정보 삭제를 위한 사용자 모델

초록

본 논문은 비밀 데이터를 일시적으로 사용한 뒤 완전히 삭제해야 하는 시스템에서, 사용자의 역할을 형식적으로 정의한다. 사용자가 “삭제 친화적”이라는 일련의 조건을 만족하면, 기존 Hunt‑Sands 모델의 “삭제 보장 시스템”과 조합했을 때 전체 시스템이 정보 삭제 특성을 유지함을 증명한다.

상세 분석

Hunt와 Sands가 제시한 ESOP’08 논문에서는 시스템이 비밀 데이터를 제한된 기간 동안만 사용하고, 그 이후에는 해당 데이터에 대한 어떠한 정보도 노출하지 않아야 한다는 ‘정보 삭제(Erasure)’ 개념을 정의하였다. 그러나 그 모델에서는 사용자가 데이터를 제공하는 과정에서 어떤 행동을 해야 하는지에 대한 공식적인 규정이 부족했다. 본 논문은 이 공백을 메우기 위해 사용자 모델을 정형화하고, ‘삭제 친화성(Erasure‑Friendliness)’이라는 일련의 요구조건을 도출한다.

삭제 친화성은 크게 네 가지 축으로 구성된다. 첫째, 사용자는 시스템이 삭제를 요청하기 전까지 비밀 데이터를 일관되게 제공해야 하며, 삭제 요청 이후에는 동일한 입력을 반복하거나 새로운 입력을 제공하지 않는다(‘Non‑Reuse’). 둘째, 사용자는 시스템이 삭제를 완료했는지 확인할 수 있는 명시적 신호를 받아야 하며, 그 신호가 없을 경우 진행을 중단한다(‘Acknowledgement’). 셋째, 사용자는 시스템이 삭제 과정에서 발생할 수 있는 오류나 예외 상황에 대해 사전에 정의된 복구 절차를 따르며, 이를 통해 시스템이 비정상 종료되더라도 비밀이 유출되지 않도록 보장한다(‘Fault‑Tolerance’). 넷째, 사용자는 삭제가 완료된 후에도 이전에 제공한 비밀과 연관된 메타데이터를 보관하거나 전파하지 않는다(‘Metadata Cleanliness’).

이러한 조건들을 형식적으로 정의하기 위해 저자들은 LTS(Labelled Transition System)와 I/O‑automata를 활용하였다. 사용자와 시스템 각각을 상태 기계로 모델링하고, 두 기계 사이의 통신 채널을 ‘erase’ 라벨이 붙은 전이로 표시한다. 삭제 친화적 사용자는 ‘erase’ 전이가 발생한 직후에 ‘idle’ 상태로 전이하며, 이후 어떠한 비밀 관련 전이도 발생시키지 않는다. 이를 통해 시스템이 ‘erase’ 전이 이후에 수행하는 모든 행동은 비밀과 무관함을 보장한다.

주요 정리(Theorem)에서는 “삭제 친화적 사용자와 삭제 보장 시스템을 병합한 복합 시스템은 전체적으로 정보 삭제 특성을 만족한다”는 것을 증명한다. 증명은 합성 연산자가 보존하는 불변식(invariant)을 이용해, 시스템이 비밀을 완전히 잊어버린 뒤에도 사용자의 행동이 그 불변식을 깨뜨리지 않음을 보인다.

결과적으로 이 논문은 기존 모델의 한계를 보완하고, 실무에서 보안 프로토콜을 설계할 때 사용자 측면의 요구사항을 명시적으로 고려하도록 하는 중요한 이론적 토대를 제공한다.