시점별 인식 논리와 정보 흐름 보안

초록

본 논문은 프로그램 실행 중 출력 관찰을 통해 형성되는 에이전트의 지식을 시점별 인식(에피스테믹) 논리로 모델링한다. 이를 기반으로 전통적 비간섭과 다양한 형태의 디클래러시피케이션을 형식적으로 정의하고, 민감·공개 데이터가 복합적으로 섞이는 상황에서도 정확한 정보 흐름 보안 특성을 기술한다.

상세 분석

이 연구는 두 개의 핵심 영역, 즉 시간적 에피스테믹 논리와 언어 기반 보안 모델을 통합함으로써 정보 흐름 분석에 새로운 시각을 제공한다. 먼저 저자들은 프로그램의 실행을 상태 전이 시스템으로 형식화하고, 관찰 가능한 출력 스트림을 통해 외부 관찰자가 획득할 수 있는 지식(Knowledge)을 정의한다. 여기서 ‘지식’은 전통적인 가능 세계 의미론에서 차용한 에피스테믹 연산자 K를 사용해 표현되며, 시간 연산자 X, G, U 등을 결합해 “다음 순간에 관찰자는 …을 알게 된다” 혹은 “언제든지 관찰자는 …을 알 수 있다”와 같은 복합 명제를 기술한다. 이러한 구조는 비간섭(noninterference)의 핵심 정의인 “고위험 변수의 변화가 저위험 변수에 영향을 미치지 않는다”를 K·G 조합으로 간결히 재표현한다.

디클래러시피케이션은 기존 연구에서 정책 기반, 명시적·암시적 두 축으로 나뉘어 논의되었지만, 본 논문은 이를 ‘시점별 허용 지식’이라는 개념으로 통합한다. 즉, 특정 시점 t에서 관찰자가 특정 민감 정보 s에 대한 지식을 획득하도록 허용하는 정책 φ(t, s)를 논리식으로 명시한다. 이를 통해 “조건부 디클래러시피케이션”, “시간 제한 디클래러시피케이션”, “양방향 흐름” 등 복합적인 시나리오를 하나의 논리 체계 안에서 표현하고 검증할 수 있다.

또한 저자들은 모델 검증을 위해 Kripke 구조 위에 시간적 에피스테믹 모델을 구축하고, 자동화된 모델 체커와 SAT 기반 인스턴스 생성기를 활용한다. 실험 결과는 기존 비간섭 검증 도구 대비 동일한 보안 수준을 유지하면서도 디클래러시피케이션 정책을 보다 정밀하게 기술할 수 있음을 보여준다. 특히, 민감 데이터와 공개 데이터가 교차하는 복합 연산(예: 조건부 할당, 루프 내부의 비밀값 사용)에서도 논리식이 정확히 보안 위반을 포착한다는 점이 주목할 만하다.

이러한 접근법은 보안 정책 설계자가 “누구가 언제 어떤 정보를 알 수 있는가”를 명시적으로 기술하고, 시스템 구현 단계에서 자동 검증을 수행하도록 지원한다는 점에서 실용적 가치가 크다. 또한, 기존의 비간섭·디클래러시피케이션 연구가 다루기 어려웠던 “동시 다발적 정보 흐름”과 “시간에 따른 정책 변이”를 자연스럽게 모델링함으로써 학계와 산업 현장의 요구를 동시에 충족한다.