보안 데이터 조인을 위한 간단하고 빠른 Bifrost 프로토콜

초록

Bifrost는 ECDH‑PSI와 2‑당사자 오블리비어스 셔플을 결합해 중복 없는 조인 결과를 비밀 공유 형태로 출력한다. OPPRF를 사용하지 않아 통신량과 라운드 수가 크게 감소하며, 실험에서 iPrivJoin 대비 2.5‑22배 빠르고 84‑89% 적은 통신을 보였다.

상세 분석

본 논문은 수직으로 분산된 두 데이터베이스 간의 보안 조인 문제를 다루며, 기존 회로 기반 Private Set Intersection(CPSI) 방식이 조인 결과에 다량의 더미 행을 삽입해 하위 SMPC 작업의 효율성을 크게 저해한다는 점을 지적한다. 이를 개선하기 위해 제안된 iPrivJoin은 OPPRF와 다중 라운드의 오블리비어스 셔플을 활용해 중복을 제거하지만, 복잡한 해시 구조와 11라운드 통신으로 실용성이 떨어진다. Bifrost는 이러한 복잡성을 완전히 배제하고, 두 개의 단순한 암호학적 빌딩 블록만으로 동일한 목표를 달성한다. 첫 번째 블록은 Elliptic‑Curve Diffie‑Hellman 기반 PSI(ECDH‑PSI)로, 양측이 식별자 집합의 교집합을 찾고, 교집합 인덱스를 비밀 매핑 π에 의해 섞어 반환한다. 여기서 π는 두 당사자가 각각 보유한 부분 셔플 πₐ, π_b의 합성으로, 어느 한쪽도 원본 인덱스를 알 수 없으며, 오직 교집합 크기만 노출된다. 두 번째 블록은 2‑당사자 오블리비어스 셔플 프로토콜로, 매핑된 인덱스에 따라 각자의 피처 컬럼을 섞어 비밀 공유 형태의 셔플된 피처 ⟨π(Fₐ)⟩, ⟨π(F_b)⟩를 얻는다. 이후 각 당사자는 로컬 연산만으로 매핑된 교집합 인덱스에 해당하는 행을 추출해 최종 조인 테이블의 비밀 공유 ⟨D⟩를 구성한다.

핵심 최적화인 ‘Dual Mapping’은 기존에 두 번 수행되던 오블리비어스 셔플을 한 번으로 줄인다. SMIG 단계에서 두 개의 서로 다른 매핑 π₁=πₐ₁∘π_b₁, π₂=π_b₂∘πₐ₂를 동시에 생성하고, 이후 셔플 단계에서 Pₐ는 π₁, P_b는 π₂를 사용해 각각 피처를 섞는다. 이렇게 하면 첫 번째 로컬 셔플은 각 당사자가 독립적으로 수행하고, 두 번째 단계에서만 공동 셔플이 필요하므로 통신량 O(m_b)만 추가된다.

또한 Bifrost는 해시 기반 정렬 없이도 일반적인 비정렬 상황을 처리한다. 교집합 인덱스 쌍 MIPairs={(π₁(i),π₂(j))|IDₐ_i=ID_b_j}을 직접 출력하고, 이후 동일한 셔플·추출 흐름을 적용한다. 이 설계는 해시 함수 수 h와 보안 파라미터 κ에 비례하는 추가 비용을 완전히 제거한다.

이론적 분석에서는 연산 복잡도 O(n·log p)·(ECDH‑PSI)와 O(m·log p)·(셔플) 수준이며, 라운드 수는 PSI 2라운드와 셔플 1라운드, 총 3라운드에 불과하다. 보안 증명은 시뮬레이션 기반 악성 모델에 대해 식별자와 피처를 완전히 은닉함을 보인다.

실험에서는 100 GB 규모 데이터셋을 대상으로 iPrivJoin과 CPSI 대비 2.54‑22.32배 빠른 실행 시간과 84.15‑88.97% 적은 통신량을 기록했다. 특히 피처 차원이 100에서 6400까지 증가할수록 Bifrost의 상대적 이점이 확대되었다(실행 시간 9.58‑21.46배 향상). 전체 SDA 파이프라인(조인 + 통계·머신러닝)에서도 더미 행이 없는 조인 결과 덕분에 오류율 폭증을 방지하고, 하위 SMPC 작업이 2.80배 가속되며 통신량이 73.15% 절감되는 효과를 보였다.

요약하면 Bifrost는 OPPRF와 복잡한 해시 구조를 배제하고, ECDH‑PSI와 오블리비어스 셔플만으로 중복 없는 비밀 공유 조인 결과를 효율적으로 제공함으로써, 실무에서 요구되는 저라운드·저통신·고성능 보안 조인 솔루션으로 자리매김한다.