동적 정보 흐름 분석에서 허용적 업그레이드 일반화

초록

이 논문은 동적 정보 흐름 제어(동적 IFC)에서 널리 쓰이는 ‘민감도 업그레이드 금지(NSU)’ 검사를 완화하는 허용적 업그레이드(permissive‑upgrade) 기법을 두‑점 보안 격자에서 임의의 격자로 확장한다. 핵심은 “부분 누수(partially‑leaked)” 라벨을 정의하고, 메모리 동등성 정의를 새롭게 설계해 귀납적 비간섭 증명을 가능하게 하는 것이다. 결과적으로 기존 방법보다 더 관용적이면서도 정형적 보안을 유지한다.

상세 분석

논문은 동적 IFC가 프로그램 실행 경로만을 관찰하기 때문에 발생하는 과도한 차단, 즉 false positive 문제를 지적한다. 전통적인 NSU 검사는 제어 의존성에 의해 변수 라벨이 높은 pc(프로그램 카운터)로 상승하면 즉시 프로그램을 중단한다. 이는 “죽은 변수 할당(dead‑variable assignment)” 문제를 해결하지 못하고, 실제로 정보 누수가 없는 경우에도 불필요하게 실행을 차단한다. Austin·Flanagan이 제안한 허용적 업그레이드 기법은 이러한 제한을 완화한다. 변수 라벨이 상승할 때 라벨을 ‘P(부분 누수)’로 표시하고, 이후 해당 변수를 조건문이나 분기에서 사용하려 할 때만 프로그램을 정지시킨다. 이 방식은 두‑점 격자(L ⊏ H)에서만 정의되었으며, 격자 구조가 복잡해지면 ‘부분 누수’ 라벨을 어떻게 정의하고, 메모리 동등성을 어떻게 설계해야 귀납적 비간섭 증명이 성립하는지가 미해결 문제였다.

저자들은 임의의 격자 L에 대해 ‘P’ 라벨을 단순히 최상위 원소로 두는 것이 아니라, 라벨 집합 내에서 “가능한 최소 상승”을 의미하도록 설계한다. 구체적으로, 변수 x에 대한 할당이 pc ⊑ l(x) 를 위반하면, 새로운 라벨 k는 (pc = L)이면 기존 라벨을 유지하고, (pc = H)이면서 기존 라벨이 L이면 ‘P’를 부여한다. 그 외의 경우는 기존 라벨을 그대로 유지한다. 이렇게 하면 ‘P’는 실제로는 “높은 pc에 의해 잠재적으로 영향을 받았지만 현재 실행에서는 아직 사용되지 않은” 상태를 나타낸다.

메모리 동등성 정의는 기존의 A‑equivalence(라벨이 A 이하이면 값이 동일해야 함)를 확장한다. ‘P’ 라벨을 가진 값은 어떤 라벨 A에 대해서도 관찰자에게는 구분되지 않으며, 따라서 두 메모리 상태가 ‘P’ 라벨을 포함하더라도 A‑equivalence을 만족한다. 이는 비간섭 증명에서 귀납 단계가 깨지지 않도록 하는 핵심 설계이다.

논문은 이 새로운 라벨링과 메모리 동등성 규칙을 기반으로, 임의의 격자에 대해 TINI(termination‑insensitive non‑interference)를 만족함을 증명한다. 또한, 기존에 제안된 격자 곱(product) 방식과 비교했을 때, 일부 경우에 더 관용적인 결과를 제공함을 실험적으로 보여준다.

결과적으로, 이 연구는 동적 IFC에서 허용적 업그레이드 기법을 일반 격자에 적용할 수 있는 이론적 토대를 마련하고, 실제 구현 시 보다 넓은 정책 집합을 지원하면서도 보안성을 유지할 수 있음을 입증한다.