샤논 작업 함수의 정량화와 암호분석 자원 평가

논문은 암호시스템의 보안성을 평가하기 위해 필요한 “연산 자원”을 정량화하는 새로운 이론적 틀을 제시한다. 먼저, 암호분석을 공격자와 환경 사이의 게임으로 모델링하고, 이를 계산가능성 논리(Computability Logic)의 하드 플레이(Deterministic Static) 모델에 매핑한다. 공격자는 여러 보편 튜링 기계(UTM)를 동원해 작업, 평가, 실행 테이프를 관리하며, 환경은 무제한의 연산 능력으로 공격자의 모든 질의에 즉시 응답한다. 이때 공격자는 환경에 정보를 요청하거나 새로운 UTM을 생성하는 등 네 가지 기본 동작(일반 정보 요청, 구조적 요청, 암호화 요청, 챌린지)을 수행한다. 연산 비용을 정량화하기 위해 저자는 C = ∑_{λ=1}^{Λ} I_{UTM}(λ) 라는 비용 함수를 정의한다. 여기서 I_{UTM}(λ)는 λ 단계에서 해당 UTM이 보유한 비트 수(상태표, 전이표, 메모리 등)를 의미한다. 이 함수는 (1) 이론적 추상 기계와 실제 하드웨어 모두에 적용 가능하고, (2) 효율적인 에뮬레이션이 선형 비용으로 가능함을 보장한다. 실제 장치에 적용하기 위해 I_{UTM}을 I_{Dev}로 대체하고, 트랜지스터 수와 클럭 속도를 이용해 장치당 “바이트/초” 수준의 연산 능력을 추정한다. 저자는 CPU, FPGA, GPU 등 다양한 하드웨어의 사양을 표로 제시하고, 각각의 트랜지스터 수를 1바이트(8비트)로 환산해 비용을 계산한다. 구체적인 사례로는 1998년 EFF가 구현한 56비트 DES 전용 크래커를 들었다. 이 장치는 10 000 개의 트랜지스터를 사용해 24개의 검색 유닛을 병렬로 배치했으며, 한 키 검증에 16클럭 사이클이 소요된다. 이를 바탕으로 I_{Dev}≈8·10⁴ 비트, 즉 6.7 × 10² 바이트·키비트·2^{k‑1}의 비용 식을 도출한다. 또한 최신 GPU인 ATI Radeon 5870(2.15 × 10⁹ 트랜지스터, 850 MHz)으로 동일한 DES 검색 엔진을 구현한다면 초당 약 1.8 × 10¹⁸ 바이트의 연산을 수행할 수 있다. 이러한 추정치를 이용해 90비트 수준의 대칭키 암호는 이론적으로 2년 이내에 풀 수 있다는 결론을 제시한다. 하지만 논문은 몇 가지 중요한 가정을 전제로 한다. 첫째, 메모리 대역폭과 전력 소비, 열 방출 등 물리적 제약을 무시한다. 둘째, 비용 함수가 단순히 “비트 수”에만 의존하므로, 실제 알고리즘의 복잡도(예: 비선형 연산, 데이터 의존성)와 직접적인 연관성을 보장하지 않는다. 셋째, 하드 플레이 모델은 환경이 무한히 빠르게 응답한다는 비현실적인 전제를 둔다. 이러한 제한에도 불구하고, 제안된 프레임워크는 암호 설계자가 키 길이와 알고리즘 선택 시 연산 비용을 정량적으로 비교할 수 있는 새로운 도구를 제공한다. 특히 FPGA나 GPU와 같은 특수 목적 하드웨어를 활용한 공격 비용을 이론적으로 추정함으로써, 정책 입안자와 보안 엔지니어가 실용적인 보안 수준을 설정하는 데 도움을 줄 수 있다.