퍼지 사설 집합 합집합을 위한 OKHER 기반 효율적 프로토콜

초록

본 논문은 퍼지 사설 집합 합집합(FPSU) 문제를 정의하고, 새로운 서브프로토콜인 Oblivious Key Homomorphic Encryption Retrieval(OKHER)를 제안한다. OKHER를 활용해 다섯 가지 그래프‑기반 FPSU 프로토콜을 설계하고, 통신량·라운드 수·연산 복잡도 측면에서 기존 방법들을 크게 능가함을 보인다.

상세 분석

이 논문은 사설 집합 연산 분야에서 아직 다루어지지 않았던 퍼지 사설 집합 합집합(FPSU)이라는 새로운 원시 기능을 체계적으로 정의한다. 기존의 퍼지 사설 집합 교차(FPSI) 연구는 거리 기반 매칭을 이용해 교차 결과만을 얻는 데 초점을 맞췄지만, 합집합을 구하려면 “이미 존재하는 원소와 근접한 원소를 제외하고 새로운 원소만을 반환”해야 하는 추가적인 논리적 제약이 있다. 이를 해결하기 위해 저자들은 두 파티가 각각 d 차원 공간에 위치한 점 집합 X(수신자)와 Y(송신자)를 가지고, 수신자의 각 점을 중심으로 반경 δ인 L∞ 볼을 구성한다. 퍼지 합집합 연산은 X와 Y 사이의 거리 ≤δ인 모든 y∈Y를 X에 포함시키고, 나머지 y만을 결과에 추가하는 형태가 된다.

핵심 기술은 OKHER(Oblivious Key Homomorphic Encryption Retrieval)이다. OKHER는 서버가 대규모 키‑값 쌍(KV) 집합을 보관하고, 클라이언트는 작은 쿼리 집합 Q를 제출한다. 프로토콜 종료 시 서버는 클라이언트의 쿼리를 전혀 알지 못하고, 클라이언트는 각 쿼리 q∈Q에 대해 해당 키가 존재하면 암호화된 값을, 존재하지 않으면 랜덤 암호문을 얻게 된다. 기존 OKVR과 달리 OPRF 사전 단계가 필요 없으며, IND‑CPA 보안의 공개키 암호만으로 충분히 안전성을 확보한다. 이 특성은 퍼지 볼의 겹침 구조를 효율적으로 인코딩하는 데 결정적이다.

볼들의 겹침 관계를 그래프 G_X로 모델링한다. 정점은 볼의 중심, 라벨이 붙은 간선은 특정 차원에서 겹치는 경우를 나타낸다. 저자들은 그래프의 특성에 따라 다섯 가지 프로토콜을 제시한다.

1. NullG‑FPSU: 모든 차원에서 볼이 서로 겹치지 않을 때(즉, G_X가 null graph) 적용. 키‑값 쌍을 각 볼마다 독립적으로 생성해 OKHER를 한 번만 수행하면 된다. 통신량 O(d·δ·n·log(δ·n)) + O(d·m·log(δ·n)).

2. 1DNF‑FPSU: 한 차원(예: 고유 ID)만 비퍼지이고 나머지는 정확히 일치하는 경우. 비퍼지 차원만을 기준으로 그래프를 색칠하고, 색마다 별도 OKHER 라운드를 수행한다. 복잡도는 NullG와 동일하지만 적용 범위가 넓다.

3. LAYER‑FPSU: 일반적인 경우에 적용 가능하도록 G_X를 색칠하고 색 수 χ를 공개한다. 각 색에 대해 독립적인 OKHER 인스턴스를 실행한다. 통신량 O(χ·d·m·log(δ·n))이며, 라운드 수는 χ+2(서버·클라이언트 초기화 포함)이다. χ는 그래프 색칠 알고리즘(DSATUR 등)으로 근사적으로 구한다.

4. EX‑CLS‑FPSU: 그래프가 a‑exclusive, 즉 특정 차원 a에서만 겹침이 존재할 때 사용. 해당 차원의 투영만을 키로 사용하고, 다른 차원은 무시한다. 이때 키 공간이 크게 축소돼 O(d²·m·log(δ²·n)) 수준의 통신량을 달성한다.

5. STRIP‑FPSU: 그래프가 d‑stripable, 즉 각 볼이 적어도 하나의 차원에서 독립적인 경우. 해당 차원을 기준으로 스트립을 만들고, 스트립마다 OKHER를 수행한다. 복잡도는 EX‑CLS와 유사하지만 스트립 수에 따라 라운드 수가 변한다.

표 1에 정리된 바와 같이, 기존 UPSU 기반 접근법은 볼 전체를 (2δ+1)ᵈ·n개의 정점으로 확장해야 하므로 통신량 O(d·δ·n·log(δ·d·n))에 머물지 못한다. 제안된 그래프‑기반 방법은 볼의 겹침 구조를 활용해 차원별 압축을 수행함으로써 통신량을 O(d·δ·n·log(δ·n)) 혹은 O(d²·m·log(δ²·n)) 수준으로 크게 낮춘다. 또한 라운드 수는 최대 4에 불과해 실시간 응용에도 적합하다.

보안 분석에서는 시뮬레이션 기반 정의를 채택한다. OKHER는 IND‑CPA 보안을 전제로 하며, 클라이언트와 서버 모두 악의적인 반쯤 정직(malicious) 모델에서 시뮬레이터를 구성해 입력·출력 분포가 동일함을 증명한다. 특히, 퍼지 볼의 겹침 정보가 그래프 라벨에 암호화되어 전송되므로, 서버는 어떤 차원에서 겹침이 발생했는지 알 수 없으며, 클라이언트는 자신이 요청한 키 외의 값에 대해 전혀 정보를 얻지 못한다.

실험에서는 d=25, n=10⁴10⁵, m=10³10⁴, δ=520인 시나리오를 시뮬레이션했다. NullG‑FPSU는 평균 1.2 GB의 통신량과 2라운드만으로 0.9 s 내에 완료됐으며, LAYER‑FPSU는 χ≈12일 때 2.8 GB, 4라운드, 2.3 s를 기록했다. 기존 UPSU 구현은 동일 조건에서 7 GB, 6라운드, 5.6 s를 소요해 제안된 방법이 실질적인 효율 향상을 입증한다.

결론적으로, 이 논문은 퍼지 사설 집합 합집합이라는 새로운 암호학적 문제를 정의하고, OKHER라는 효율적인 OPRF‑불필요 서브프로토콜을 도입해 그래프‑구조화된 데이터에 최적화된 다중 프로토콜을 제공한다. 통신·라운드·보안 모두에서 기존 최첨단 방법을 앞서는 성과를 보여, 바이오메트릭 매칭, 레코드 링크, 분산 데이터 통합 등 실용적인 분야에 바로 적용 가능할 것으로 기대된다.