예외를 고려한 유연한 동적 정보 흐름 제어

초록

본 논문은 현재 라벨과 클리어런스를 함께 관리하는 동적 라벨링 시스템 LIO를 제안한다. LIO는 라벨이 부동(floating)하면서 관찰한 데이터의 라벨을 초과하도록 자동 상승하고, 클리어런스로 접근 권한을 제한한다. 또한 라벨이 붙은 가변 레퍼런스와 예외 처리 메커니즘을 제공하며, Haskell 구현과 형식적 보안 증명을 제시한다.

상세 분석

이 논문은 언어 기반 정보 흐름 제어(Information Flow Control, IFC)의 동적 접근 방식을 새롭게 확장한다. 기존의 정적 라벨링 시스템은 프로그램 전체에 걸쳐 라벨을 고정하거나, 라벨 상승이 제한적이어서 복잡한 실용적 시나리오를 다루기 어려웠다. 저자들은 ‘floating‑label’ 개념을 도입해 현재 라벨(current label)이 실행 중에 관찰된 모든 데이터의 라벨을 자동으로 포함하도록 설계하였다. 이는 라벨이 “부동”한다는 의미로, 프로그램이 민감한 정보를 읽을 때 라벨이 즉시 상승해 이후의 연산이 그 라벨 이하의 데이터만 접근하도록 강제한다.

핵심 메커니즘은 LIO 모나드이다. LIO는 Haskell의 IO 모나드 위에 레이어를 쌓아, 현재 라벨과 현재 클리어런스(current clearance)를 캡슐화한다. 클리어런스는 라벨이 상승할 수 있는 상한을 정의함으로써, 사용자가 의도적으로 높은 라벨의 데이터를 다루는 것을 제한한다. 이는 전통적인 DAC(Discretionary Access Control)와 유사한 역할을 수행한다.

또한 LIO는 라벨이 붙은 가변 레퍼런스(Labeled mutable references)를 제공한다. 레퍼런스는 생성 시 라벨이 지정되며, 읽기·쓰기 연산은 현재 라벨이 레퍼런스 라벨과 비교되어 허용 여부가 판단된다. 쓰기 시에는 현재 라벨이 레퍼런스 라벨보다 낮을 경우 라벨 상승이 발생하고, 클리어런스를 초과하면 연산이 차단된다. 이 설계는 메모리 내에서의 비밀성·무결성 흐름을 정밀하게 제어한다.

예외 처리 측면에서도 독창적인 접근을 제시한다. 예외는 라벨이 붙은 값으로 전파되며, 예외를 잡는 컨텍스트는 현재 라벨을 예외 라벨과 병합한다. 따라서 예외가 민감한 정보를 포함하고 있더라도, 예외를 처리하는 코드가 자동으로 높은 라벨로 상승해 정보 누출을 방지한다. 이는 기존 시스템에서 예외가 라벨 상승을 우회하는 문제를 해결한다.

형식적 의미론은 call‑by‑name λ‑계산에 기반한다. 저자들은 평가 규칙을 라벨과 클리어런스 조건과 함께 정의하고, 비밀성(Confidentiality)과 무결성(Integrity) 두 가지 보안 속성을 정리한다. 비밀성은 “low‑observable” 공격자가 고라벨 데이터를 관찰할 수 없음을, 무결성은 “high‑integrity” 데이터가 low‑integrity 컨텍스트에 의해 변조되지 않음을 보장한다. 증명은 전통적인 비침투성(non‑interference)과 무결성 보존(integrity preservation) 기법을 확장해, 라벨 상승과 클리어런스 제한을 모두 고려한다.

구현 부분에서는 Haskell 라이브러리 형태로 LIO를 제공한다. 모나드 트랜스포머를 이용해 기존 IO와 원활히 통합하고, 라벨링된 데이터 타입(Labeled a)과 레퍼런스 타입(LIORef a)를 정의한다. 실험은 간단한 웹 서버와 데이터베이스 접근 예제를 통해, 라벨 상승과 클리어런스 검사가 런타임 오버헤드가 미미함을 보여준다.

전체적으로 이 논문은 동적 IFC에 클리어런스 기반 DAC를 결합하고, 예외와 가변 상태를 안전하게 다루는 통합 프레임워크를 제시한다. 라벨이 부동하면서도 상한을 두는 설계는 실용적인 시스템 구축에 필요한 유연성과 보안을 동시에 제공한다는 점에서 큰 의의를 가진다.