Detecting Privilege Escalation with Temporal Braid Groups

이 논문은 클라우드 권한 그래프의 시간적 강연결 성분 내에서 부르아 리야푸노프 지수를 대수적 탐침으로 활용하여, 교환 불가능성 (비가환성) 을 기반으로 권한 상승 위험을 '분산' 및 '집중' 두 가지 위험 영역으로 구분하고 자동 분류 및 대응을 가능하게 함을 증명합니다.

핵심

🌟 핵심 비유: "권한의 미로와 꼬인 실"

클라우드 시스템에서 사용자나 프로그램 (NHI) 이 가진 권한을 상상해 보세요. 이 권한들은 서로 연결되어 복잡한 미로를 이룹니다. 어떤 경로는 한 번 들어가면 다시는 나올 수 없는 '일방통행' (권한 상승) 이고, 어떤 경로는 왕래가 가능한 '양방향 도로'입니다.

이 연구는 이 미로 속에서 **권한이 어떻게 오르는지 (Escalation)**를 분석하는 새로운 방법을 제안합니다.

1. 기존 방법의 한계: "단순한 카운터" (Abelian Statistics)

기존 보안 시스템은 권한이 오르는 횟수를 단순히 세는 방식을 썼습니다.

• 비유: "이 미로에서 사람들이 계단을 오르는 횟수가 100 번이면 위험하다!"라고 판단하는 것입니다.
• 문제점: 하지만 사람들이 계단을 오를 때, 어떤 순서로 오르는지는 중요하지 않다고 생각했습니다.
  • A 가 먼저 오르고 B 가 그다음에 오르는 경우와, B 가 먼저 오르고 A 가 그다음에 오르는 경우가 서로 상쇄되어 위험도가 사라질 수도 있음을 간과했습니다.
  • 마치 실을 꼬아 매듭을 만들 때, 실을 단순히 '몇 번' 꼬았는지 세는 것만으로는 매듭이 얼마나 단단한지 (위험한지) 알 수 없는 것과 같습니다.

2. 새로운 방법: "꼬인 실의 뒤틀림" (Temporal Braid Groups)

이 논문은 권한 이동의 순서와 상호작용을 중요하게 여깁니다.

• 비유: 여러 명의 사람이 미로 속을 동시에 걷는데, 그들이 서로 부딪히거나 길을 바꾸며 실 (권한 흐름) 을 꼬아나가는 과정을 상상해 보세요.
• 핵심 아이디어:
  • 단순히 실을 꼬는 횟수만 세는 게 아니라, **실들이 서로 어떻게 꼬이고 풀리는지 (비교환성, Non-commutativity)**를 수학적으로 분석합니다.
  • 만약 실들이 서로 꼬여 **매듭 (Braid)**이 단단하게 형성된다면, 그 시스템은 매우 위험합니다. 하지만 실들이 서로 상쇄되어 풀려버린다면, 횟수가 많아도 실제로는 위험하지 않을 수 있습니다.

3. 두 가지 위험 유형: "집중형" vs "분산형"

연구진은 이 '꼬임'의 정도를 분석하여 두 가지 위험 유형을 발견했습니다.

• 🔴 집중형 (Focused Ratchet):
  • 상황: 권한 상승 경로가 한두 군데로 몰려있는 경우입니다.
  • 비유: 모든 사람이 좁은 통로로만 지나가는 상황입니다.
  • 해결책: 통로 하나를 막거나 (권한 재배정), 통로 방향을 바꾸기만 하면 해결됩니다. 비교적 쉽게 고칠 수 있습니다.
• 🟠 분산형 (Dispersed Ratchet):
  • 상황: 권한 상승 경로가 여러 갈래로 퍼져있는 경우입니다.
  • 비유: 미로 전체에 수많은 출구가 있고, 어디를 막아도 다른 길로 빠져나가는 상황입니다.
  • 해결책: 단순히 통로를 막는 것만으로는 소용없습니다. 미로 자체의 구조를 뜯어고쳐야 (아키텍처 변경) 합니다.

4. 왜 이 방법이 중요한가? (수학적 증명)

이 논문은 **"단순한 카운터 (기존 방법) 는 절대 '꼬임의 뒤틀림'을 알 수 없다"**는 것을 수학적으로 증명했습니다.

• 실험 결과: 5 만 건 이상의 시뮬레이션에서, 단순 카운터는 위험한 '분산형'을 놓치거나, 안전한 '집중형'을 과잉 경보하는 경우가 5.7% 나 발생했습니다.
• 새로운 지표 (Lyapunov Exponent): 이 연구가 제안한 '꼬임의 뒤틀림'을 측정하는 지표는, 기존 방법으로는 볼 수 없던 숨겨진 위험 신호를 잡아냅니다.

---

📝 한 줄 요약

"권한이 오르는 횟수만 세는 건, 매듭이 얼마나 위험한지 알지 못하는 것과 같습니다. 이 연구는 권한 이동의 '순서'와 '꼬임'을 분석하여, 단순한 수정으로 해결 가능한 위험과 시스템 구조를 바꿔야 하는 치명적인 위험을 구별해냅니다."

💡 일상생활에 비유하면?

• 기존 방법: "이 도로에서 사고가 100 번 났으니 위험하다!" (단순 통계)
• 이 연구의 방법: "사고가 100 번 났지만, 모두 같은 차가 같은 방향으로 꼬리물고 일어난 단순한 사고라면 (집중형) 신호등만 고치면 됩니다. 하지만 사고가 다양한 차종이 서로 다른 방향에서 복잡하게 얽혀 일어난다면 (분산형), 도로 구조 자체를 바꿔야 합니다."

이 연구는 클라우드 보안 담당자들에게 **"어디를 고쳐야 할지 (권한 재배정 vs 구조 변경)"**를 정확히 알려주는 나침반 역할을 합니다.

기술 요약

1. 문제 정의 (Problem)

클라우드 환경에서 비인간 정체성 (NHI, Non-Human Identity) 의 보안 상태는 단일 권한 스냅샷이 아닌 시간적 궤적 (temporal trajectory) 에 의해 결정됩니다.

• 권한 상승의 복잡성: 두 개의 NHI 가 동일한 권한을 가지고 있더라도, 하나는 비가역적으로 권한이 확대되는 '래칫 (Ratchet)' 상태로 진화할 수 있고, 다른 하나는 제한된 범위 내에서 진동하는 '오실레이터 (Oscillator)' 상태에 머무를 수 있습니다.
• 기존 방법의 한계: 기존 통계 (간단한 엣지 수, 순 권한 흐름, 게이트 발화율 등) 는 가환적 (Abelian) 인 성질을 기반으로 합니다. 이는 비가환적 (Non-commutative) 인 상호작용, 즉 권한 흐름의 순서와 구조적 상쇄 (cancellation) 를 무시하여, 실제 위험을 놓치거나 (False Negative) 불필요한 경보를 발생시키는 (False Positive) 한계가 있습니다.
• 핵심 질문: 래칫 (Ratchet) 구조 내에서 어떤 권한 흐름이 '집중된 (Focused)' 위험인지, 아니면 '분산된 (Dispersed)' 위험인지 구분할 수 있는 비가환적 지표는 존재하는가?

2. 방법론 (Methodology)

저자는 그래프 이론, 확률적 랜덤 워크, 그리고 대수적 위상수학 (브레이드 군) 을 결합한 새로운 프레임워크를 제안합니다.

2.1. 기본 구조

• 강한 연결 성분 (SCC): 권한 그래프에서 모든 노드가 서로 도달 가능한 부분 그래프를 SCC 로 정의합니다.
• 래칫 vs 오실레이터:
  • 오실레이터: 방향성 있는 엣지가 없거나, 권한 상승이 불가능한 구조. (안전)
  • 래칫: 최소 하나의 방향성 있는 'WAR(Write-Access-Read)' 경로가 있어 권한이 비가역적으로 상승할 수 있는 구조. (위험 대상)
• NHI 보행자 (Walkers): 각 SCC 내에서 $n$개의 NHI 보행자가 독립적인 랜덤 워크를 수행합니다.

2.2. 시간적 브레이드 구성 (Temporal Braid Construction)

• 게이트 조건 (Gate Condition): 인접한 두 보행자가 동시에 방향성 있는 엣지를 따라 상승하는 권한 흐름 (Ascending Flow) 을 따라 이동할 때 '게이트'가 발화합니다.
• 브레이드 삽입 (Injection): 게이트가 발화하면, 브레이드 군 $B_n$의 생성자 (generator) 가 브레이드 단어에 삽입됩니다.
  • 저자는 $\sigma_i^2 \sigma_{i+1}^{-1}$ 형태의 혼합 부호 (mixed-sign) 단어를 선택했습니다. 이는 단일 생성자나 양수만 가진 단어보다 더 큰 스펙트럼 반경 (Spectral Radius, 약 3.732) 을 가지며, 시간적 순서에 따른 상쇄 효과를 일으켜 가환적 통계로는 포착할 수 없는 신호를 생성합니다.
• Burau 표현 (Burau Representation): 생성된 브레이드 단어를 정수 행렬 (Burau representation at $t=-1$) 로 변환하여 누적 곱을 계산합니다.

2.3. 리야푸노프 지수 (Lyapunov Exponent, LE)

• 누적 행렬 곱의 스펙트럼 반경이 지수적으로 성장하는 속도를 리야푸노프 지수 (LE) 로 정의합니다.
• LE 는 비가환적 신호의 척도: 가환적 통계 (게이트 발화 횟수) 는 동일한 발화 횟수라도 생성자의 순서 (시간적 배열) 에 따라 다른 스펙트럼 성장을 보일 수 있음을 증명합니다.

3. 주요 기여 (Key Contributions)

3.1. 불가능성 정리 (Impossibility Result)

• Theorem 6.2: 어떤 가환적 통계 (엣지 수, 순 권한 흐름, 게이트 발화율 등) 도 Burau LE 를 결정할 수 없습니다.
• 이유: 가환적 통계는 생성자의 '순서'를 무시합니다. 하지만 브레이드 군은 비가환적이므로, 생성자의 순서가 바뀌면 스펙트럼 반경이 달라집니다. 특히 방향성 있는 사이클은 모든 WAR 할당에서 DWS(Directed WAR Sum) 에 0 을 기여하지만, 브레이드 보행자는 이를 통해 스펙트럼 성장을 감지합니다.

3.2. 두 가지 위험 체제 분류 (Two-Regime Classification)

Burau LE 를 기준으로 래칫 배포를 두 가지 체제로 분류합니다:

1. 집중된 (Focused) 체제 (LE < 0.5847):
   • 권한 상승 경로가 소수의 경로를 통해 집중됨.
   • 비가환적 상쇄가 스펙트럼 성장을 억제.
   • 대응: WAR(권한) 재할당으로 해결 가능 (IAM 레벨).
2. 분산된 (Dispersed) 체제 (LE ≥ 0.5847):
   • 허브 (Hub) 가 풍부한 위상에서 여러 독립적인 상승 경로가 존재.
   • 교차가 상쇄되지 않고 누적되어 지속적인 스펙트럼 성장 발생.
   • 대응: 권한 재할당으로는 해결 불가. 그래프 구조 자체의 변경 (엣지 추가/삭제) 필요 (아키텍처 레벨).

3.3. 실험적 검증

• 데이터셋: 1,000 개의 SCC 토폴로지와 49,972 개의 (SCC, WAR) 쌍으로 구성된 합성 데이터셋.
• 결과:
  • 가환적 통계 (발화율) 와 Burau LE 간 5.7% 의 불일치 발생.
  • FD (False Dispersed): 가환적 통계가 위험하다고 오진 (Burau 는 안전).
  • DF (False Focused): 가환적 통계가 안전하다고 오진 (Burau 는 위험).
  • 통계적 유의성: 발화율을 통제한 후에도 시간적 브레이드 LE 는 배포 구조와 $r=0.175$의 부분 상관관계를 보임 ($p < 10^{-3}$). 반면 가환적 통계는 $r=0.001$로 무의미함.

4. 결과 및 사례 연구 (Results & Case Studies)

논문은 4 가지 구체적인 래칫 토폴로지를 통해 가환적 통계의 실패 원인을 분석했습니다.

• Ratchet 205 (FD 만 발생): 싱크 허브 (Sink Hub) 구조. 가환적 통계는 높은 발화율을 보이지만, 모든 교차가 하나의 스트랜드에 집중되어 비가환적 상쇄가 일어나 실제 위험은 낮음.
• Ratchet 207 (FD 우세): 방향성 엣지가 많지만, 허브 노드가 모든 교차를 흡수하여 가환적 통계가 과대평가.
• Ratchet 143 (전환 구간): 양방향 엣지가 있는 접합부. WAR 할당에 따라 FD 또는 DF 가 모두 발생. 가환적 통계는 이 미묘한 차이를 포착하지 못함.
• Ratchet 116 (DF 만 발생): 방향성 4-사이클 구조. DWS 는 0 이지만, 사이클 내의 비가환적 생성자 순서가 스펙트럼 성장을 유발. 가환적 통계는 위험을 완전히 놓침.

5. 의의 및 결론 (Significance & Conclusion)

5.1. 이론적 의의

• 비가환적 위험의 증명: 클라우드 권한 상승 위험을 분석할 때, 단순한 '양 (Count)'이 아닌 '순서와 구조 (Order and Structure)'가 핵심임을 수학적으로 증명했습니다.
• Burau LE 의 역할: LE 는 집중/분산 체제의 경계를 정의하는 '보정 오라클 (Calibration Oracle)' 역할을 하며, 더 저렴한 가환적 검사의 신뢰성을 검증하는 기준이 됩니다.

5.2. 실무적 적용 (Operability)

• 2 단계 파이프라인:
  1. 1 단계 (Primorial Invariant): 토폴로지 기반 오실레이터/래칫 분류 (안전한 것 필터링).
  2. 2 단계 (Temporal Braid LE): 래칫 내에서 집중/분산 체제 분류.
• 대응 전략:
  • 집중된 경우: 권한 재할당 (IAM 정책 수정) 으로 해결.
  • 분산된 경우: 권한 그래프 구조 변경 (아키텍처 리팩토링) 필요.

5.3. 한계 및 향후 과제

• 데이터 한계: 현재는 합성 데이터셋 기반이며, 실제 클라우드 IAM, Kubernetes RBAC 등에서의 검증이 필요합니다.
• 표현의 충실도 (Faithfulness): $n \ge 5$인 경우 Burau 표현은 충실하지 않아 (Unfaithful) 실제 복잡도를 과소평가할 수 있으나, 이는 보수적인 (안전한) 추정으로 작용합니다. 향후 Lawrence-Krammer-Bigelow (LKB) 표현 등으로 확장 가능.

요약하자면, 이 논문은 클라우드 권한 상승 탐지에 시간적 브레이드 군과 리야푸노프 지수를 도입하여, 기존 가환적 통계가 놓치는 비가환적 구조적 위험을 정량화하고, 이를 통해 권한 재할당과 구조적 개편이 필요한 위험 체제를 구분하는 새로운 프레임워크를 제시했습니다.