C(T,t)·(T·log|D|+k))가 된다. 이 방식은 구현이 간단하고, 클라이언트와 서버 모두 O(n·C(T,t))의 선형 연산만 수행하면 되지만, 조합 수가 급격히 증가하면 실용성이 떨어진다.

두 번째, “개선된 압축 프로토콜”은 조합 폭발을 억제하기 위해 속성별 해시와 블룸 필터를 결합한다. 서버는 각 속성값에 대해 k‑bit 해시값을 계산하고, 이를 t‑wise XOR 조합으로 압축한다. 클라이언트는 자신이 가진 t개의 속성에 대해 동일한 압축 과정을 수행하고, 서버가 전송한 압축값과 비교한다. 여기서 핵심은 해시 충돌을 최소화하기 위해 충분히 큰 k를 선택하고, XOR 연산이 선형성을 유지한다는 점이다. 결과적으로 전송량은 O(n·T·(log|D|+k))로 크게 감소한다. 그러나 클라이언트는 모든 n개의 요소에 대해 t‑wise 조합을 직접 계산해야 하므로 시간 복잡도가 O(n·C(T,t))에서 O(n)으로 감소한다(조합을 미리 계산해 두는 방식). 이는 서버 입장에서 매우 가벼운 연산을 유지하면서도, 클라이언트가 약간의 추가 연산을 감수하는 트레이드오프다.

추가로 논문은 두 가지 보조 프로토콜을 제시한다. 첫 번째는 “해밍 거리 기반 프로토콜”로, 각 요소를 비트 문자열로 인코딩하고, 서버와 클라이언트가 서로의 문자열에 대해 비밀하게 해밍 거리를 계산한다. 이때는 가우시안 부호화(Gaussian encoding)와 OT‑extension을 이용해 O(n·T) 비트 전송으로 t 이하의 차이를 허용한다. 두 번째는 “전송 전용(Oblivious Transfer) 기반 프로토콜”로, 서버가 각 속성값에 대해 1‑out‑of‑|D| OT를 수행하고, 클라이언트는 자신이 가진 속성에 해당하는 선택만 수행한다. 이 방식은 속성 도메인이 작을 때 효율적이며, 전송량은 O(n·t·log|D|)에 머문다.

보안 분석 측면에서는 모든 제안 프로토콜이 반쯤 정직한 모델(semi‑honest) 하에서 시뮬레이션 기반 보안을 만족한다. 즉, 어느 한쪽이 자신의 입력을 제외하고는 상대방의 입력에 대한 어떠한 정보도 얻을 수 없으며, 매치 여부 외의 부가 정보를 누설하지 않는다. 특히, 개선된 압축 프로토콜은 XOR 압축 과정에서 발생할 수 있는 정보 누설을 방지하기 위해 임의의 마스크값을 추가하고, 이를 시뮬레이션 증명에 포함시켜 보안성을 강화한다.

전체적으로 이 논문은 퍼지 사설 매칭 분야에서 최초로 기존 프로토콜의 오류를 체계적으로 지적하고, 실용적인 두 가지 대안을 제시함으로써 학술적·산업적 응용 가능성을 크게 확장한다.

**