비잔티움 장애 허용

3. 이름의 기원

레슬리 램포트는 이 문제에 등장하는 장군들의 국적을 설정하는 과정에서, 당시 동구 공산권 국가 중 가장 고립되어 있던 알바니아를 선택하여 초기 논문 초안을 "알바니아 장군 문제"라는 제목으로 작성했다. 그러나 초안을 검토한 잭 골드버그가 알바니아인이 알바니아에만 거주하는 것은 아니라는 점을 지적했고, 이에 램포트는 어느 누구도 불쾌하게 생각하지 않을 비잔티움 제국으로 장군들의 소속을 변경했다.^[52] 비잔티움 합의를 얻는 문제는 로버트 쇼스택이 고안하고 공식화했으며, 그는 이를 "상호 일관성" 문제라고 명명했다.^[15] 이후 램포트는 상호 일관성 문제를 보다 쉽게 이해할 수 있도록, 도시 공격 계획을 세우는 군 장군들의 비유를 고안했으며, 초기 버전에서는 장군들을 알바니아 군의 지휘관으로 묘사했다. 하지만 잭 골드버그의 제안으로 잠재적인 불쾌감을 피하기 위해 "비잔틴"으로 변경되었다.^[7][4]

4. 초기 솔루션

1982년 램포트(Lamport), 쇼스택(Shostak), 피스(Pease)는 여러 솔루션을 제시했다. 이들은 비잔티움 장군 문제를 "사령관과 부관(Commander and Leutenants)" 문제로 축소하여 해결책을 모색했다.^[4] 충직한 부관(Lieutenant)들은 모두 일치된 행동을 해야 하며, 사령관(Commander)이 충직한 경우 사령관의 명령을 따라야 한다.^[4][38]

• 메시지 위조 가능성을 가정한 솔루션: 메시지가 위조될 수 있는 상황에서, 배반한 장군의 수가 전체 장군 수의 1/3 미만일 경우 비잔티움 장애 허용이 가능하다.^[4] n명의 지휘관 중 t명이 배신자인 경우, `n > 3t`이고 통신이 동기적(synchronous; bounded delay)일 때만 솔루션이 존재한다.^[10] 예를 들어, 한 명의 배반자 지휘관 A와 두 부관 B, C가 있을 때, A가 B에게 공격, C에게 후퇴 명령을 내리면 B와 C는 누가 배반자인지 알 수 없다. 이는 부관 B나 C가 메시지를 위조했을 가능성도 있기 때문이다.^[4] BFT는 비잔틴 오류 수 F에 대해 최소 3F+1명의 플레이어, 2F+1개의 독립적인 통신 경로, F+1 라운드의 통신이 필요하다.
• 메시지 위조 불가능성을 가정한 솔루션: 메시지 서명이 위조될 수 없는 경우, 디지털 서명(공개 키 암호화로 구현 가능)을 통해 임의의 배반자 수에 대해 비잔티움 장애 허용을 제공할 수 있다. 그러나 안전 필수 시스템에서는 CRC와 같은 오류 감지 코드가 더 낮은 비용으로 강력한 오류 범위를 제공한다.^[11] 암호화 디지털 서명 방식은 특정 보안 위협이 없는 한 안전 필수 시스템에서 좋은 선택이 아니다.^[12]
• 기타 솔루션: 람포트, 쇼스택, 피스는 모든 지휘관이 서로 소통할 수 없는 경우 등 다양한 경우에 대한 솔루션도 제시했다.^[1]

4. 1. 메시지 위조 가능성을 가정한 솔루션

• 메시지 위조 가능성을 가정한 솔루션: 메시지가 위조될 수 있는 상황에서, 배반한 장군의 수가 전체 장군 수의 1/3 미만일 경우 비잔티움 장애 허용이 가능하다.^[4] n명의 지휘관 중 t명이 배신자인 경우, `n > 3t`이고 통신이 동기적(synchronous; bounded delay)일 때만 솔루션이 존재한다.^[10] 예를 들어, 한 명의 배반자 지휘관 A와 두 부관 B, C가 있을 때, A가 B에게 공격, C에게 후퇴 명령을 내리면 B와 C는 누가 배반자인지 알 수 없다. 이는 부관 B나 C가 메시지를 위조했을 가능성도 있기 때문이다.^[4]
• 메시지 위조 불가능성을 가정한 솔루션: 메시지 서명이 위조될 수 없는 경우, 디지털 서명(공개 키 암호화로 구현 가능)을 통해 임의의 배반자 수에 대해 비잔티움 장애 허용을 제공할 수 있다. 그러나 안전 필수 시스템에서는 CRC와 같은 오류 감지 코드가 더 낮은 비용으로 강력한 오류 범위를 제공한다.^[11] 암호화 디지털 서명 방식은 특정 보안 위협이 없는 한 안전 필수 시스템에서 좋은 선택이 아니다.^[12]
• 기타 솔루션: 람포트, 쇼스택, 피스는 모든 지휘관이 서로 소통할 수 없는 경우 등 다양한 경우에 대한 솔루션도 제시했다.^[1]

4. 2. 메시지 위조 불가능성을 가정한 솔루션

4. 3. 기타 솔루션

5. 비잔틴 장애 (Byzantine Fault)

비잔틴 장애는 서로 다른 관찰자에게 서로 다른 증상을 나타내는 모든 장애를 말하며,^[2] 분산 컴퓨팅에서 알고리즘 실행 중 발생하는 모든 종류의 고장 또는 장애를 의미한다.^[40] 불작위 장애(omission failures)와 작위 장애(commission failures)를 포함한다. 비잔틴 오류는 여러 구성 요소 간에 합의가 필요한 시스템에서 비잔틴 장애로 인한 시스템 서비스 손실을 의미한다.^[3] 비잔틴 장애 허용성(BFT)을 갖추지 않은 시스템은 비잔틴 장애 발생 시 예기치 않은 동작을 할 수 있다.

비잔틴 우화는 요새를 공격하는 여러 장군들을 고려한다. 모든 장군이 공통된 결정에 동의하는 것이 중요한데, 일부 장군들의 미온적인 공격은 참패로 이어질 수 있으며, 이는 조율된 공격이나 조율된 후퇴보다 더 나쁠 수 있기 때문이다. 문제는 최적의 전략을 투표하지 않을 뿐만 아니라 선택적으로 그렇게 할 수 있는 배신자 장군들의 존재로 인해 복잡해진다. 메시지 서명이 없으면 비잔틴 장애 허용은 전체 장군 수가 불충실한(오류가 있는) 장군의 수보다 3배 이상 많아야만 달성할 수 있다. 누락된 메시지에는 "null" 값을 부여할 수 있다. 또한, null 투표가 다수결을 이루는 데 동의한다면, 미리 할당된 기본 전략(예: 후퇴)을 사용할 수 있다.^[4]

이 우화를 컴퓨터 시스템에 전형적으로 매핑하면 컴퓨터가 장군이고, 디지털 통신 시스템 링크가 메신저가 된다. 비잔티움 장애 허용의 목표는 시스템 구성 요소가 서로 합의에 도달하지 못하게 하는 증상을 동반하거나 동반하지 않는 시스템 구성 요소의 장애로부터 방어할 수 있도록 하는 것이다.

오류를 통해서만 장애 전파를 고려할 때, 비잔티움 장애는 장애 모드 중에서 가장 일반적이고 가장 어려운 종류의 장애로 간주된다. 비잔티움 장애는 생성될 수 있는 오류에 대한 제한이 없음을 의미하며, 이는 장애가 발생한 노드가 임의의 데이터를 생성할 수 있음을 의미한다. 따라서 비잔티움 장애는 장애 감지 시스템을 혼란스럽게 할 수 있으며, 이는 장애 허용을 어렵게 만든다. 비유에도 불구하고 비잔티움 장애는 반드시 적대적인 인간의 간섭과 관련된 보안 문제는 아니다. 순전히 물리적 또는 소프트웨어 오류로 인해 발생할 수 있다.

불작위 장애는 충돌, 요청 수신 실패, 응답 반환 실패 등을 가리킨다. 반면, 작위 장애는 요청을 부정한 방식으로 처리하는 것, 국소 상태가 손상되는 것, 요청에 대해 부정확하거나 일관성 없는 응답을 반환하는 것 등을 가리킨다.

비잔틴 장애를 전제로 하는 실제 환경 모델에서는 하드웨어 고장, 네트워크 혼잡 및 단절, 소프트웨어 버그 또는 악의적인 공격으로 인해 컴퓨터나 네트워크가 예상치 못한 동작을 한다. 비잔틴 장애 허용성 알고리즘은 이러한 고장과 장애에 대처하여, 사양에 따라 해결하도록 지정된 문제를 해결할 수 있어야 한다. 그러한 알고리즘은 일반적으로 "비잔틴 장애 상태에 있는 프로세스를 몇 개까지 허용하고 대처할 수 있는가"에 따라 특징지어진다. 이를 회복력(resilience) ''t''로 나타낸다.

비잔틴 장군 문제를 포함한 고전적인 합의 문제의 대부분은, 시스템의 프로세스 수를 ''n''이라고 할 때, ''n'' > 3''t''를 만족하지 않는 경우에는 해가 존재하지 않는다. 다시 말해, 전체 프로세스의 3분의 1 미만이 장애 상태가 아니면, 올바른 동작을 보장할 수 없다.

6. 실용적 비잔티움 장애 허용 (PBFT)

1999년 미구엘 카스트로와 바바라 리스코프는 "실용적인 비잔티움 장애 허용"(PBFT) 알고리즘을 소개하며,^[16] 초당 수천 개의 요청을 처리하면서 지연 시간을 밀리초 단위로 증가시키는 고성능 비잔틴 상태 머신 복제를 제공했다.^[42]

PBFT 이후, 견고성과 성능을 향상시키기 위해 여러 BFT 프로토콜이 도입되었다. 예를 들어, Q/U,^[17] HQ,^[18] Zyzzyva,^[19] 및 ABsTRACTs^[20]는 성능 및 비용 문제를 해결했고, Aardvark^[21] 및 RBFT^[22]와 같은 다른 프로토콜은 견고성 문제를 해결했다. 또한 Adapt^[23]는 기본 조건이 변경됨에 따라 시스템의 견고성과 성능을 향상시키기 위해 적응적인 방식으로 기존 BFT 프로토콜을 전환하여 사용하려고 시도했다. 또한, A2M-PBFT-EA^[24] 및 MinBFT^[25]와 같이 신뢰할 수 있는 구성 요소를 활용하여 복제본 수를 줄이는 BFT 프로토콜이 도입되었다.

7. 응용 사례

비트코인 네트워크는 작업 증명을 통해 블록체인을 병렬적으로 생성하여 비잔틴 장애를 극복하고 시스템 상태에 대한 일관된 전역 뷰에 도달할 수 있게 한다.^[31][32] 비트코인은 P2P 전자 화폐 시스템이며, 일련의 Hashcash풍의 작업 증명을 병렬적으로 생성한다. 이 일련의 작업 증명은 비잔틴 장군 문제를 푸는 열쇠이다.^[49][50] 일부 지분 증명 블록체인에서도 BFT 알고리즘을 사용한다.

NASA DASHlink 웹 페이지에는 다양한 비잔틴 장애 발생 사례 및 해결책이 제시되어 있다.^[26] 비잔틴 장애가 발생한 몇 가지 예시는 두 개의 동등한 저널 논문에 제시되어 있다.^[2][3]

7. 1. 컴퓨팅 분야

7. 2. 군사 분야

7. 3. 블록체인 기술

7. 4. 암호화폐

7. 5. 항공 분야

8. 한국의 관점

참조

_[1] 논문 The Byzantine Generals Problem https://www.microsof[...]
_[2] 서적 The 23rd Digital Avionics Systems Conference (IEEE Cat. No.04CH37576)
_[3] 서적 Computer Safety, Reliability, and Security
_[4] 논문 The Byzantine Generals Problem http://research.micr[...]
_[5] 서적 The 23rd Digital Avionics Systems Conference (IEEE Cat. No.04CH37576)
_[6] 논문 Reaching Agreement in the Presence of Faults 1980-04
_[7] 논문 The Byzantine Generals Problem https://www.microsof[...] SRI International 2016-12-19
_[8] 논문 Basic concepts and taxonomy of dependable and secure computing
_[9] 웹사이트 Dependable Computing and Fault Tolerance http://www.dependabi[...] 2015-03-02
_[10] 논문 An optimal probabilistic protocol for synchronous Byzantine agreement http://people.csail.[...] 2012-06-14
_[11] 문서 Cyclic Redundancy Code and Checksum Algorithms to Ensure Critical Data Integrity null Federal Aviation Administration 2015-03
_[12] 서적 2005 International Conference on Dependable Systems and Networks (DSN'05) https://figshare.com[...]
_[13] 서적 The Evolution of Fault-Tolerant Computing
_[14] Technical Report Multi-Microprocessor Flight Control System AFWAL/FIGL U.S. Air Force Systems Command 1984
_[15] 논문 SIFT: design and analysis of a fault-tolerant computer for aircraft control
_[16] 논문 Practical Byzantine Fault Tolerance and Proactive Recovery Association for Computing Machinery 2002
_[17] 논문 Fault-scalable Byzantine Fault-Tolerant Services Association for Computing Machinery 2005
_[18] conference HQ Replication: A Hybrid Quorum Protocol for Byzantine Fault Tolerance http://portal.acm.or[...] 2006
_[19] 논문 Zyzzyva: Speculative Byzantine Fault Tolerance Association for Computing Machinery 2009-12
_[20] conference The Next 700 BFT Protocols http://infoscience.e[...] EuroSys 2011-10-04
_[21] conference Making Byzantine Fault Tolerant Systems Tolerate Byzantine Faults http://www.usenix.or[...] USENIX 2010-02-17
_[22] conference RBFT: Redundant Byzantine Fault Tolerance http://www.temple.ed[...] International Conference on Distributed Computing Systems 2013-07-08
_[23] 서적 2015 IEEE International Parallel and Distributed Processing Symposium 2015-05-01
_[24] 서적 Proceedings of twenty-first ACM SIGOPS symposium on Operating systems principles ACM 2007-01-01
_[25] 논문 Efficient Byzantine Fault-Tolerance 2013-01-01
_[26] 웹사이트 Real System Failures https://c3.nasa.gov/[...] NASA 2015-03-02
_[27] 논문 The Byzantine hardware fault model
_[28] 서적 Middleware 2013
_[29] patent Method for testing the sensitive input range of Byzantine filters
_[30] 서적 Ninth IEEE International Symposium on High-Assurance Systems Engineering (HASE'05)
_[31] 웹사이트 How Byzantine Generals Problem Relates to You in 2024 https://www.swanbitc[...] 2024-01-27
_[32] 간행물 Formal Verification of Blockchain Byzantine Fault Tolerance https://doi.org/10.1[...] Springer International Publishing 2024-01-27
_[33] 웹사이트 Node Operations https://docs.klever.[...]
_[34] 서적 Industrial Communication Technology Handbook, Second Edition CRC Press 2015-01-09
_[35] 서적 Embedded Software: First International Workshop, EMSOFT 2001, Tahoe City, CA, USA, October 8-10, 2001. Proceedings http://www.csl.sri.c[...] Springer Science & Business Media 2015-03-05
_[36] 서적 20th DASC. 20th Digital Avionics Systems Conference (Cat. No.01CH37219)
_[37] 웹사이트 ELC: SpaceX lessons learned [LWN.net] https://lwn.net/Arti[...] 2016-07-21
_[38] 간행물 The Byzantine Generals Problem http://research.micr[...] 1982-07
_[39] 간행물 Reaching Agreement in the Presence of Faults
_[40] 웹사이트 Amazon S3 Availability Event: July 20, 2008 http://status.aws.am[...] 2008-07-20
_[41] 문서 An optimal probabilistic protocol for synchronous Byzantine agreement http://people.csail.[...]
_[42] 문서 Practical Byzantine Fault Tolerance and Proactive Recovery http://citeseerx.ist[...] Association for Computing Machinery
_[43] 문서 Fault-scalable Byzantine Fault-Tolerant Services http://dl.acm.org/ci[...] Association for Computing Machinery
_[44] 문서 HQ Replication: A Hybrid Quorum Protocol for Byzantine Fault Tolerance http://portal.acm.or[...] USENIX
_[45] 문서 Zyzzyva: Speculative Byzantine Fault Tolerance http://dl.acm.org/ci[...] Association for Computing Machinery
_[46] 문서 The Next 700 BFT Protocols http://infoscience.e[...] EuroSys
_[47] 문서 Making Byzantine Fault Tolerant Systems Tolerate Byzantine Faults http://www.usenix.or[...] USENIX 2009-04-22
_[48] 웹사이트 UpRight https://code.google.[...] Google Code repository for the UpRight replication library
_[49] 웹사이트 What Is Bitcoin? http://www.weusecoin[...] 2011-07-03
_[50] 웹사이트 『「ビットコイン」を正しく理解する』（ダイヤモンドオンライン、2014年2月20日）【第1回】第4章 社会はいかにして構築しうるか？:「ビザンチン将軍問題」に解を与えた http://diamond.jp/ar[...] 2014-02-20
_[51] 간행물 The Byzantine Generals Problem http://doi.acm.org/1[...] Association for Computing Machinery 1982-07
_[52] 웹사이트 The Writings of Leslie Lamport http://research.micr[...]