불투명성 검증의 구조적 제한과 복잡도

본 논문은 이산 이벤트 시스템(Discrete‑Event Systems, DES)에서 불투명성(opacity) 검증 문제의 복잡도를 구조적 제한을 가했을 때 어떻게 변하는지를 체계적으로 분석한다. 불투명성은 시스템이 비밀 상태나 비밀 행동을 외부 관찰자(침입자)에게 드러내지 못하도록 하는 정보 흐름 특성으로, 현재‑상태 불투명성(current‑state opacity), 초기‑상태 불투명성(initial‑state opacity) 등 다양한 변형이 존재한다. 기존 연구에서는 대부분의 불투명성 변형이 PSPACE‑complete 혹은 그보다 높은 복잡도를 갖는다고 알려져 있다. 저자는 “가장 단순한” 자동화 모델, 즉 (i) **비순환(acyclic) 자동화**와 (ii) **모든 사이클이 자기‑루프(self‑loop)만 존재하는 자동화**에 대해 불투명성 검증이 실제로 더 쉬워지는지를 탐구한다. **1. 사전 지식 및 정의** 논문은 먼저 유한 자동화(NFA, DFA)의 기본 개념, 관측 가능한 이벤트 집합 Σ_o와 비관측 이벤트 Σ_uo, 그리고 투영 함수 P: Σ* → Σ_o* 를 정의한다. 불투명성은 두 언어 L_S(비밀)와 L_NS(비비밀) 사이의 관측 동등성으로 표현된다. 현재‑상태 불투명성은 모든 비밀 상태에 도달하는 문자열 w에 대해, 동일한 관측 P(w) 를 갖는 비비밀 상태 도달 문자열 w' 가 존재하는지를 요구한다. 언어 기반 약한 불투명성은 L_S ∩ P^{-1}P(L_NS) ≠ ∅ 인지를 검사한다. **2. 언어 기반 약한 불투명성의 복잡도** Lin(2011)의 결과를 바탕으로, 저자는 L_S와 L_NS 를 각각 NFA 로 표현하고, 투영 후 교집합이 비공집합인지 확인하는 과정을 NL 알고리즘으로 수행한다. 구체적으로, 두 NFA 의 곱 자동화를 구성하고, 시작·종료 상태 쌍을 비결정적으로 선택해 도달성을 NL 공간 내에서 검증한다. NL‑hardness는 DAG의 정점 도달성 문제를 이 검증 문제로 다항식 시간·공간 변환함으로써 증명한다. 따라서 언어 기반 약한 불투명성은 NL‑complete이며, 병렬화가 가능한 수준임을 확인한다. **3. 현재‑상태 불투명성과 언어 포함** Lemma 5를 통해 현재‑상태 불투명성을 P(L_S) ⊆ P(L_NS) 라는 언어 포함 문제로 환원한다. 여기서 L_S와 L_NS 는 각각 비밀 상태와 비비밀 상태를 마킹한 자동화의 마크드 언어이다. 이 환원은 기존 Wu·Lafortune(2013)의 결과와 일치한다. 언어 포함 문제는 universality 문제와 동등하게 PSPACE‑hard임을 이용해, 일반적인 DES에서 현재‑상태 불투명성 검증이 최소한 PSPACE‑hard임을 확인한다. **4. 이벤트 수에 따른 복잡도 구분** - **3개의 이벤트(관측 2개, 비관측 1개)**: 정리 6에 의해 현재‑상태 불투명성 검증은 PSPACE‑complete이다. 이는 비결정적 선택과 관측 정보의 조합이 충분히 복잡한 언어를 생성할 수 있음을 의미한다. - **관측 이벤트 1개**: 정리 7에서 복잡도가 CONP‑complete로 낮아진다. 여기서는 관측 문자열이 거의 고정되어 있어, 비밀/비비밀 언어의 차이를 보완적으로 검증하는 것이 주된 난제이다. **5. 비순환(acyclic) 자동화** 비순환 구조는 모든 실행 경로가 유한하고, 따라서 언어가 유한 집합이 된다. - **관측 이벤트 ≥2개**: 정리 8에 따르면 현재‑상태 불투명성 검증은 CONP‑complete이다. 비순환이지만 다중 관측 이벤트가 존재하면, 비밀/비비밀 언어 간의 포함 관계를 판단하기 위해 여전히 비결정적 선택이 필요하다. - **관측 이벤트 1개**: 정리 9는 NL‑complete임을 보인다. 여기서는 관측 문자열이 단일 기호만을 포함하므로, 검증이 그래프 도달성 문제와 동등해진다. **6. 자기‑루프만 허용하는 dead‑lock‑free 자동화** 이 모델은 상태를 떠난 뒤 다시 돌아올 수 없으며, 따라서 시스템이 한 번 지나간 상태는 재방문되지 않는다. - **관측 이벤트 1개**: 정리 12에서 NL‑complete임을 증명한다. 이는 비순환과 동일한 논리로, 관측 문자열이 단일 기호이므로 도달성 검증만으로 충분함을 의미한다. - **관측 이벤트 3개, 비관측 1개**: 정리 13은 PSPACE‑complete임을 보여준다. 비관측 이벤트가 존재함에도 불구하고, 다중 관측 이벤트가 조합될 경우 언어의 표현력이 크게 증가해, 일반적인 DES와 동등한 복잡도를 갖는다. **7. 결과의 의미와 활용** 논문은 구조적 제한만으로 불투명성 검증을 쉽게 만들 수 없으며, 특히 관측 이벤트의 수와 가시성 여부가 복잡도에 결정적인 영향을 미친다는 점을 강조한다. NL‑complete 결과는 병렬 처리와 효율적인 알고리즘 설계가 가능함을 시사하지만, CONP‑ 및 PSPACE‑complete 경우는 근본적인 계산적 난이도를 내포한다. 따라서 시스템 설계자는 보안 요구사항을 만족시키기 위해 모델링 단계에서 복잡도 분석을 반드시 수행해야 한다. 또한, 본 연구는 불투명성 검증을 다른 보안·프라이버시 속성(예: K‑step opacity)으로 확장할 때도 유사한 복잡도 구분이 적용될 수 있음을 암시한다.