Path ORAM 매우 간단한 Oblivious RAM 프로토콜

초록

Path ORAM은 클라이언트 저장 용량을 최소화하면서 O(log N) 대역폭을 달성한 단순한 ORAM 설계이다. 블록 크기가 B ≥ Ω(log² N) 비트일 때, 기존 소규모 클라이언트 저장소를 요구하는 ORAM보다 이론적으로 우수하며, 실제 보안 프로세서에 널리 적용되고 있다.

상세 분석

Path ORAM은 전통적인 ORAM 설계에서 복잡한 트리 구조와 다중 레벨 버퍼를 제거하고, 이진 트리 형태의 서버 스토리지와 클라이언트 측에 O(log N) 개의 블록을 저장하는 작은 메타데이터(루트 경로와 위치 매핑 테이블)만을 사용한다. 핵심 아이디어는 “경로”라는 개념이다. 클라이언트는 접근하고자 하는 블록의 현재 위치를 매핑 테이블에서 조회한 뒤, 해당 블록이 포함된 루트‑리프 경로 전체를 서버에서 읽어온다. 읽어온 경로에 포함된 모든 블록을 클라이언트 메모리(버퍼)로 옮긴 뒤, 요청 블록을 수정하거나 읽고, 이후 블록들을 새로운 무작위 경로에 재배치한다. 재배치 과정에서 각 블록은 가능한 가장 높은 레벨(루트에 가까운)으로 이동시키되, 같은 레벨에 여러 블록이 겹치면 하위 레벨로 밀려난다. 이때 트리의 각 노드가 가질 수 있는 슬롯 수는 Z = O(1) 로 고정되어 있어, 오버플로우가 발생하면 재배치 실패가 일어나지 않도록 충분히 큰 Z와 적절한 확률적 분석을 수행한다.

보안 증명은 두 단계로 나뉜다. 첫 번째는 “경로 재배치”가 블록 위치를 완전한 무작위 분포로 만든다는 점을 보이며, 이는 매 접근마다 새 경로를 무작위로 선택함으로써 가능하다. 두 번째는 “관측 가능한 메모리 접근 패턴”이 어떤 두 연속된 접근에 대해서도 통계적으로 구분될 수 없다는 것을 보여준다. 이를 위해 저자들은 “시뮬레이션 기반 보안 정의”와 “시뮬레이터”를 도입해, 실제 프로토콜이 시뮬레이터와 동일한 분포를 생성함을 증명한다.

대역폭 복잡도는 각 접근당 O(log N)개의 블록을 읽고 쓰는 것으로, 블록 크기가 B ≥ Ω(log² N) 비트이면 전체 통신량은 O(log N)·B 비트가 된다. 이는 기존의 Square‑Root ORAM(O(√N))이나 Hierarchical ORAM(O(log N·log log N))보다 클라이언트 저장소가 O(log N) 블록에 국한될 때 더 나은 asymptotic 성능을 제공한다. 또한 구현 측면에서 Path ORAM은 복잡한 암호 연산 없이 단순한 XOR와 메모리 복사만으로 동작하므로, 하드웨어 기반 보안 프로세서(예: Intel SGX, ARM TrustZone)의 제한된 메모리와 연산 능력에 적합하다. 실제 실험 결과는 64 KB1 MB 수준의 블록에 대해 수십 마이크로초 수준의 지연을 보이며, 기존 ORAM 대비 25배 빠른 처리량을 달성한다.

요약하면, Path ORAM은 “단순성 + 작은 클라이언트 메모리 + 로그‑레벨 대역폭”이라는 세 축을 모두 만족시키는 설계로, 이론적 보안 증명과 실용적 구현 가능성을 동시에 제공한다. 이러한 특성 때문에 이후 수많은 보안 프로세서와 클라우드 스토리지 시스템에 채택되어, ORAM 연구와 실무 적용 사이의 격차를 크게 줄였다.