포인터 프로그램 검증을 위한 지역 추론과 전후 상태 논리

초록

본 논문은 포인터 기반 프로그램의 정합성을 검증하기 위해 Hoare 논리를 확장한다. 사용자 정의 재귀 함수와 메모리 스코프 함수(MSF)를 도입해 프로그램 전·후 상태를 정밀히 기술하고, 전 상태 용어를 활용해 전후 상태 간 관계를 표현한다. 수정된 할당 규칙과 메모리 할당 규칙을 통해 포인터 연산을 안전하게 다루며, 지역 추론을 위한 전제 변수와 MSF 포함 관계 공리를 제시한다. 간단한 예제와 Shorre‑Waite 알고리즘, 선택 정렬 증명을 통해 실용성을 입증한다.

상세 분석

이 논문은 전통적인 Hoare 논리의 한계를 극복하고자, 포인터와 동적 메모리 구조를 명시적으로 다룰 수 있는 새로운 논리 체계를 제시한다. 핵심 아이디어는 프로그램 상태를 기술하는 논리식에 사용자 정의 재귀 함수를 허용함으로써, 복잡한 메모리 레이아웃이나 배열·레코드 접근을 자연스럽게 표현한다는 점이다. 이를 위해 세 가지 기본 함수—메모리 접근 함수, 레코드 필드 접근 함수, 배열 원소 접근 함수—를 도입하고, 각각에 대한 공리화를 수행한다.

특히 ‘Memory Scope Function (MSF)’ 개념은 혁신적이다. 재귀 함수 f가 평가되는 동안 실제로 읽거나 쓰는 메모리 셀들의 집합을 MSF(f)라 정의하고, f의 정의식으로부터 MSF를 구문적으로 유도하는 규칙을 제공한다. MSF 자체도 재귀 함수이므로 자기 자신의 메모리 스코프를 포함한다는 공리를 추가함으로써, “MSF가 자신의 MSF를 포함한다”는 성질을 보장한다. 이 성질은 지역 추론(local reasoning)을 가능하게 하는데, 즉 특정 명령문이 영향을 미치는 메모리 영역만을 고려하면 전체 프로그램의 안전성을 판단할 수 있다.

전후 상태를 연결하는 ‘pre‑state term’ 도입도 눈에 띈다. 포인터 연산이 복잡하게 얽힌 상황에서도, 사후 조건에 전 상태의 값을 직접 삽입함으로써 상태 변화를 명시적으로 서술한다. 예를 들어, *p = *q와 같은 할당문에 대해, *p' = v와 같이 전 상태의 *q 값을 사용해 사후 조건을 기술한다.

할당문에 대한 Hoare 규칙은 기존의 “x := e” → “P