파라미터 트리 시스템 안전 검증을 위한 유한 반모델 기법

초록

본 논문은 트리 구조를 갖는 파라미터화 시스템의 안전성 검증을, 첫 번째 차수 논리식의 유한 반모델을 찾는 문제로 변환하고, 이를 일반적인 유한 모델 탐색 절차로 해결한다. 제안 방법은 정규 트리 모델 검증(RTMC) 및 단조 추상화·역방향 도달성 기법보다 적어도 동등한 표현력을 가지며, 실험을 통해 실용성을 입증한다.

상세 분석

논문은 파라미터화된 트리 시스템을 “트리 자동화(초기·위험 상태) + 트리 변환기(전이)” 형태로 모델링한다. 기존 정규 트리 모델 검증(RTMC)은 초기 자동화와 변환기의 전이 클로저를 또 다른 자동화로 근사한 뒤, 초기·위험 자동화와의 교집합이 공집합인지 확인한다. 저자는 이 과정을 전부 1차 논리식으로 인코딩한다. 구체적으로, 각 상태(노드 라벨)와 자동화의 상태를 1차 논리의 상수·함수·술어로 매핑하고, 초기·위험 자동화의 전이 규칙을 Init2, Unsafe2와 같은 이항 술어에, 변환기의 전이를 T와 R 술어에 기술한다. 전이의 반사·전이성은 R(x,x)와 R(x,y) ∧ R(y,z) → R(x,z) 로 명시한다.

핵심 정리는 다음과 같다.

1. Φ ⊢ Init1(tτ) 은 트리 τ가 초기 자동화에 속하면 논리식이 이를 증명함을 의미한다.
2. Φ ⊢ ∃x Init1(x) ∧ R(x, tτ) 은 τ가 초기 상태에서 몇 번의 전이 후 도달 가능함을 보인다.
3. Φ ⊬ ∃x∃y Init1(x) ∧ R(x,y) ∧ Unsafe1(y) 가 성립하면, 초기·위험 자동화 사이에 전이 경로가 없으므로 안전성이 증명된다.

이때 Φ 가 만족되지 않을 경우, 즉 위 존재식이 증명되면 반대 상황(위험 도달 가능)이다. 따라서 안전 검증은 “Φ 로부터 위 존재식을 유도할 수 없는가?” 라는 부정문제로 전환된다.

유한 모델 탐색 절차(예: Mace4, Paradox)는 이러한 부정문을 자동으로 검사한다. 논문은 완전한 유한 모델 탐색 알고리즘이 존재한다는 전제 하에, 모든 RTMC에서 긍정적으로 답이 나오는 경우에 대해 유한 반모델이 반드시 존재함을 증명한다(정리 1). 즉, FCM은 RTMC와 동등하거나 더 강력한 검증 능력을 가진다.

또한, 단조 추상화·역방향 도달성 기법과의 비교에서도, 해당 기법들이 생성하는 추상 전이 관계 역시 1차 논리식으로 표현 가능하므로, FCM이 동일한 혹은 더 정밀한 결과를 제공함을 논리적으로 보인다.

실험에서는 두 방향 토큰 프로토콜을 사례로 채택하였다. 초기 자동화는 “정확히 하나의 토큰”을, 위험 자동화는 “두 개 이상”을 인식하도록 정의하고, 변환기는 토큰 이동 규칙을 기술한다. Mace4 를 이용해 Φ 로부터 위험 존재식을 찾지 못함을 확인함으로써, 무한히 큰 트리에서도 토큰 충돌이 발생하지 않음을 증명하였다. 이는 기존 RTMC 기반 도구와 비교해 모델링 복잡도는 낮지만, 검증 성공률과 실행 시간 면에서 경쟁력을 보임을 시사한다.

결론적으로, 파라미터 트리 시스템의 안전 검증을 1차 논리의 유한 반모델 탐색으로 전환함으로써, 기존 자동화 기반 방법들의 한계를 극복하고, 범용적인 SAT/SMT 기반 도구와 연계 가능한 새로운 검증 패러다임을 제시한다.