공격자 제어와 영향으로 보는 기밀성·무결성 보안

초록

**
본 논문은 정보 흐름 제어에서 ‘공격자 제어(Attacker Control)’와 ‘공격자 영향(Attacker Impact)’이라는 두 개념을 도입해, 디클래시피케이션과 엔도스먼트가 보안에 미치는 영향을 정량적으로 분석한다. 이를 기반으로 체크드 엔도스먼트와 강인한 무결성(robust integrity)의 새로운 보안 조건을 정의하고, 타입 시스템을 통해 진행‑민감·비민감 버전을 모두 안전하게 구현한다.

**

상세 분석

**
논문은 기존 비간섭(non‑interference) 모델이 현실 애플리케이션에 과도하게 제한적이라는 점을 지적하고, 이를 완화하기 위한 다운그레이드 메커니즘인 디클래시피케이션과 엔도스먼트를 재해석한다. 핵심 아이디어는 “공격자가 무엇을 알 수 있는가(Attacker Knowledge)”와 “공격자가 무엇을 바꿀 수 있는가(Attacker Impact)”를 각각 ‘공격자 제어’와 ‘공격자 영향’이라는 두 개의 관계로 형식화하는 것이다.

공격자 제어는 저레벨(공개) 이벤트 흐름을 관찰함으로써 공격자가 비밀 데이터에 대해 얻는 지식이 어떻게 변하는지를 집합론적으로 정의한다. 여기서 저레벨 이벤트는 공개 변수에 대한 할당과 프로그램 종료·발산 이벤트를 포함한다. 지식 집합이 축소될수록 공격자는 더 많은 비밀을 추론하게 되므로, 보안 정책은 지식 집합의 변화를 제한하는 형태로 기술된다.

공격자 영향은 반대로 공격자가 신뢰된(고무결성) 변수에 미치는 영향을 모델링한다. 즉, 공격자가 제어할 수 있는 입력이 신뢰된 변수에 흐를 경우, 그 흐름을 ‘공격자 영향’이라는 관계로 포착한다. 이 두 관계를 결합하면, 디클래시피케이션이 허용되는 상황과 엔도스먼트가 허용되는 상황을 동시에 검증할 수 있다.

특히 논문은 ‘체크드 엔도스먼트(checked endorsement)’를 새롭게 정의한다. 기존의 엔도스먼트는 공격자가 임의의 값을 직접 선택하도록 허용했지만, 체크드 엔도스먼트는 사전 검증(예: 입력이 과거 시점인지 확인) 후에만 고무결성으로 승격시키도록 함으로써 공격자 제어를 제한한다. 이는 ‘강인한 무결성(robust integrity)’ 조건을 보다 정밀하게 표현한다.

또한, 진행‑민감(progress‑sensitive)과 진행‑비민감(progress‑insensitive) 두 버전의 보안 정의를 제시한다. 진행‑민감 버전은 프로그램이 어느 시점에 멈추는가까지 고려해 공격자 지식의 변화를 추적하고, 진행‑비민감 버전은 종료·발산 채널만을 고려한다. 이러한 구분은 서버와 같이 무한히 실행되는 시스템에도 적용 가능하게 만든다.

마지막으로, 논문은 위의 보안 조건들을 만족하도록 설계된 간단한 보안 타입 시스템을 제시한다. 타입 규칙은 변수의 기밀성·무결성 레벨을 명시하고, 디클래시피케이션·엔도스먼트 연산에 대해 적절한 레벨 변환을 강제한다. 타입 검사 결과는 프로그램이 정의한 ‘공격자 제어·영향’ 조건을 만족함을 보장한다.

**