조합 생성기 공격의 효율적 방법

초록

본 논문은 조합 생성기(Combination Generator)의 보안성을 위협하는 새로운 공격 기법을 제시한다. 필터링 함수가 좋은 자기상관성을 가질 경우, 즉 일반적인 설계 목표와 일치하는 경우에만 이 공격이 적용 가능하다. 저자는 벡터 상관, 차수 4 배수, 그리고 Walsh 변환이라는 고전적인 도구들을 조합해 복잡도 면에서 현존하는 가장 효율적인 공격 중 하나를 구현한다. 실험 결과, 제시된 방법은 기존 공격보다 현저히 낮은 연산량으로 비밀 시드와 내부 상태를 복구할 수 있음을 보여준다.

상세 분석

조합 생성기는 다수의 LFSR(Linear Feedback Shift Register)과 비선형 필터링 함수를 결합해 스트림 암호를 구성하는 전형적인 구조이다. 이 구조는 각 LFSR가 독립적으로 최대 길이 시퀀스를 생성하고, 필터링 함수가 이들 출력을 적절히 혼합함으로써 예측 불가능성을 확보한다는 가정에 기반한다. 그러나 필터링 함수가 높은 자기상관성을 가질 경우, 즉 입력 비트열과 출력 비트열 사이에 일정한 상관 패턴이 존재하면, 이러한 가정은 깨진다. 논문은 바로 이 점을 이용한다.

첫 번째 단계는 벡터 상관(vectorial correlation) 분석이다. 저자는 LFSR들의 출력 벡터와 필터링 함수의 출력 사이에 존재하는 선형 관계를 수식적으로 도출하고, 이를 통해 특정 입력 조합이 출력에 미치는 영향을 정량화한다. 특히, 차수 4 배수(weight‑4 multiples)라는 개념을 도입해, 4개의 비트만이 1인 입력 벡터가 출력에 미치는 영향을 집중적으로 조사한다. 이러한 배수는 Walsh 변환을 적용했을 때 가장 큰 스펙트럼 값을 나타내며, 공격자는 이를 이용해 후보 키 공간을 급격히 축소할 수 있다.

Walsh 변환은 Boolean 함수의 스펙트럼을 분석하는 강력한 도구로, 필터링 함수의 자기상관성을 직접 측정한다. 논문은 Walsh 계수를 계산해 필터링 함수가 어느 정도의 비선형성을 유지하면서도 높은 자기상관성을 보이는지를 정량화한다. 이 과정에서 얻어진 계수는 차수 4 배수와 결합되어, 특정 입력 패턴이 출력에 강하게 기여하는 경우를 식별한다.

이후 공격자는 식별된 입력 패턴을 이용해 LFSR들의 초기 상태(시드)를 추정한다. 구체적으로, 알려진 출력 스트림에 대해 가능한 LFSR 상태 조합을 시험하면서, 벡터 상관과 Walsh 스펙트럼이 일치하는 경우만을 남긴다. 이렇게 하면 전체 상태 공간이 2^n에서 2^{n‑k} 수준으로 급격히 감소한다(여기서 k는 필터링 함수의 차수와 상관성에 의해 결정되는 감소량). 최종적으로 남은 후보 중 하나를 검증하면, 전체 시드와 내부 상태를 복구할 수 있다.

복잡도 분석에 따르면, 이 공격은 기존의 대수적 공격이나 차분 공격에 비해 O(2^{n‑k}) 수준의 연산만으로 성공한다. 특히, 필터링 함수가 설계 시 자기상관성을 최소화하지 않은 경우, k는 상당히 큰 값이 될 수 있어 실용적인 공격이 가능하다. 논문은 실험을 통해 128비트 LFSR 3개와 5‑입력 비선형 필터링 함수를 사용한 조합 생성기에서 평균 2^{45} 연산만으로 시드를 복구했음을 보고한다. 이는 현재 상용 스트림 암호 설계에 큰 경고 신호가 된다.

요약하면, 이 논문은 고전적인 수학적 도구들을 체계적으로 결합해 조합 생성기의 숨은 약점을 드러냈으며, 설계자는 필터링 함수의 자기상관성을 엄격히 검증하고, 가능한 경우 다중 LFSR 구조 대신 보다 견고한 설계 패턴을 채택해야 함을 시사한다.