의존성 자유화와 명시와 암시 흐름 분리

초록

본 논문은 의존성 코어 계산(DCC)을 확장하여 데이터 의존성과 제어 의존성을 분리하는 새로운 체계를 제시한다. 명시적 흐름만 제한하는 약한 의존성 모델과, 비간섭 기반의 강한 보안 모델을 동시에 적용함으로써 두 모델의 장점을 조화시킨다. 이를 통해 약한 추적 기반 보안의 soundness를 강화하고, 강한 비간섭 보안의 완전성을 확대한다.

상세 분석

DCC는 기존 계산 람다 calculus에 의존성 레벨을 부여함으로써 데이터와 제어 흐름을 모두 추적한다. 이때 레벨은 보안 격자(security lattice) 위에 정의되며, 레벨이 높은 값이 낮은 값으로 흐를 경우 비인가 정보 유출이 발생한다는 비간섭(non‑interference) 원칙을 기반으로 타입 검사가 이루어진다. 그러나 실제 시스템에서는 명시적(데이터) 흐름만을 제한하고 제어 흐름은 허용하는 경우가 종종 존재한다. 예컨대, 로그 기록이나 디버깅 정보는 제어 흐름에 의해 영향을 받아도 보안에 치명적이지 않을 수 있다. 논문은 이러한 현실적 요구를 반영하기 위해 DCC의 의존성 메커니즘을 두 개의 독립적인 서브시스템으로 분해한다. 첫 번째 서브시스템은 ‘데이터 의존성’만을 추적하며, 이는 전통적인 정보 흐름 제어와 동일한 비간섭 규칙을 적용한다. 두 번째 서브시스템은 ‘제어 의존성’를 별도로 모델링하여, 명시적 흐름을 제한하면서도 제어 흐름에 의한 암시적 의존성을 선택적으로 허용한다.

핵심 기술은 두 레벨 체계의 교차 검증이다. 데이터 의존성 레벨은 기존 DCC와 동일하게 정의되지만, 제어 의존성 레벨은 보다 완화된 트레이스 기반(trace‑based) 보안 모델을 따른다. 트레이스 기반 모델에서는 프로그램 실행 경로 자체가 관찰 가능하지만, 그 경로에 포함된 비밀 데이터 자체는 노출되지 않는다. 이를 형식적으로 표현하기 위해 저자는 ‘제어 레벨 연산자’를 도입하고, 해당 연산자가 적용된 표현식은 데이터 레벨 검증을 우회하도록 설계한다. 결과적으로, 데이터 레벨이 높은 값이 제어 흐름에 의해 조건문에 사용될 경우, 해당 조건문은 제어 레벨에 따라 허용되거나 차단된다.

또한 논문은 두 레벨 체계가 동시에 만족될 때 시스템 전체가 강한 비간섭 보안과 약한 트레이스 보안을 모두 보장한다는 정리를 제시한다. 이 정리는 ‘합성 보안 정리(compositional security theorem)’라 명명되며, 각각의 서브시스템이 독립적으로 sound함을 증명한 뒤, 교차 검증 메커니즘을 통해 전체 시스템의 soundness와 completeness를 도출한다. 특히, 약한 보안 모델이 기존에 갖는 ‘false positive’ 문제—즉, 실제로는 안전한 흐름을 위험으로 오인하는 경우—를 강한 모델의 제약을 통해 제거한다.

구현 측면에서는 타입 시스템에 두 개의 어노테이션(예: ⟨d⟩와 ⟨c⟩)을 추가하고, 타입 규칙을 확장한다. 데이터 의존성 규칙은 기존 DCC와 동일하게 작동하지만, 제어 의존성 규칙은 ‘조건문’과 ‘루프’에만 적용되며, 이때 사용되는 변수는 반드시 제어 레벨이 허용하는 범위 내에 있어야 한다. 이러한 설계는 기존 DCC 기반 언어에 최소한의 침투성으로 통합될 수 있음을 보여준다.

결과적으로, 이 논문은 보안 정책 설계자가 상황에 맞게 강한 비간섭 보안과 약한 트레이스 보안을 혼합 사용할 수 있는 이론적 기반을 제공한다. 이는 특히 복합 시스템(예: 클라우드 서비스와 로컬 애플리케이션이 혼합된 환경)에서 보안 요구사항이 계층적으로 달라지는 경우에 유용하며, 기존의 단일 보안 모델이 갖는 제한성을 극복한다는 점에서 큰 의의를 가진다.