C 코드에서 암호 프로토콜 검증을 위한 자동 모델 추출과 검증

초록

본 논문은 C로 구현된 암호 프로토콜을 사전 정의된 모델 없이 자동으로 분석한다. C 코드를 단순화된 CVM으로 변환한 뒤, 심볼릭 실행을 통해 메모리와 네트워크 메시지를 비정형식으로 추출하고, 이를 IML이라는 중간 언어로 변환한다. 이후 IML을 ProVerif이 이해할 수 있는 적용 파이 계산식으로 변환해 기존 검증 도구에 넘겨 약한 비밀성과 인증을 계산적 사운드니스와 함께 검증한다. 단일 실행 경로만 다루지만, 레거시 코드에 적용 가능하고 실제 구현에서 버그를 발견한 사례를 제시한다.

상세 분석

이 논문은 암호 프로토콜 구현을 C 코드 수준에서 직접 검증하려는 시도 중 가장 포괄적인 접근법을 제시한다. 핵심 아이디어는 세 단계로 구성된다. 첫째, C 코드를 CIL을 이용해 단순한 스택 기반 가상 머신 언어인 CVM으로 컴파일한다. CVM은 메모리 접근, 랜덤값 생성, 네트워크 입출력, 이벤트 기록 등 프로토콜 구현에 필수적인 연산만을 포함하고, 조건문은 불합격 시 즉시 종료하는 형태로 설계돼 복잡한 제어 흐름을 배제한다. 둘째, CVM 프로그램을 심볼릭 실행한다. 여기서 변수는 고정 길이 비트스트링이 아니라 길이가 미정인 비트스트링으로 모델링되며, 메모리 영역마다 “hmac(01‖x, k)”와 같은 식으로 내용이 표현된다. 암호 연산 자체는 사전에 정의된 심볼릭 모델에 의존해 내부 구현을 무시한다는 점이 중요한 가정이다. 셋째, 심볼릭 실행 결과를 IML(Intermediate Model Language)이라는 비메모리 파이 계산식으로 변환한다. IML은 파괴적 업데이트와 포인터 연산을 제거하고, 생성자·소멸자 형태의 연산만 남겨 ProVerif이 처리할 수 있게 만든다. 논문은 이 변환 과정이 보안 성질을 보존한다는 정리(정리 1)를 증명하고, IML→파이 변환(정리 2)과 파이 모델의 계산적 사운드니스(정리 3)를 기존 연구와 결합해 전체 파이프라인의 사운드니스를 확보한다. 제한점으로는 단일 실행 경로만 분석한다는 점과, 암호 원시 구현이 올바르게 동작한다는 전제가 있다. 그러나 실제 OpenSSL·스마트 미터 등 대규모 레거시 코드에 적용해 버그를 발견하거나 자동 검증에 성공한 사례를 제시함으로써 실용성을 입증한다.