AES와 유사 암호의 내재적 약점 탐구

초록

본 논문은 AES와 유사한 블록 암호의 대수적 구조를 이용해 암호를 임베딩하는 방법을 제시하고, 특정 임베딩 하에서 비선형성이 사라지는 현상을 보인다. 몇 가지 사례를 통해 이 현상의 가능성을 확인하고, 접근법의 한계와 실제 공격 적용 가능성을 논의한다.

상세 분석

AES와 같은 현대 블록 암호는 비선형 변환(S‑box)과 선형 변환(ShiftRows, MixColumns)으로 구성되어 전체 라운드가 강력한 혼합성을 제공한다는 전제 하에 설계된다. 그러나 이러한 설계는 대수적 관점에서 보면, 암호 전체를 다항식 시스템으로 표현할 수 있다는 점을 내포한다. 논문은 이 점을 활용해 “암호 임베딩”이라는 개념을 도입한다. 임베딩이란, 원래의 상태 공간을 더 높은 차원의 벡터 공간으로 사상한 뒤, 그 공간에서 암호 연산을 재정의하는 과정을 의미한다. 핵심 아이디어는 특정 임베딩이 S‑box와 같은 비선형 연산을 선형 연산으로 변환시킬 수 있다는 점이다.

저자들은 먼저 AES의 라운드 함수를 GF(2^8) 위의 다항식으로 표현하고, 이를 8차원 벡터 공간에서 128차원(또는 그 이상) 공간으로 확장한다. 그 후, 선형 변환 행렬과 비선형 S‑box를 각각 새로운 기저에 대해 재구성한다. 흥미롭게도, 특정 기저 선택에 따라 S‑box의 비선형 다항식이 전혀 다른 형태의 선형 사상으로 사라지는 현상이 관찰된다. 이는 “비선형성 상실”이라고 부를 수 있으며, 이 경우 암호 전체가 선형 시스템으로 전락하게 된다.

논문은 이러한 현상이 이론적으로는 가능하지만, 실제 구현에서는 몇 가지 실질적 제약이 존재함을 강조한다. 첫째, 임베딩을 위해 필요한 차원 확대가 급격히 커져 메모리와 연산량이 비현실적으로 증가한다. 둘째, 임베딩 과정 자체가 암호의 키 스케줄과 강하게 결합되므로, 임베딩을 적용하기 위해서는 키에 대한 추가 정보가 필요하거나, 키 자체를 변형해야 한다는 점이다. 셋째, 선형화가 일어나더라도, 암호의 전체 라운드 수와 라운드 키의 복합적인 상호작용 때문에 실제 공격으로 연결되기까지는 아직 큰 격차가 있다.

또한, 저자들은 AES 외에도 PRESENT, SERPENT와 같은 다른 SP‑네트워크 기반 암호에 동일한 임베딩 기법을 적용해 보았다. 결과는 암호마다 비선형성 상실이 발생하는 임베딩 조건이 다르며, 특히 S‑box 설계가 대수적으로 단순한 경우에 더 쉽게 선형화가 가능함을 보여준다. 이러한 관찰은 암호 설계 단계에서 대수적 복잡성을 고려해야 함을 시사한다.

마지막으로, 논문은 현재 제시된 임베딩이 실제 공격에 바로 활용되기엔 한계가 크지만, 암호의 대수적 구조가 잠재적인 “내재적 약점”을 품고 있음을 경고한다. 향후 연구에서는 임베딩 차원을 최소화하면서도 비선형성을 효과적으로 소거할 수 있는 새로운 기저 선택 방법이나, 키 스케줄과 연계된 임베딩 전략을 모색할 필요가 있다.