프라이버시와 민주주의를 결합한 접근 제어 시스템

초록

**
Privocracy는 고권한 계정에 의존하지 않고, 민감한 명령 실행을 다수의 독립적인 투표자를 통한 비밀 투표 절차로 대체함으로써 접근 제어의 단일 실패점을 제거한다. 영원한 투표 비밀성, 가중치 기반 투표, 위임, 긴급 상황을 위한 빠른 라운드, 선택적 감사 기능을 제공하며, 실험 결과는 60명 규모에서 100초 이내의 응답 시간을 보이며 일반 하드웨어에서도 충분히 동작함을 보여준다.

**

상세 분석

**
본 논문은 전통적인 DAC(Discretionary Access Control) 모델이 고권한 관리자 계정에 지나치게 의존함으로써 발생하는 구조적 취약점을 해결하고자 한다. 이를 위해 저자들은 ‘Privocracy’라는 프레임워크를 제안하는데, 핵심 아이디어는 민감한 자원에 대한 접근 요청이 발생하면 즉시 비밀 투표 절차를 발동시켜 다수결에 의해 실행 여부를 결정한다는 것이다.

보안 모델은 두 개의 공간으로 구분된다. 운영 공간은 ‘honest‑but‑curious’ 모델을 가정하고, 투표 공간은 비잔틴(f < n/3) 모델을 채택한다. 투표 과정은 비동기식 A‑VSS(Asynchronous Verifiable Secret Sharing)와 Pedersen 커밋을 활용해 투표자의 개인 선택을 완전히 은폐하면서도 투표 결과의 무결성을 검증한다. 각 투표자는 0(거부) 또는 1(승인) 값을 비밀 공유하고, ZKP(Zero‑Knowledge Proof)를 통해 자신의 공유값이 올바른 비트임을 증명한다. 이렇게 얻어진 공유값은 동형성을 이용해 가중치가 적용된 합산을 수행하고, 최종적으로 TEE(Trusted Execution Environment) 혹은 안전한 합산 모듈에서 임계값과 비교한다.

특히, 시스템은 다음과 같은 실용적 기능을 제공한다.

1. 가중치 기반 투표 – 각 투표자는 동적으로 설정 가능한 가중치를 부여받아, 조직 내 역할·신뢰도에 따라 영향력을 조정한다.
2. 투표 위임 – 비활성 또는 과부하 상태인 투표자를 위해 다른 신뢰된 사용자에게 투표 권한을 위임할 수 있다( K‑익명성 보장).
3. 긴급 라운드 – 임계값을 낮추거나 라운드 수를 최소화해, 재난 상황 등 빠른 의사결정이 요구될 때 지연을 최소한다.
4. 선택적 감사 – 특정 명령에 대해 투표 로그와 ZKP 검증을 공개함으로써 사후 책임성을 확보한다.

성능 평가에서는 60명의 투표자를 대상으로 100초 이하의 전체 라운드 시간을 기록했으며, 메시지 복잡도는 O(n²), 라운드 수는 상수(1~2) 수준으로 설계되어 일반 서버 클러스터에서도 충분히 확장 가능함을 입증한다. 또한, 영원한 비밀성(everlasting privacy)을 보장하기 위해 정보이론적 비밀 공유와 계산적 바인딩 커밋을 결합했으며, 이는 양자 컴퓨터 등 미래의 강력한 공격자에도 견고함을 유지한다.

한계점으로는 TEE 의존성이 없는 경우 일부 메타데이터(예: 투표 참여 여부)가 노출될 수 있다는 점을 인정하고, 이를 최소화하기 위한 프로토콜 수정 방안을 제시한다. 또한, 투표자 수가 매우 적은 소규모 조직에서는 임계값 설정이 민감해질 수 있어, 정책 설계 단계에서 신중한 파라미터 튜닝이 필요하다.

전반적으로 Privocracy는 접근 제어와 전자 투표 기술을 융합함으로써, 고권한 계정에 대한 단일 실패점을 제거하고, 실시간·신뢰성·프라이버시를 동시에 만족시키는 새로운 보안 패러다임을 제시한다.

**