SHA‑2 22단계 충돌: SHA‑256·SHA‑512 최초 실험 결과

본 논문은 2008년 3월에 발표된 “22‑Step Collisions for SHA‑2”라는 제목의 짧은 기술 보고서이며, SHA‑256 및 SHA‑512 해시 함수의 초기 22라운드(0부터 21까지)에서 충돌을 발생시키는 메시지 쌍을 최초로 제시한다는 점을 강조한다. 저자는 인도 통계연구소(Indian Statistical Institute)의 Somitra Kumar Sanadhya와 Palash Sarkar 두 명이며, 논문은 서론, 충돌 메시지 표, 차등 경로 표, 참고문헌 순으로 구성되어 있다. 서론에서는 SHA‑2 계열이 2002년 NIST에 의해 표준화된 최신 해시 함수이며, 기존에 SHA‑1에 대한 충돌 연구가 활발했지만 SHA‑2에 대한 실질적인 충돌은 보고되지 않았다고 언급한다. 이어서 저자들은 “22‑step SHA‑2”에 대한 첫 번째 공격을 수행했으며, 성공 확률을 평균 2⁻⁵, 최악 2⁻⁹로 보고한다. 이 확률은 실험적으로 측정된 값이며, 구체적인 공격 절차는 차후 개정판에서 공개될 예정이라고 명시한다. 표 1에서는 SHA‑256에 대한 충돌 메시지 쌍 W₁과 W₂를 8‑15 워드 구간까지 상세히 나열한다. 두 메시지는 대부분 동일하지만, 8‑15 워드 중 일부 값이 미세하게 변형되어 있다. 예를 들어, 8‑15 워드의 마지막 32비트가 0x00000000에서 0x00000000(동일) 혹은 0x00000001 등으로 바뀌는 차이가 있다. 표 2는 SHA‑512에 대한 충돌 메시지 쌍을 0‑15 워드까지 제시하며, 64비트 워드 형식으로 구성된다. 여기서도 일부 워드가 0x0000000000000000에서 0x0000000000000000(동일) 혹은 0x0000000000000001 등으로 변한다. 표 3은 두 메시지 쌍에 대한 차등 경로를 정리한다. 차등 값 δa_i, δb_i, …, δh_i는 각 라운드 i에서 레지스터 a, b, …, h의 차이를 나타낸다. 0‑7 라운드에서는 모든 차이가 0이며, 8 라운드부터는 특정 레지스터에 0x00000001 혹은 0xffffffff와 같은 비트 패턴이 삽입된다. 이러한 차등은 SHA‑2 압축 함수 내부의 Σ, σ, Ch, Maj 연산을 통해 전파되며, 최종적으로 21 라운드까지 차이가 사라지는 구조를 만든다. 즉, 22 라운드가 끝난 뒤 두 메시지는 동일한 내부 상태와 최종 해시 값을 갖게 된다. 논문은 차등 경로 설계와 메시지 수정 과정에 대한 구체적인 설명을 생략하고, “다음 개정판에서 제공될 예정”이라고만 언급한다. 따라서 현재 독자는 제시된 메시지와 차등 표만으로 충돌을 재현하기 어렵다. 또한, 실험 환경(사용된 하드웨어, 구현 언어, 테스트 횟수)과 성공 확률 산출 방법(평균/최악 케이스 정의)도 상세히 기술되지 않았다. 참고문헌은 SHA‑2 표준(FIPS‑180‑2) 하나만 인용하고 있으며, 관련 선행 연구(예: SHA‑1 23‑step 충돌, SHA‑256 23‑step 충돌 등)에 대한 비교 분석이 부족하다. 논문 전체에 걸쳐 오탈자와 레이아웃 오류가 다수 존재하여, 학술적 가독성이 떨어진다. 이러한 한계에도 불구하고, 22‑step 충돌 자체는 SHA‑2 구조에 대한 새로운 암호학적 인사이트를 제공한다. 특히 SHA‑512까지 확장한 점은 기존 연구와 차별화된다. 차등 경로가 8‑15 라운드 구간에 집중된 것은 해당 라운드에서 비선형 연산과 가산 연산이 비교적 예측 가능하게 동작한다는 점을 시사한다. 향후 전체 64/80 라운드에 대한 충돌을 목표로 할 경우, 현재 제시된 차등을 기반으로 라운드 확장 기법(예: 중간 상태 고정, 메시지 수정 알고리즘) 등을 적용할 수 있다. 결론적으로, 이 논문은 SHA‑2 초기 라운드에 대한 충돌 가능성을 실험적으로 입증했지만, 상세한 방법론과 재현성을 제공하지 않아 학계에서 바로 활용하기는 어렵다. 차후 개정판에서 충돌 생성 알고리즘, 복잡도 분석, 실험 설정 등을 공개한다면, SHA‑2 보안 평가와 향후 공격 설계에 중요한 자료가 될 것으로 기대된다.