최악 상황에서도 일정한 속도! 효율적인 ORAM 시뮬레이션

초록

본 논문은 기존 ORAM 방식이 보이는 큰 편차를 해소하고, 모든 요청에 대해 최악‑케이스 접근 오버헤드를 제한된 하위 선형 수준으로 유지하는 두 가지 디아머타이즈드(De‑amortized) 알고리즘을 제시한다. 하나는 고전적인 √n‑기법을, 다른 하나는 로그‑계층 구조를 기반으로 하며, 각각 O(√n·log²n)와 O(log n)의 최악‑케이스 비용을 달성한다.

상세 분석

이 논문은 ORAM(Oblivious RAM) 시뮬레이션에서 흔히 발생하는 “아몰티제이션” 현상을 근본적으로 없애는 방법을 제시한다. 기존의 √n‑기법은 매 √n번째 요청마다 전체 데이터베이스를 새로운 무작위 순열에 따라 재배열하는데, 이 재배열 단계가 O(n·log²n) 접근을 요구해 최악‑케이스 지연이 Ω(n)에 달한다. 저자들은 이 재배열을 √n개의 배치로 나누어 각 요청 직후 O(√n·log²n) 만큼만 수행하도록 설계함으로써, 매 요청마다 일정한 비용을 보장한다. 이때 두 개의 버퍼(B_cur, B_prev)와 두 개의 테이블(T_cur, T_next)을 교차 사용하고, 작업 공간 W를 이용해 점진적으로 새 테이블을 구축한다.

두 번째 기법은 Goodrich‑Mitzenmacher가 제안한 로그‑계층 구조를 기반한다. 여기서는 크기 2^i·q인 쿠쿠 해시 테이블 T_i (i=1…L)와 작은 캐시 C, 스태시 S를 사용한다. 기존 설계는 각 레벨이 가득 찰 때마다 전체 레벨을 재구성하므로, 재구성 비용이 요청에 비례해 누적돼 평균 O(log n) 이지만 최악‑케이스는 여전히 O(n) 수준이다. 논문은 이 재구성을 레벨별로 작은 청크로 나누어 매 요청마다 일정량만 수행하도록 변형한다. 결과적으로 모든 레벨이 균등하게 업데이트되면서도, 각 요청당 O(log n) 접근만 필요하게 된다.

두 알고리즘 모두 암호학적 가정(확률적 암호화)과 무작위 해시 함수를 전제로 하며, 클라이언트 메모리 요구사항을 최소화한다. √n‑기법은 O(1) 워크스페이스만 필요하고, 로그‑계층 기법은 O(n^τ) (τ>0) 정도의 워크스페이스를 요구한다. 보안 측면에서는 각 접근이 무작위 위치 혹은 가짜(dummy) 아이템을 포함하도록 설계돼, 서버가 실제 데이터 접근 패턴을 추론할 확률을 실질적으로 0에 가깝게 만든다.

이러한 디아머타이즈드 설계는 실시간 시스템, 멀티유저 클라우드 환경 등 지연이 중요한 응용에 직접적인 이점을 제공한다. 특히, 최악‑케이스 지연이 O(√n·log²n) 혹은 O(log n)으로 제한되면서도 기존의 평균 성능을 유지한다는 점이 큰 공헌이다.