계층형 접근 제어를 위한 새로운 보안 필터 설계와 동적 보안성 분석

초록

본 논문은 기존 ECC 기반 Jeng‑Wang 방식의 보안 필터가 동적 사용자 추가·삭제 시 취약함을 지적하고, 공개 정수 hᵢ와 사이클릭 l‑시프트 연산 L_{lᵢ}를 도입한 차수 nᵢ+1 다항식 형태의 새로운 보안 필터 fᵢ(x)=(x‑hᵢ)∏{j=1}^{nᵢ}(x‑a{i,j})+L_{lᵢ}(Kᵢ)를 제안한다. 제안 방식은 기존 공격을 무력화하면서도 키 재생성 비용을 최소화한다.

상세 분석

이 논문은 계층형 접근 제어에서 키 관리 효율성을 높이기 위해 보안 필터(s​ecure‑filter) 개념을 활용한 기존 연구들을 체계적으로 정리한다. 2001년 Wu et al.이 제시한 보안 필터는 다항식 fᵢ(x)=∏(x‑g^{s_t}_i)+Kᵢ 형태였으며, Jeng‑Wang은 이를 타원 곡선(ECC) 위의 매핑 ˜A와 결합해 동적 환경에서도 키 재분배를 최소화했다. 그러나 Lin‑Hsu와 Tripathy‑Paul이 각각 제시한 공격은 새 사용자가 삽입될 때 기존 다항식의 근이 그대로 남아 있어, 공격자가 근을 풀어 Kᵢ를 복원할 수 있음을 보여준다. 특히 Lin‑Hsu는 해시와 랜덤 r을 도입해 근을 변형했지만, 새로운 사용자가 추가될 때마다 전체 보안 필터를 다시 계산해야 하는 비효율성을 안고 있다.

논문은 이러한 문제점을 해결하기 위해 두 가지 새로운 요소를 도입한다. 첫째, 각 보안 필터에 고정된 비밀 정수 hᵢ를 곱하는 (x‑hᵢ) 인자를 추가함으로써 기존 근들만으로는 fᵢ(x)−f̃ᵢ(x)=0을 만족시키지 못하게 만든다. 둘째, 키 Kᵢ에 사이클릭 l‑시프트 연산 L_{lᵢ}를 적용해 Kᵢ 자체를 변형한다. L_{lᵢ}는 radix b 기반의 순환 이동으로, 역연산 L_{−lᵢ}가 존재하므로 정당한 사용자는 L_{−lᵢ}(L_{lᵢ}(Kᵢ))=Kᵢ를 복구할 수 있다. 이 두 변형은 다항식 차수를 nᵢ+1 로 늘리지만, 차수 증가가 연산 복잡도에 미치는 영향은 ECC 기반 연산에 비해 무시할 수준이며, 공개 파라미터의 크기도 기존와 동일하게 유지된다.

보안 분석에서는 (x‑hᵢ) 인자가 추가됨에 따라 공격자가 기존 근을 이용해 새로운 필터의 차이를 구하는 것이 불가능함을 수학적으로 증명한다. 또한 L_{lᵢ} 연산이 선형 변환이 아니므로, 차수‑nᵢ 다항식의 계수만을 관찰해도 Kᵢ를 추출할 수 없으며, 역연산을 수행하려면 정확한 lᵢ 값이 필요하므로 CA가 비밀로 유지하는 hᵢ와 lᵢ이 동시에 노출되지 않는 한 보안이 유지된다.

성능 측면에서는 키 생성 단계에서 ECC 키 쌍(Pᵢ, nᵢ)과 보안 필터를 동시에 생성하고, 사용자 간 키 파생은 ˜A(nⱼ Pᵢ) 값을 한 번 계산한 뒤 다항식 평가와 L_{lᵢ} 역연산만 수행하면 된다. 이는 기존 Jeng‑Wang 방식에 비해 추가적인 다항식 곱셈(한 차수 증가)과 사이클릭 시프트 연산 정도의 오버헤드만 발생한다. 실험적 평가가 논문에 포함되지 않았지만, 이론적 복잡도 분석에 따르면 전체 시스템의 스케일러빌리티는 크게 저하되지 않는다.

결론적으로, 제안된 보안 필터는 기존 공격을 완전히 차단하면서 동적 사용자 관리에 필요한 재키 생성 비용을 최소화한다는 점에서 실용적 가치를 가진다. 다만, hᵢ와 lᵢ을 안전하게 배포·보관하는 CA의 신뢰 모델이 전제되어 있으며, 이 두 값이 유출될 경우 보안이 무너질 위험이 존재한다. 향후 연구에서는 hᵢ와 lᵢ을 분산형 비밀 공유 방식으로 보호하거나, 보안 필터 자체를 포스트‑퀀텀 암호와 결합하는 방안을 모색할 필요가 있다.