Peterson 알고리즘 리더 선출 검증을 위한 NuSMV 모델링

초록

본 논문은 일방향 비동기 링 토폴로지에서의 Peterson 리더 선출 알고리즘을 NuSMV를 이용해 형식 검증한다. 각 노드가 고유 ID와 메시지 큐를 갖는 상황에서 상태 폭발 문제를 완화하기 위해 큐 길이와 전송 순서 등에 제한을 두었다. 이러한 제약을 적용함으로써 4노드 모델의 10억 개가 넘는 상태를 8노드까지 확장해도 검증이 가능함을 보였다. 주요 검증 대상은 안전성(동시 다수 리더 부재)과 활력(모든 실행이 결국 리더를 선출)이며, 제한적 가정 하에서도 알고리즘의 정합성을 유지함을 실험적으로 확인하였다.

상세 분석

Peterson 알고리즘은 비동기식 일방향 링에서 각 노드가 고유 식별자를 가지고 메시지를 순환시켜 최댓값을 가진 노드를 리더로 선출하는 고전적 프로토콜이다. 이 알고리즘은 본질적으로 유한 상태 기계이지만, 각 노드가 임의 길이의 큐를 보유하고 메시지 전송 시점이 비동기적으로 결정되기 때문에 모델링 시 상태 공간이 급격히 팽창한다. 논문은 먼저 이러한 상태 폭발을 정량적으로 분석하여 4노드 구성에서도 10억 개가 넘는 상태가 생성됨을 보여준다. 이를 해결하기 위해 저자는 두 가지 핵심 제한을 도입한다. 첫째, 큐의 최대 길이를 1로 고정하고, 메시지 중복 전송을 방지하기 위해 각 단계에서 하나의 메시지만 전파하도록 제약한다. 둘째, 노드 간 전송 순서를 고정된 라운드 로빈 방식으로 제한함으로써 비동기성의 자유도를 크게 축소한다. 이러한 제한은 알고리즘의 논리적 동작을 변형하지 않으며, 리더 선출 과정에서 발생할 수 있는 모든 중요한 인터랙션을 보존한다는 점을 논리적 증명과 실험을 통해 입증한다. 제한 모델을 NuSMV에 입력하면, 상태 수는 수십만 수준으로 감소하고, CPU 시간과 메모리 사용량도 크게 줄어든다. 특히 8노드까지 확장했을 때도 검증이 성공적으로 수행되며, 페이지 폴트 횟수는 실질적으로 0에 가까워진다. 검증 대상 속성은 CTL 기반의 안전성(동시에 두 개 이상의 리더가 존재하지 않음)과 활력(모든 실행 경로에서 결국 하나의 리더가 선출됨)이다. 모델 검사 결과, 모든 제한 조건 하에서 두 속성이 만족됨을 확인했으며, 이는 원래 알고리즘이 비동기 환경에서도 정합성을 유지한다는 강력한 증거가 된다. 논문은 또한 제한을 완화했을 때 상태 폭발이 다시 급증하는 현상을 실험적으로 보여주어, 제안된 제한이 실용적인 검증을 위한 필수 전제임을 강조한다. 마지막으로, 이 연구는 형식 검증이 전통적으로 규모가 큰 분산 알고리즘에 적용되기 어려운 점을 극복하고, 제한적 가정 하에서도 실질적인 신뢰성을 확보할 수 있음을 입증한다.