낮은 I/O 오버헤드를 위한 은밀한 저장

초록

본 논문은 클라우드 환경에서 클라이언트가 비밀 데이터를 서버에 위탁하면서도 접근 패턴을 숨길 수 있는 Oblivious Storage(OS) 방식을 제안한다. 메시지 크기 (M = O(N^{1/c})) ((c\ge2))와 클라이언트 사설 메모리 (2M) 를 가정하고, 접근당 평균 (O(1)) 라운드의 통신만으로 데이터를 읽고 쓰는 방법을 설계한다. 핵심은 “square‑root” 구조와 재구성 단계에서 사용하는 버퍼 셔플링 기법이며, 이를 통해 기존 ORAM 대비 라운드 수와 상수 요인을 크게 감소시킨다.

상세 분석

이 논문은 기존 ORAM 연구가 실제 클라우드 스토리지 API와 맞지 않는 점을 지적하고, 키‑값 쌍 형태의 저장소를 직접 모델링한 Oblivious Storage(OS) 프레임워크를 채택한다. 저자는 두 가지 핵심 파라미터, 즉 전체 아이템 수 (N) 과 한 번에 교환 가능한 아이템 수 (M) (메시지 크기)를 도입하고, (M = N^{1/c}) ((c\ge2))라는 현실적인 제약을 두어 실용성을 강조한다. 클라이언트는 최소 (2M) 크기의 사설 메모리를 보유해 두 메시지를 동시에 처리할 수 있다.

기본 아이디어는 “square‑root” 구조를 기반으로 한다. (c=2)일 때 (M=\sqrt N)이므로, 데이터를 두 레벨(버퍼와 메인 스토어)로 나누어 관리한다. 버퍼에 삽입·삭제가 발생하면 일정 횟수마다 전체 데이터를 재구성(rebuild)하는데, 이때 사용되는 셔플링 방법이 핵심이다. 기존 연구에서는 완전한 oblivious sorting을 사용했지만, 저자는 “버퍼 셔플”이라는 간단한 랜덤 버킷화와 교환 과정을 제안한다. 이 방법은 높은 확률로 아이템 위치를 무작위화하면서도, 정렬에 비해 I/O 비용이 상수 배만큼 감소한다. 필요 시 완전 oblivious sorting(예: Goodrich‑Mitzenmacher 외부 메모리 정렬)으로 교체 가능하므로 보안‑성능 트레이드오프를 자유롭게 조절할 수 있다.

또한, miss‑intolerant 구조(요청한 키가 존재하지 않을 경우 오류)에서 miss‑tolerant 구조로 전환하기 위해 cuckoo hashing을 도입한다. cuckoo hashing은 삽입·조회 모두 O(1) 평균 시간에 수행되며, 재구성 단계에서 버퍼 셔플과 결합해 전체 접근 비용을 유지한다. 이를 통해 클라이언트는 존재하지 않는 키에 대한 요청도 obliviously 처리할 수 있다.

성능 분석에서는 접근 연산(access)과 재구성 연산(rebuild)을 구분한다. 접근은 크기 (O(1)) 메시지를 사용해 한 라운드에 완료되고, 재구성은 크기 (M) 메시지를 사용해 전체 데이터를 재배열한다. 재구성은 amortized 관점에서 (O(1)) 라운드에 수렴한다. 표 1과 비교 실험에서 제안 방법은 기존 ORAM(예: Shi et al., Williams et al.)에 비해 라운드 수가 1에 가깝고, 클라이언트 메모리 요구량도 (N^{1/c}) 수준으로 크게 감소한다. 특히 (c=3,4) 경우 메가바이트 단위 메시지로 엑사바이트 규모 데이터베이스를 다룰 수 있어, 클라우드 서비스(AWS S3, Azure)와 직접 매핑이 가능하다.

보안 측면에서는 키를 해시 (h(r|k)) 로 변환하고, 값은 확률적 암호화 (E(r|v)) 로 보호한다. nonce (r) 은 주기적으로 교체돼 동일 아이템이라도 매 접근마다 다른 키와 암호문을 생성한다. 따라서 서버는 아이템의 실제 키·값을 추론할 수 없으며, 셔플링 단계에서 발생하는 작은 정보 누수도 확률적으로 무시할 수준이다. 전체 보안 정의는 Boneh et al.의 OS 정의와 동일하게, 다항 시간 공격자가 두 접근 시퀀스를 구분할 확률이 negligible함을 보인다.

결론적으로, 이 논문은 클라우드 환경에서 실용적인 I/O 라운드 수와 메모리 요구량을 동시에 만족하는 OS 프로토콜을 제시하며, 기존 ORAM이 갖는 높은 라운드 오버헤드와 복잡한 구현 문제를 크게 완화한다. 향후 연구는 버퍼 셔플의 정확한 통계적 분석과, 동적 데이터(삽입·삭제 빈도 높은 워크로드)에서의 재구성 스케줄링 최적화를 다룰 수 있다.