TEE 기반 비밀 보장 인터 조직 프로세스 마이닝

초록

CONFINE은 신뢰 실행 환경(TEE)을 활용해 여러 조직이 보유한 이벤트 로그를 암호화된 상태로 안전하게 합병·분석함으로써, 데이터 유출 위험 없이 인터 조직 프로세스 마이닝을 수행하는 프레임워크이다. 로그를 작은 배치로 분할 전송하고, 네 단계 프로토콜(메타데이터 교환, 엔터티 인증, 암호화된 세그먼트 전송·병합, 하드웨어 격리된 마이닝)으로 비밀성을 유지한다. 형식 검증과 메모리 사용량 분석을 통해 로그 크기와 조직 수에 대한 확장성을 입증한다.

상세 분석

CONFINE은 인터 조직 프로세스 마이닝의 핵심 과제인 데이터 비밀성 문제를 TEE 기반의 하드웨어 격리 메커니즘으로 해결한다. 먼저 각 조직은 자체 이벤트 로그를 암호화하고, 로그를 일정 크기의 세그먼트로 나누어 TEE 내부로 전송한다. 이때 사용되는 암호화 키는 원격 인증 과정을 통해 TEE가 생성한 증명서와 연계되어, 키가 노출될 위험을 최소화한다. 프로토콜은 네 단계로 구성된다. ① 초기 메타데이터 교환 단계에서는 로그 스키마와 세그먼트 크기, 해시 값 등을 공유해 이후 단계의 일관성을 확보한다. ② 엔터티 인증 단계에서는 각 조직이 제공하는 TEE 인스턴스가 원격 attestation을 통해 검증되며, 이는 TEE 코어가 변조되지 않았음을 보장한다. ③ 보호된 전송·병합 단계에서는 암호화된 세그먼트가 순차적으로 TEE에 적재되고, 내부에서 복호화 없이 메타데이터 기반의 병합 연산이 수행된다. 여기서 중요한 점은 메모리 제한을 고려한 ‘세그먼트 기반 스트리밍’ 기법으로, 전체 로그를 한 번에 로드하지 않음으로써 O(log N) 메모리 사용을 달성한다. ④ 마지막 단계에서는 합병된 로그에 대해 Heuristics Miner, Declare‑Conformance 등 기존 프로세스 마이닝 알고리즘을 그대로 적용한다. 이때 알고리즘은 TEE 내부에서 실행되므로, 원본 데이터는 절대 외부에 노출되지 않는다. 형식 검증에서는 프로토콜의 사전·사후 조건을 모델링하고, 상태 전이 시스템을 이용해 안전성(데이터 무결성)과 완전성(모든 세그먼트가 누락 없이 병합) 을 증명한다. 보안 분석에서는 기밀성, 무결성, 코드 무결성 세 축을 TEE의 보증 범위와 매핑시켜, 외부 공격자·악의적 내부자 모두에 대한 위협 모델을 제시한다. 실험 결과는 로그 크기가 10⁶ 이벤트까지도 메모리 사용량이 로그 크기에 대해 로그형 증가를 보이며, 조직 수가 증가할 경우 선형적으로 메모리가 증가한다는 점을 확인한다. 이는 현재 TEE 메모리 한계(수백 MB) 내에서 실용적인 규모의 인터 조직 마이닝이 가능함을 의미한다. 또한, 세그먼트 전송 오버헤드가 전체 실행 시간에 미치는 영향을 최소화하기 위해 비동기 파이프라인과 배치 크기 최적화를 적용한다. 전반적으로 CONFINE은 기존의 데이터 변형·가림 기법이 초래하는 정확도 손실을 회피하면서, 실시간에 가까운 마이닝 결과를 제공할 수 있는 실용적인 솔루션으로 평가된다.