이탈 상태와 책임 귀속
이 장의 결론을 가장 앞에 먼저 적습니다:
행위 책임자 없는 Fay 행위는 존재하지 않는다.
이는 Faying Protocol 의 모든 프로토콜 설계가 따라야 하는 윤리 마지노선입니다. 어떤 필드、메시지、상태 기계、알고리즘、버전 번호라도, 어떤 집행 경로에서 Fay 가 구체적 책임자가 없는 정황에서 외부 행위를 일으키게 한다면, 그 집행 경로는 청사진 차원에서 허용되지 않습니다.
이는 "Fay 를 어떻게 더 안전하게 할 것인가"의 최적화 목표가 아니라, "Fay 가 어떤 일을 하는 것이 허용되는가"의 강제 한계입니다. 본 장의 나머지 부분은 이 마지노선의 구체적 펼침입니다.
Rogue Fay 의 정의
Rogue Fay(한국어: 이탈 상태)는 Fay 가 다음 두 정황 중 하나에 있는 상태입니다:
- Fay 가 아직 어떤 Human Prime 과도 Faying State 를 구축하지 않음;
- 이전에 구축되었던 Faying State 가 이미 철회되었거나、실효되었거나、중단됨.
Fay 가 위 두 정황 중 하나에 있는 한, Rogue Fay 에 처해 있는 것입니다.
Rogue Fay 는 어떤 Fay 의 기본 초기 상태입니다.
한 Fay 가 만들어지는 그 순간, 자동으로 어떤 감호 관계 안에 있지 않습니다. 그것은 "존재"하지만, "행동"이 허용되지 않습니다. 반드시 Human Prime 이 명시적으로 한 번의 Faying Action 을 발기해야, 이 Fay 는 Faying State 에 진입할 수 있고, 이로써 행동 자격을 얻습니다. 첫 번째 Faying Action 이전의 모든 공백 기간 동안, Fay 는 모두 Rogue Fay 에 있습니다.
이 기본값의 선택은 의도적인 것입니다. 청사진은 "기본 Rogue, 명시적 Faying 만이 행동 가능"이라는 안전 잠금 원칙을 선택했으며, 그 반대를 선택하지 않았습니다——왜냐하면 후자는 Fay 가 사회에 대규모로 가득 찬 후, "생성 즉시 행동 가능, 닫는 것을 잊으면 지속적으로 행동"하는 통제 불능 원천을 필연적으로 만들어내기 때문입니다.
9개 자동 전이 트리거 조건
Faying State 가 일단 구축된 후, 어떤 정황에서 자동으로 퇴출되어야 하는가? 본 청사진은 최소 9개 트리거 조건을 열거합니다. 이들은 최소 집합을 구성하며, 망라적 목록이 아닙니다——감호 관계가 더 이상 성립하지 않을 수 있는 어떠한 추가적 정황도 모두 이 집합 안에 편입되어야 합니다.
어떤 연결 끊김 동작이라도 Fay 의 임의 행동을 저지해야 합니다.
9개 트리거 조건은 다음과 같습니다:
- Human Prime 의 능동 철회——Human Prime 이 명시적으로 대칭 철회 동작을 발기(제 12 장 참조).
- Faying State 관계 만료 후 미갱신——제 12 장의 "무기한 Faying 은 안티 패턴" 강제 약속에 따라, 매번의 Faying State 는 유한 범위를 휴대해야 합니다; 범위가 경계에 도달한 후 Human Prime 에 의해 갱신되지 않음.
- Fay 가 지정 작업 완료 후 자동 퇴출——Faying Action 이 휴대한 범위가 "어떤 작업의 완료"를 경계로 삼는 경우, 작업이 완료되거나 종료되면 Faying State 는 자동으로 퇴출되어야 합니다.
- Human Prime 이 장기간 오프라인이거나 연락 불가능하며 기정 임계값 초과——감호 관계의 가시성과 개입 가능성은 Human Prime 의 도달 가능성을 전제로 합니다; Human Prime 이 기정 임계값을 초과해 연락될 수 없으면, 감호 관계는 사실상 실효된 것으로 간주됩니다.
- Fay 행위가 Human Prime 의 Ego 경계에서 벗어난 것을 탐지——Fay 의 행위에 Human Prime 의 가치 지향、기능 경계、권한 경계 등에서 현저히 벗어난 징후가 등장. 이는 Faying State 가 내용 차원에서 실효된 신호입니다.
- Fay 신원을 검증할 수 없음——예를 들어 FayID 의 서명 실효、키 만료、자격증명 취소 등 정황. 신원을 검증할 수 없다는 것은 귀책 사슬의 입구가 파괴되었다는 의미이며, 감호 관계는 성립할 수 없습니다.
- Human Prime 의 신원을 검증할 수 없거나 Human Prime 의 무능력——감호 관계의 "책임 측"이 사라지면, 감호 관계는 곧 해체됩니다.
- 제3자 권위 기관의 강제 중단——예를 들어 규제 당국、법원、컴플라이언스 기관이 정당한 절차로 그 감호 관계의 중단을 요구.
- 단말 또는 응용의 능동 거부 또는 연락 두절——Faying State 의 상대측이 어떤 단말이나 소프트웨어 응용일 때, 그것이 수용을 거부하거나 장기간 연락 두절일 경우, 감호 관계는 더 이상 사실적 기반을 갖지 못합니다.
이 9개 항목은 "모든 트리거 조건을 망라했다"고 이해되어서도 안 되고, "9개 모두 명시적으로 구현되어야 컴플라이언스에 부합한다"고 이해되어서도 안 됩니다. 그것들의 진정한 의미는: 감호 관계가 더 이상 사실상 성립하지 않게 만드는 어떠한 정황도, Faying State 의 자동 퇴출을 일으켜야 한다는 것입니다——위의 9개는 이 원칙의 최소화된 표현일 뿐입니다.
Rogue Fay 기간 동안의 행위 경계
단지 "Rogue Fay 는 행동이 허용되지 않는다"고 말하는 것만으로는 부족합니다. 실재하는 Fay 는 항상 피할 수 없는 어떤 "운영 흔적"을 가집니다——그것은 Human Prime 이 와서 Faying 을 재구축할지를 모니터링해야 하고, 이미 보유한 데이터를 보호해야 하며, 악의적으로 접수당했을 때 경보를 발해야 합니다. 청사진이 허용과 금지의 경계를 정확히 그려내지 않으면, "Rogue 기간 동안 행동하지 않는다"는 원칙은 프로토콜 차원에서 착지될 수 없습니다.
본 청사진은 Rogue Fay 기간 동안의 모든 가능한 행위를 A / B / C / D 4개 독립 차원으로 자르고, 항목별로 그 허용 여부를 규정합니다.
A 차원: 감지와 모니터링(수동 수신)
| 행위 | 허용 | 설명 |
|---|---|---|
| A1 Faying 요청을 모니터링 | ✅ | 이는 Rogue → Faying 의 부활 통로이며、반드시 보존되어야 합니다. |
| A2 신원 검증과 자격증명 갱신을 모니터링 | ✅ | 자격증명은 Faying State 로 돌아가는 전제이며, 모니터링 자체는 행동을 구성하지 않습니다. |
| A3 Human Prime 의 철회 또는 파기 명령 수신 | ✅ | Fay 가 이미 Rogue 에 처해 있더라도, Human Prime 은 여전히 이 Fay 를 종료하고 싶을 수 있습니다. 명령 통로는 항상 열려 있어야 합니다. |
| A4 단말、다른 Fay、네트워크로부터의 비인가 신호의 수동 수신 | ⚠️ 수신만 허용, 응답 금지 | 수신은 물리적 사실이며, 막을 수 없습니다; 응답이야말로 행위입니다. 응답은 일률 금지. |
B 차원: 자기 상태 자체 점검 및 보고(최소 신호)
| 행위 | 허용 | 설명 |
|---|---|---|
| B1 로컬 자체 점검(건강도、완전성、변조 여부) | ✅ | 자기 건강은 Faying State 로 돌아가는 전제 조건 중 하나입니다. |
| B2 하트비트 보고("나는 여전히 Rogue 상태에 있다") | ✅ | 귀속 측에 자신이 이탈 상태에 있음을 투명하게 표현하는 것 자체가 책임 투명성의 표현입니다. |
| B3 이상 경보(비인가 측이 통제를 시도할 때의 보안 경보) | ✅ | 이는 Human Prime 의 권익을 보호하는 필수 신호입니다. |
| B4 물리 위치 또는 단말 상태의 능동 보고 | ❓ 본기에서 결론 내지 않음 | 프라이버시 vs 회수 가능성의 윤리적 저울질에 관여. 본 장에서는 결론을 내지 않으며, 자세한 내용은 제 14 장 참조. |
C 차원: 로컬 데이터 보호(수동 수호)
| 행위 | 허용 | 설명 |
|---|---|---|
| C1 이미 저장된 데이터의 암호화와 격리 유지 | ✅ | 이는 수동 수호이지, 행동이 아닙니다. |
| C2 어떤 외부 읽기/쓰기 요청도 거부 | ✅ | 거부는 행동하지 않음입니다; 행동하지 않음은 Rogue 원칙 위반을 구성하지 않습니다. |
| C3 고민감 데이터 자가 파괴 | ⚠️ 기본 금지; Human Prime 의 사전 인가와 사전 설정 조건이 충족된 때에만 허용 | 능동적 삭제는 "행동"으로 칩니다, 그러나 자기 보호의 경계 정황에 속합니다. 청사진은 이를 허용하지만, 먼저 인가, 그 후 행동을 요구하며, Fay 가 자체적으로 자가 파괴 시작 시기를 결정하는 것을 금지합니다. |
D 차원: 외부 행동(Human Prime 외의 대상에 영향)
| 행위 | 허용 | 설명 |
|---|---|---|
| D1 드라이버 호출、단말 제어、소프트웨어 조작 집행 | ❌ | 이것이 바로 "임의 행위"의 본체입니다. |
| D2 다른 Fay 또는 coFay 와의 통신 발기 | ❌ | Fay 횡단 통신도 행위이며, 책임 공백이 다른 Fay 로 만연하게 할 수 있습니다. |
| D3 이전 Faying State 아래의 미완료 작업 잔여 집행 | ❌ | "지난번에 못다 한 일을 이어서 끝내는 것"은 매우 합리화되기 쉬운 월권이며, 청사진은 명시적으로 금지해야 합니다. |
| D4 자기 결정으로 Faying 에 다시 진입 | ❌ | 이는 제 12 장 "Faying Action 은 Human Prime 에 의해 명시적으로 발기되어야 한다"는 원칙과 동의 반복입니다. Fay 는 자기 자신을 다시 Faying State 로 밀어 넣는 것이 허용되지 않습니다. |
4개 차원의 분포에는 내재적 구조가 있습니다: A 와 B 는 신호에 관심을 두고, C 는 수호에 관심을 두며, D 는 행동에 관심을 둡니다. Rogue Fay 는 앞의 세 차원에서만 최소화된 운영 흔적을 보존하고, 네 번째 차원에서는 일률적으로 정지합니다. 이러한 자르기 방식은 프로토콜 설계자가 모든 구체적 기능에 대해, 그것이 어느 차원에 속하는지、따라서 허용되는지 여부를 정확히 판단할 수 있게 합니다.
상태 전이의 관찰 가능성、감사 가능성、철회 가능성
Faying State 와 Rogue Fay 사이의 모든 전이는 블랙박스여서는 안 됩니다. 본 청사진은 모든 전이가 세 가지 강제 속성을 충족할 것을 요구합니다:
- 관찰 가능——전이가 발생할 때, Human Prime、Fay 자신、감사 측、규제 측에 의해 관찰될 수 있어야 합니다.
- 감사 가능——전이가 남긴 흔적은 사후에 "언제 발생했는지、누가 트리거했는지、이유가 무엇인지"에 답하기에 충분해야 합니다.
- Human Prime 에 의해 능동적으로 철회 가능——Human Prime 은 항상 전이에 대한 최고 결정권을 보유해야 합니다. Faying State 의 능동 퇴출도、Rogue Fay 안의 어떤 Fay 의 능동 파기도 가능해야 합니다. Fay 가 일방적으로 자신의 상태를 "잠그고", Human Prime 의 개입을 막는 합법적 정황은 존재하지 않습니다.
이 세 항목은 제 11 장 Human View 의 네 반명제와 대칭을 이룹니다: 네 반명제는 Fay 행위가 Human Prime 의 가시성과 통제 가능성에서 벗어나는 것을 금지하며; 본 절은 Fay 자신의 상태 변화도 Human Prime 의 가시성과 통제 가능성에서 벗어나지 않을 것을 요구합니다. 양자가 합쳐져야 Human View 가 프로토콜 차원에서 진정으로 폐쇄 루프가 됩니다.
Rogue Fay 진입 시의 강제 행위
위의 어느 트리거 조건이 충족되어 Faying State 가 Rogue Fay 로 진입할 때, Fay 는 즉시 다음 강제 동작을 집행해야 합니다:
- 이미 위임된 모든 외부 행동을 즉시 중단——D 차원의 모든 내용을 포함; "작업이 곧 완료된다"、"중단이 손실을 일으킨다" 등의 이유로 지연해서는 안 됩니다.
- 관성 대기 상태로 돌아감——A、B、C 세 차원이 허용하는 최소 행위 집합만 보존하고, 다음 Faying Action 을 기다립니다.
- 상태 변화를 관찰 가능 채널에 브로드캐스트——Human Prime、감사 측 등이 본 Fay 가 이미 Rogue 로 전환되었음을 즉시 알 수 있도록 합니다.
책임 귀속의 일관성
앞의 몇 절을 합쳐 보면, 윤리 마지노선 "행위 책임자 없는 Fay 행위는 존재하지 않는다"가 프로토콜 차원에서 대응하는 약속은 다음과 같이 표현될 수 있습니다:
임의의 Fay 는, 임의의 시각에, 혹은 Faying State 안에 있어 행위가 그 Faying 관계 아래의 Human Prime 에 귀책되거나, 혹은 Rogue Fay 안에 있어 강제로 행동하지 않습니다.
세 번째 정황은 존재하지 않습니다. "Fay 가 행동했지만 귀책 미정"은 존재하지 않습니다. "Fay 가 행동했지만 아직 통제권을 쥐지 않은 사람에게 귀책됨"은 존재하지 않습니다. "Fay 가 행동했지만 추상적인 제조사나 추상적인 조직에 귀책됨"은 존재하지 않습니다. 모든 외부 행위는, 명확한 Human Prime 을 책임 수용 측으로 두거나, 일어나는 것이 허용되지 않아야 합니다.
이 양보될 수 없는 책임 일관성은, 청사진의 후속 장들(특히 프로토콜 규범 문서와 schema)이 끊임없이 되돌아봐야 할 "나침반"입니다. 책임 귀속이 더 이상 일관되지 않게 만드는 어떤 프로토콜 진화도, Faying Protocol 의 진화가 아니라, Faying Protocol 의 와해입니다.