분산 시스템 보안 정책: 로컬 검증으로 글로벌 인트랜시티브 흐름 제어

초록

본 논문은 분산 시스템에서 프로세스 간 직접 메시지 교환이 없는 경우에도 암묵적으로 정의되는 인트랜시티브 보안 정책을 제시한다. 프로세스가 격리된 환경에서 실행되고, 허용된 메시지 경로만 사용될 때 이 정책이 자동으로 강제됨을 증명한다. 또한, 필터 함수라는 로컬 제어 메커니즘을 도입해 전송 가능한 메시지를 제한하고, 각 프로세스에 대한 로컬 검증만으로 전체 시스템이 정책을 만족함을 보인다. 스마트 그리드 사례를 통해 CTL 모델 검증을 적용한 실증 결과를 제시한다.

상세 분석

논문은 먼저 분산 시스템을 “분산 머신”이라는 형식 모델로 정의한다. 각 프로세스 π는 상태 집합 S, 초기 상태 s₀, 입력·출력 액션 집합 A_in, A_out, 그리고 부분 전이 함수 step으로 구성된다. 메시지는 비동기적 버퍼에 저장되며, 전송(!m)과 수신(?π m) 액션을 통해 프로세스 간에 흐른다. 중요한 전제는 모든 메시지에 대해 유일한 송신자와 하나 이상의 수신자가 존재하도록 프로세스 집합을 “조합 가능”하게 만든다. 이렇게 정의된 분산 머신의 전역 상태는 각 프로세스의 로컬 상태와 버퍼 내용의 튜플이며, 전이 규칙은 송신 시 송신자의 로컬 전이를 수행하고 모든 수신자의 버퍼에 메시지를 추가하는 방식으로 기술된다.

보안 정책은 보안 도메인(프로세스)들을 정점으로 하는 유향 그래프이며, 간선은 정보 흐름을 허용한다. 정책이 “인트랜시티브”하다는 것은 π₁→π₂와 π₂→π₃가 존재해도 π₁→π₃ 직접 흐름은 허용되지 않으며, 정보가 π₂를 경유해야 함을 의미한다. 기존 연구(Rushby, van der Meyden)는 모든 전역 상태에서 어떤 액션이든 실행 가능하다고 가정했지만, 본 논문은 비동기 메시징과 버퍼 기반 모델을 채택해 실제 구현 가능한 시스템을 다룬다.

핵심 기여는 두 가지 검증 조건이다. 첫째, 프로세스가 격리된 환경(separation kernel, 시간·공간 파티셔닝 등)에서 실행되고, 물리적·논리적 통신 경로가 정책에 명시된 메시지 경로와 일치한다면, 시스템은 암묵적인 인트랜시티브 정책을 자동으로 만족한다. 이는 “프로세스 분리 + 경로 제한”이라는 실용적 전제 하에 보안 정책이 강제된다는 강력한 정리이다.

둘째, 정책에 필터 함수 f: History → {true,false}를 부착해 특정 도메인 간 전송을 상황에 따라 제한한다. 필터 함수는 송신 도메인의 로컬 히스토리(수신·전송된 메시지)만을 참조하도록 설계된다. 논문은 “모든 프로세스가 자신의 필터 함수를 위반하지 않음”을 로컬 검증하면, 전체 시스템이 필터가 적용된 인트랜시티브 정책을 만족함을 수학적으로 증명한다. 즉, 필터가 없는 도메인은 검증 대상에서 제외돼 검증 비용을 크게 절감한다.

실증 부분에서는 스마트 마이크로그리드 시나리오를 채택한다. prosumer(생산·소비 겸용 에너지 주체)들이 중앙 제어기와 메시지를 교환하며, 각 prosumer는 다른 prosumer의 실제 전력 소비·생산량을 알 수 없어야 한다. 이를 위해 중앙 제어기에 Boolean 필터를 정의해, 모든 prosumer가 투표(전력 요청) 후에만 집계 결과를 전송하도록 제한한다. CTL 모델 체커를 이용해 각 프로세스(중앙 제어기, prosumer, 외부 네트워크)의 로컬 검증을 수행했으며, 모든 필터 조건이 만족됨을 확인했다.

마지막으로, 논문은 보안 정책 구현을 위한 플랫폼 요구사항을 제시한다. 분리 커널(예: seL4), 시간 파티셔닝 네트워크(TTEthernet), 그리고 D‑MILS 프로젝트에서 개발 중인 혼합‑크리티컬리티 분산 플랫폼이 정책 강제에 적합함을 논한다. 이러한 플랫폼은 프로세스 간 직접 메모리 공유를 차단하고, 메시지 라우팅을 정책에 맞게 제한함으로써, 설계 단계에서 보안 정책을 형식적으로 검증하고 실행 단계에서도 물리적으로 보장한다.

요약하면, 논문은 (1) 분산 시스템의 구조적 특성을 이용해 암묵적인 인트랜시티브 보안 정책을 자동 강제하고, (2) 필터 함수를 로컬 수준에서 검증함으로써 정책 적용 범위를 세밀히 조정하며, (3) 실제 스마트 그리드 사례와 형식 검증 도구를 통해 접근법의 실효성을 입증한다는 점에서 이론과 실무를 연결한 의미 있는 연구이다.