불투명성 검증의 구조적 제한과 복잡도

초록

본 논문은 이산 이벤트 시스템에서 불투명성(state‑based opacity) 검증 문제의 복잡성을 조사한다. 특히 사이클이 전혀 없거나 자기‑루프만 존재하는 가장 단순한 자동화 모델에 대해, 현재‑상태 불투명성 및 언어 기반 약한 불투명성 검증이 여전히 NL‑complete, CONP‑complete, 혹은 PSPACE‑complete와 같은 높은 복잡도 클래스로 남아 있음을 보인다.

상세 분석

이 논문은 불투명성 검증이 일반적으로 PSPACE‑complete 수준의 어려움을 갖는다는 사실에 착안해, 모델 구조를 극단적으로 단순화했을 때 복잡도가 낮아지는지를 체계적으로 탐구한다. 두 가지 구조적 제한을 고려한다. 첫 번째는 비순환(acyclic) 자동화로, 모든 경로가 유한하고 결국 종료한다는 점에서 언어 표현력이 매우 제한된다. 두 번째는 자기‑루프만 허용하는 자동화로, 상태를 한 번 떠나면 다시 돌아올 수 없으며, 따라서 시스템은 사실상 dead‑lock‑free이면서도 사이클이 존재하지 않는다.

주요 기술은 다음과 같다.

1. 언어 기반 약한 불투명성(language‑based weak opacity)의 결정 문제를 NFAs로 표현된 비밀 언어 L_S와 비비밀 언어 L_NS에 대해 P(L_S) ∩ P(L_NS) ≠ ∅ 여부를 검사하는 형태로 환원한다. 이때 투영 P는 관측 가능한 이벤트만 남긴다. 저자는 NL‑complete임을 보이기 위해, DAG의 정점 도달성 문제를 이 검증 문제로 다항식 시간·공간 내에 변환한다. 이는 NL‑hardness와 NL‑membership을 동시에 만족함을 의미한다.

2. 현재‑상태 불투명성(current‑state opacity)을 언어 포함 문제 P(L_S) ⊆ P(L_NS) 로 변환한다. 여기서 L_S와 L_NS는 각각 비밀 상태와 비비밀 상태를 마킹한 자동화의 마크드 언어이다. 이 변환은 기존 연구(Wu·Lafortune)의 결과를 활용했으며, 불투명성 검증이 universality 문제와 동등함을 이용해 복잡도 하한을 설정한다.

3. 이벤트 수 제한에 따른 복잡도 차이를 정량화한다.

   • 결정적 자동화에 관측 가능한 이벤트가 3개, 그 중 1개는 비관측이라면 현재‑상태 불투명성 검증은 PSPACE‑complete이다(정리 6).
   • 관측 이벤트가 1개뿐이면 복잡도가 CONP‑complete으로 낮아진다(정리 7).

4. 비순환 모델에 대해 두 가지 경우를 구분한다.

   • 관측 이벤트가 2개 이상이면 현재‑상태 불투명성 검증은 CONP‑complete(정리 8).
   • 관측 이벤트가 1개인 경우는 NL‑complete(정리 9). 이는 비순환 구조가 언어의 가능한 조합을 크게 제한하지만, 여전히 비결정적 선택을 포함할 수 있기 때문이다.

5. 자기‑루프만 허용하는 모델(dead‑lock‑free)에서도 복잡도 차이가 나타난다.

   • 관측 이벤트가 1개인 경우 검증은 NL‑complete(정리 12).
   • 관측 이벤트가 3개이며 그 중 1개가 비관측이면, 비결정적이든 결정적이든 검증은 PSPACE‑complete(정리 13)이다.

이러한 결과는 “가장 단순한 구조”라 할지라도 불투명성 검증이 여전히 높은 복잡도 클래스로 남아 있음을 명확히 보여준다. 특히, 비순환·자기‑루프 제한이 언어 표현력을 크게 억제함에도 불구하고, 관측 이벤트의 수와 가시성 여부에 따라 복잡도가 급격히 변한다는 점은 설계 단계에서 보안‑검증 비용을 예측하는 데 중요한 통찰을 제공한다. 또한, NL‑complete 결과는 병렬화 가능성을 시사하지만, CONP‑ 및 PSPACE‑complete 경우는 근본적인 계산적 어려움을 내포한다는 점에서, 시스템 설계자는 구조적 제한만으로는 불투명성 검증을 쉽게 만들 수 없음을 인식해야 한다.