위치 기반 디클래시피케이션 강제 검증을 위한 도달 가능성 분석

본 논문은 정보 흐름 보안 분야에서 “어디(where)에서” 디클래시피케이션이 허용되는지를 명시적으로 제어하는 새로운 보안 속성을 제시하고, 이를 자동 검증 가능한 형태로 구현한다. 먼저 저자들은 전통적인 비침해(non‑interference) 모델이 고수준(High)에서 저수준(Low)으로의 모든 흐름을 금지함으로써 실용적인 시스템 설계에 제약을 가한다는 점을 지적한다. 이를 보완하기 위해 declassification이라는 다운그레이드 메커니즘을 도입하고, 네 차원(what, where, when, who) 중 where‑dimension에 초점을 맞춘 정책을 설계한다. 정책 모델은 유한 보안 격자 (D, ⊑)와 예외 관계 ⊏ 으로 구성되며, 변수·입출력 채널에 보안 레벨을 매핑한다. declass(e) 명령은 σ(x) ⊏ σ(e)인 경우에만 허용되며, 이는 개발자가 명시적으로 지정한 다운그레이드만을 인정한다는 의미다. 이와 동시에, 프로그램의 실행을 declass‑free 구간(·)과 declass 전이(→d)로 구분한다. where‑security 정의는 모든 보안 레벨 ℓ에 대해, 동일 ℓ‑레벨 입력·초기 메모리 상태에서 시작한 두 실행이 동일한 수의 declass 전이를 거친 뒤, 각 전이 전후의 상태가 ℓ‑indistinguishable(≃ℓ)하고, 특히 declass된 표현식 e와 e′이 동일한 값을 가질 경우에만 최종 상태가 ℓ‑indistinguishable하도록 요구한다. 이 정의는 비정상적인 정보 누출이 declass 전이 자체가 아니라 다른 연산에 의해 발생하는 경우를 효과적으로 차단한다. 보안 속성 검증을 위해 저자들은 Symbolic Pushdown System(SPDS) 기반의 자동 검증 프레임워크를 구축한다. 푸시다운 시스템은 스택을 이용해 절차적 프로그램 흐름을 자연스럽게 모델링하며, 전역·지역 변수와 스택 심볼을 BDD(Binary Decision Diagram) 형태로 압축한다. 논문은 기존 자기합성(self‑composition) 방식이 메모리와 상태 공간을 두 배로 늘려 검증 비용을 급증시킨다는 문제점을 지적하고, 이를 해결하기 위해 “스토어‑매치 패턴”을 도입한다. 이 패턴은 두 복제 프로그램 사이에 출력 채널을 별도로 복제하지 않고, 동일 채널에 대해 값 일치를 검증하도록 함으로써 메모리 복제 비용을 크게 절감한다. 또한, declass 전이 전후의 스토어 상태를 직접 비교해 등가성을 검증함으로써, 전통적인 자기합성에서 발생하는 상태 폭발(state explosion) 문제를 완화한다. 구현은 Moped 도구를 백엔드로 사용한다. 입력·출력 채널은 보안 레벨 ℓ에 따라 전역 선형 리스트로 모델링되며, 각 채널에 대한 읽기·쓰기 연산은 IRH/IRL, ORH/ORL, DR 등으로 구분된 푸시다운 규칙으로 변환된다. 특히, declass 명령은 DR(Declass‑Read)와 DM(Declass‑Match) 규칙을 통해 스택 심볼과 전역 변수 사이의 매핑을 수행한다. 변환 과정에서 모든 채널 인덱스(p, q)는 초기화되고, 최종 도달 가능성 분석은 “불법 흐름 상태(Illegal‑Flow)”에 대한 도달 여부를 확인한다. 평가에서는 여러 실험 프로그램(루프, 조건문, 중첩 함수 호출, 복합 입출력 흐름 등)을 대상으로, 제안된 접근법과 기존 타입 기반 검증(예: Jif, FlowCam 등)을 비교하였다. 결과는 다음과 같다. 첫째, 제안된 방법은 타입 기반 검증이 거부하는 많은 프로그램을 허용하면서도 보안 속성을 만족한다. 둘째, 스토어‑매치 패턴 덕분에 상태 공간이 평균 30%~50% 감소했으며, 검증 시간도 동일 규모의 타입 기반 도구보다 경쟁력 있게 유지되었다. 셋째, 복잡한 I/O 채널을 포함한 경우에도 도달 가능성 분석이 정확히 불법 흐름을 탐지함을 확인하였다. 논문의 기여는 크게 세 부분으로 정리된다. (1) where‑dimension에 대한 새로운 보안 속성 정의와 그 정당성(semantic consistency, conservativity, monotonicity) 증명, (2) 푸시다운 시스템 기반의 자동화된 도달 가능성 검증 프레임워크 설계, (3) 스토어‑매치 패턴을 통한 상태공간 최적화와 실험적 정밀도·효율성 입증이다. 이러한 기여는 형식적 보안 검증이 실무에 적용될 때 발생하는 정책 표현의 유연성 부족과 검증 비용 문제를 동시에 해결하려는 시도로, 향후 다양한 declassification 정책(when, who 차원)과 병행 검증 기법에 대한 확장 가능성을 시사한다.