채널을 정보 운반체로 보는 단순 비간섭 타입 시스템

초록

본 논문은 값 전달이 가능한 CCS에 보안 레벨이 부여된 채널을 도입하고, 채널을 “이벤트”가 아닌 “정보 운반체”로 해석하는 새로운 비간섭 개념을 제시한다. 기존의 프로세스 대수적 비간섭 정의와 달리, 고수준 입력이 저수준 출력에 영향을 미치는 경우만을 위험으로 간주한다. 이를 위해 Pottier의 ‘단순 타입 시스템’을 CCS에 맞게 변형하고, 그 시스템이 ‘지속적 비추론 불가능성(P‑BNDC)’과 정확히 일치함을 증명한다. 또한, 고수준 입력만을 제한하는 정제된 타입 규칙을 제안해, 출력에 비밀값이 포함돼도 안전하다고 판단하도록 한다.

상세 분석

논문은 먼저 보안 레벨이 정의된 격자(L, ≤) 위에 채널을 라벨링하는 CCS 변형을 소개한다. 입력 프리픽스 aℓ(x)와 출력 프리픽스 aℓ⟨e⟩는 각각 동일한 보안 레벨 ℓ을 공유하도록 설계돼, 채널 자체가 정보 흐름의 통로임을 명시한다. 이러한 설계는 전통적인 “행동(event)” 중심의 비간섭 정의와 근본적으로 다르다. 전통적 정의에서는 고수준 행동이 저수준 행동에 어떠한 인과관계라도 있으면 비안전으로 간주한다. 반면 저자들은 “고수준 입력이 저수준 출력에 영향을 주는 경우만”을 위험으로 보며, 고수준 출력 자체는 비밀이 외부에 노출되지 않으므로 허용한다.

이를 형식화하기 위해 두 단계의 보안 관계를 도입한다. 첫 번째는 기존의 BNDC (Bisimulation‑based Non‑Deducibility on Composition)이며, 이는 모든 고수준 프로세스 Π에 대해 (νH)(P | Π) ≈ (νH)P 를 요구한다. 그러나 BNDC는 고수준 입력과 저수준 출력이 순차적으로 연결된 경우를 충분히 차단하지 못한다. 따라서 저자들은 P‑BNDC (Persistent BNDC)를 채택한다. P‑BNDC는 고수준 행동을 τ‑전이로 추상화하는 “up‑to‑high” 약한 바이시뮬레이션을 사용해, 모든 도달 가능한 상태에서 BNDC가 유지되는지를 검사한다. 이 정의는 “고수준 입력 → 저수준 출력” 패턴을 명시적으로 비안전하게 만든다.

다음으로, Pottier가 제안한 ‘단순 타입 시스템’을 CCS에 맞게 변형한다. 타입 환경 Γ는 채널 이름을 보안 레벨에 매핑하고, 프로세스에 대한 타입 판단 규칙은 (NIL), (SUB), (COMP), (REC), (SUM), (RESTR) 등으로 구성된다. 핵심은 모든 프리픽스 α가 subj(α)와 동일한 레벨 ℓ을 가져야 하며, 선택(∑) 안의 모든 분기가 같은 레벨이어야 한다는 점이다. 이 시스템은 주제 감소(Theorem 3.3)를 만족해, 타입이 부여된 프로세스는 어떤 전이 후에도 동일 레벨을 유지한다. 결과적으로, 타입이 가능한 모든 프로세스는 P‑BNDC에 속함을 증명한다(정리 3.4).

하지만 역은 성립하지 않는다. 저자들은 P‑BNDC에 속하지만 타입화되지 않는 프로세스(예: a_h(x).b_l⟨e⟩)를 제시해, 타입 시스템이 보안 클래스를 엄격히 제한함을 보여준다. 이는 타입 시스템이 구현하기 쉬운 정적 검사 도구로서 유용하지만, 보안 정의 자체가 더 넓은 프로세스를 허용한다는 점을 시사한다.

마지막으로, 저자들은 “출력은 안전”이라는 직관에 맞추어 타입 규칙을 정제한다. 고수준 입력만을 제한하고, 고수준 출력이 저수준 채널에 전달되는 경우도 허용한다. 예를 들어 a_h⟨v⟩.b_l⟨v⟩는 기존 ‘단순 타입 시스템’에서는 비타입 가능하지만, 정제된 시스템에서는 안전하게 타입될 수 있다. 이는 프로그래밍 언어 기반 비간섭(비밀 입력이 공개 출력에 영향을 주면 안 된다)과 정확히 일치한다.

전체적으로 논문은 (1) 비간섭을 채널 중심으로 재정의, (2) 기존 P‑BNDC와 단순 타입 시스템을 CCS에 적용, (3) 타입 시스템이 P‑BNDC를 충분히 보장하지만 완전하지 않음, (4) 출력 중심의 새로운 타입 규칙을 제안해 언어 기반 비간섭과 일치하도록 만든다. 이러한 기여는 프로세스 대수와 프로그램 언어 보안 사이의 격차를 메우는 중요한 단계이며, 정적 분석 도구 설계에 실용적인 토대를 제공한다.