데이터 트리 추론 공격 방지를 위한 무한 비밀 검증 모델

초록

본 논문은 XML·데이터 트리에서 발생할 수 있는 추론 공격을 방어하기 위해 “무한 비밀”(infinite secrecy) 개념을 도입하고, 이를 결정가능하게 만드는 모델을 제시한다. 구체적으로 실용적인 쿼리를 표현할 수 있는 다양한 결정적 트리 트랜스듀서를 정의하고, 공격자의 지식을 데이터 트리 타입으로 형식화한다. 데이터 트리 타입에 대한 타입 추론·역타입 추론을 수행하고, 타입의 무한성 여부를 결정하는 알고리즘을 제공한다.

상세 분석

논문은 먼저 “무한 비밀”이라는 새로운 보안 개념을 정의한다. 이는 공격자가 가지고 있는 모든 허가된 쿼리와 그 결과, 스키마 정보를 이용해도 민감 정보의 후보 집합이 무한히 남아 있어, 구체적인 값을 추론할 수 없다는 의미이다. 기존 연구가 레이블만을 대상으로 한 접근 제어에 머물렀던 반면, 본 연구는 데이터 값 자체가 무한 도메인(정수·실수 등)임을 고려한다. 이를 위해 저자들은 데이터 트리를 3‑튜플(노드 집합, 레이블 함수, 데이터 값 함수)로 정의하고, XML 스키마를 비결정적 유한 트리 자동기(NFTA)로 모델링한다.

핵심 기술은 두 가지 차원의 트리 트랜스듀서 설계에 있다. 첫 번째는 관계형 연산을 모사할 수 있는 ‘프로젝션·선택·자연조인’ 연산을 지원하는 일곱 종류의 결정적 트랜스듀서(탑‑다운·바텀‑업 레이블링, 삭제, 데이터‑재작성, 데이터‑레라벨링, 최소·최대 데이터‑레라벨링 등)이다. 이들 연산은 XML 문서에 대한 복잡한 질의를 트리 변환 형태로 표현함으로써, 타입 추론을 적용할 수 있는 구조를 만든다. 두 번째는 트랜스듀서 조합 규칙이다. 허가된 쿼리는 삭제 트랜스듀서를 마지막에 붙인 일련의 변환으로 구성되며, 비허가 쿼리는 어떠한 변환에서도 ‘♯’ 라벨을 생성하지 못하도록 제한한다. 이러한 제한 없이는 NFTA가 데이터 값을 포함한 무한 집합을 표현하지 못해 역타입 추론이 불가능해진다.

공격자의 지식은 ‘데이터 트리 타입’으로 형식화된다. 원자 타입은 (NFTA, 상태‑라벨 매핑 θ, 조건식 집합 E) 로 구성되며, 변수는 두 종류(S‑변수와 M‑변수)로 구분된다. S‑변수는 동일 변수에 할당된 모든 데이터 값이 동일해야 함을 강제하고, M‑변수는 값이 다를 수 있지만 지정된 관계(예: <, ⊆)를 만족하도록 한다. 이러한 설계는 데이터‑재작성 트랜스듀서와 같은 연산에서 입력 트리의 구체적 데이터 값을 알 수 없을 때도, 변수에 대한 제약만으로 가능한 입력 집합을 정확히 기술하게 해준다.

논문은 타입 추론(입력 트리 집합 → 출력 트리 집합)과 역타입 추론(출력 트리 집합 → 가능한 입력 트리 집합)을 각각 트랜스듀서와 데이터 트리 타입에 대해 정의하고, 이를 알고리즘적으로 구현한다. 특히 역타입 추론은 M‑변수의 다중값 가능성을 고려해, 조건식 만족 여부만으로 무한 후보 집합을 판정한다. 마지막으로, 데이터 트리 타입의 무한성(decidability of infiniteness)을 결정하는 절차를 제시한다. 이는 변수 제약과 NFTA의 구조적 특성을 이용해, 타입이 유한한 경우와 무한한 경우를 구분하는 결정적 절차를 제공한다.

전체적으로 이 논문은 “무한 비밀”을 형식적으로 정의하고, 실용적인 XML 쿼리를 포괄하는 트리 트랜스듀서 모델과, 공격자 지식을 표현하는 데이터 트리 타입을 결합함으로써, 무한 비밀 여부를 자동으로 검증할 수 있는 이론적·알고리즘적 기반을 마련한다. 이는 데이터베이스·XML 보안 분야에서 추론 공격을 사전에 차단하는 새로운 검증 패러다임을 제시한다.