まあ、その手のCGIを入れた場合の処理は、単純に実装するとこうなりますが、軽いんですかね？

1. クッキーよりセッションキーを取得
2. セッションキーよりユーザーIDを取得
3. ユーザーIDに基づき、可視性を判断
3-1. 画像のURL (path) より表示されている場所を特定
3-2. 表示されている場所がコミュニティの場合
3-2-1. if (コミュニティが公開されている) 表示
3-2-2. else if (コミュニティにユーザーIDが属している) 表示
3-2-3. else 不表示
3-3. 表示されている場所がユーザースペースの場合
3-3-1. if (ユーザースペースは画像を公開する設定) 表示
3-3-2. ユーザーIDとユーザースペース所有者の関係の特定
3-3-3. if (ユーザーIDとユーザースペース所有者が友人の場合) 表示
3-3-4. ユーザーIDとユーザースペース所有者が友人の友人の場合
3-3-4-1. if (ユーザースペース所有者は友人の友人に表示を許可している) 表示
3-3-4-2. else 非表示

...というのを日記やプロフィール表示の場合は毎回やりますが、それを画像にまで広げるとさすがに負荷が高くなり過ぎないですかね？
URLの類推可能性はそんなに高くなく、画像が格納される場所のURL空間もかなり広いので脆弱ではあってもそんなに大きな問題にはならないのではないかと思うのですよね。
ここを保護してもダウンロードしてバラまかれたら意味ないわけですし。

もちろん、mixi運営部にもわかるようなブルートフォース攻撃をかければmixi内の全ての画像はゲットできますが、それには404 not foundを連続して出しているIPアドレスにペナルティを課す等の別の対策で十分何とかなるのではないかと思います。