GeneSyst을 활용한 B‑Event 사양의 행동 분석과 보안 검증

초록

**
본 논문은 B‑Event 사양으로부터 심볼릭 라벨드 전이 시스템(SLTS)을 자동 생성하는 GeneSyst 도구를 소개한다. 추상‑구체 정제 단계와 계층적 상태 분해를 지원하며, 생성된 SLTS를 이용해 전자 지갑 모델(Demoney)의 보안 속성을 형식적으로 검증한다.

**

상세 분석

**
GeneSyst은 B‑Event 사양의 정형적 의미를 전이 시스템 형태로 시각화한다는 점에서 의미가 크다. 논문은 먼저 B‑Event 시스템을 변수 공간, 불변식, 초기화, 이벤트 집합으로 정의하고, 이벤트를 guard와 action으로 분리한다. 트레이스는 초기화 이벤트 뒤에 이어지는 유효한 이벤트 시퀀스로 정의되며, guard가 만족되는 중간 상태와 before‑after(predicate) 관계를 통해 형식적으로 기술된다.

핵심 기여는 심볼릭 라벨드 전이 시스템(SLTS) 의 정의이다. SLTS는 상태 집합 N, 초기 상태 Init, 라벨 집합 U(각 라벨은 enable‑predicate D, reachability‑predicate A, 이벤트 이름 e 로 구성) 및 전이 관계 W 로 구성된다. 상태는 변수 공간의 서브셋을 나타내는 논리식 I(E) 로 해석되며, 전이의 유효성은 두 조건으로 검증된다. 첫째, 상태 E에서의 enable‑predicate D는 해당 이벤트의 guard와 동치이어야 하고, 둘째, 상태 E와 목표 상태 F 사이의 도달 가능성 A는 이벤트 action의 before‑after predicate와 목표 상태 불변식 I(F) 사이의 존재 관계와 동등해야 한다. 이러한 조건을 만족하면 SLTS의 모든 경로(Paths)는 원래 B‑Event 시스템의 트레이스(Traces)와 정확히 일치함을 정리 1이 증명한다.

정제 단계에서는 상태 투영과 계층적 상태 개념을 도입한다. 추상 시스템 S와 정제 시스템 R 사이의 gluing invariant L을 이용해, 추상 상태 ES를 구체 상태 ER 로 투영한다. 투영된 전이는 동일한 이벤트(정제된 이벤트)와 라벨을 공유하면서, 조건 1을 만족하도록 정의된다. 정리 2는 투영된 전이의 enable‑predicate가 추상 시스템에서의 guard와 일치함을 보장한다. 이를 통해 정제 시스템의 SLTS는 추상 시스템의 구조를 보존하면서도 새로운 변수와 이벤트를 포함할 수 있다. 계층적 상태는 하나의 상위 상태를 여러 하위 상태로 분해하는 방식으로, 정제 과정에서 새로운 변수 변화가 시각적으로 드러나도록 설계되었다.

GeneSyst 도구는 B 컴포넌트의 어설션 절에 논리식 P1∨…∨Pn 형태로 상태 분할을 명시하면, 자동으로 완전성 조건(I ⇒ ⋁Pi)을 확인하고, 위 정의에 따라 SLTS를 생성한다. 도구는 정제 레벨을 인식해 추상‑구체 전이 매핑을 수행하고, 계층적 상태를 그래픽으로 표시한다.

사례 연구로 선택된 Demoney 전자 지갑은 여러 거래 유형(결제, 충전, 보안 레벨)에 따라 이벤트가 암호화되고, 외부 애플릿과 통신한다. GeneSyst은 이 모델의 SLTS를 생성하고, 원자성 및 이벤트 발생/불발 조건과 같은 보안 속성을 라벨드 전이 그래프 상에서 검증한다. 보안 속성은 특정 상황에서 이벤트가 반드시 발생하거나 절대 발생하지 않아야 함을 의미하며, SLTS의 경로 탐색을 통해 자동 검증이 가능함을 보여준다.

기술적 강점은 (1) 정제와 계층적 상태를 포괄하는 형식적 전이 모델 제공, (2) 트레이스와 경로의 동등성을 정리로 보장, (3) 보안 속성 검증을 위한 시각적·자동화 도구 구현이다. 한계점으로는 상태 분할을 위한 어설션 작성이 사용자에게 부담을 주며, 복잡한 정제 체인에서 상태 폭발(state explosion) 문제가 완전히 해결되지 않았다는 점을 들 수 있다. 향후 연구에서는 자동 상태 분할 기법과 대규모 시스템에 대한 효율적 탐색 알고리즘이 필요하다.

**