조건부 비간섭 정책의 해제와 검증

1. 서론 정보 흐름 보안은 기밀성과 무결성을 동시에 만족시키는 정책 설계가 핵심이다. Goguen‑Meseguer가 제시한 비간섭 모델은 행동이 특정 도메인에 ‘보이지 않게’ 하거나 ‘변경되지 않게’ 함으로써 흐름을 제어한다. 전이적 비간섭은 도메인 간 흐름 관계가 전이성을 갖는 경우에만 적용 가능했으며, 비전이적 비간섭은 중간 채널을 통해 흐름을 허용하는 보다 유연한 모델을 제공한다. 그러나 두 모델 모두 동적 정책(예: 권한 상승·하강, 사전 검증) 을 표현하는 데 한계가 있다. 2. 시스템 모델 및 기존 비간섭 재정의 논문은 유한 사용자 집합 U, 행동 집합 A, 그리고 dom: A→U 로 정의된 시그니처를 사용한다. 각 행동은 고유 도메인에 귀속되며, 행동 파티션 Part ⊆ 2^A 로 세분화한다. 파티션은 도메인에 종속되면서도 서로 겹치지 않도록 보장한다. 비간섭 어설션은 “P ⊭ u” 형태로, 파티션 P가 사용자 u에게 간섭하지 못함을 명시한다. 이 어설션 집합 Π 로부터 간섭 관계 ⊆U×U 를 유도하고, 전이성 여부에 따라 정책을 전이적 혹은 비전이적으로 구분한다. 3. 조건부 비간섭 프레임워크 조건부 비간섭은 어설션에 논리적 제약 φ를 추가한다. φ는 A*×A×A* → {true,false} 로 정의되며, 현재 행동 a가 과거 행동열 α와 미래 행동열 α′에 따라 u에게 간섭 가능한지를 판단한다. 두 가지 서브클래스를 정의한다. - 선조건(pre‑conditional) 어설션: φ가 현재 행동이 수행되기 전의 상태만을 고려한다. 예: 사용자가 파일에 쓰기 권한을 사전에 부여받았는가? - 후조건(post‑conditional) 어설션: φ가 현재 행동 이후에 수행될 행동을 고려한다. 예: 비밀 메시지를 전송하기 전에 반드시 암호화 단계가 수행되는가? 조건부 비간섭 정책 Π에 대해 새로운 purge 함수 purge_Π 를 정의한다. purge_Π(α,u)는 α의 각 행동 a_i 를 검사해, 해당 어설션이 존재하고 φ(α_{i})가 true이면 a_i 를 제거한다. 시스템이 보안하려면 모든 사용자 u와 모든 행동열 α에 대해 obs_u(s0·α)=obs_u(s0·purge_Π(α,u)) 가 성립해야 한다. 4. 언와인딩 관계와 검증 언와이딩 관계 R_u ⊆ S×S 를 도입해, (s,s′)∈R_u이면 두 상태에서 사용자 u의 관찰값이 동일함을 보장한다. 논문은 두 주요 정리를 제시한다. - Soundness: R_u가 (i) 반사성, (ii) 전이 보존성(특정 행동 파티션에 대해), (iii) 관찰 보존성을 만족하면 시스템은 해당 조건부 비간섭 정책을 만족한다. - Completeness: 정책을 만족하는 시스템이라면, 위 조건을 만족하는 R_u를 구성할 수 있다. 이는 기존 비전이적 비간섭에서 약한 언와인딩이 충분하지 않다는 점을 보완한다. 특히, 후조건 어설션에 대해선 “future‑aware” 전이 보존성을 추가로 정의해, 현재 행동이 미래 행동에 의해 허용/제한되는 경우를 정확히 캡처한다. 5. 안전성 변환 및 도구 적용 특정 서브클래스(φ가 과거를 무시하고 현재·미래만 의존)에서는 purge 연산을 상태 두 배(state‑doubling) 기법으로 변환한다. 원래 시스템 M을 두 복제본으로 확장한 M′를 구성하고, 조건부 비간섭 정책을 단순 안전성(property)로 표현한다. 이렇게 변환하면 기존 모델 검증 도구(PVS, Isabelle/HOL)로 자동 검증이 가능해진다. 6. 관련 연구와 차별점 전통적인 전이적·비전이적 비간섭, 채널 제어 정책, 그리고 동적 접근 제어 모델을 비교한다. 기존 연구는 주로 흐름 후 제어에 초점을 맞추었으나, 본 논문은 흐름 전·후 모두를 포괄하는 조건부 제어를 제공한다. 또한, 언와인딩 관계의 완전성을 증명함으로써 검증 절차의 신뢰성을 크게 향상시킨다. 7. 결론 및 향후 과제 조건부 비간섭 프레임워크는 정책 표현력과 검증 가능성을 동시에 확대한다. 향후 연구에서는 비결정적 시스템, 분산 환경, 그리고 실시간 정책 업데이트와 같은 복합 시나리오에 대한 확장을 계획한다.