성공적인 퍼뮤테이션 패리티 머신 기반 신경 암호 공격

초록

본 논문은 퍼뮤테이션 패리티 머신(PPM) 기반 키 교환 프로토콜에 대한 확률적 공격 알고리즘을 제시한다. 공격자는 내부 라운드에서 몬테카를로 샘플링을 이용해 가능한 가중치 공간을 탐색하고, 외부 라운드 간에 추정된 확률 분포를 분석적으로 전달한다. 실험 결과, 공격자는 정당 파트너(A, B)가 동기화에 성공하기보다 더 빠르게 비밀 상태를 복원할 수 있음을 보였다.

상세 분석

이 연구는 기존의 신경 암호화에서 사용되던 트리 패리티 머신(TPM) 대비 보안성이 높다고 알려진 퍼뮤테이션 패리티 머신(PPM)의 취약점을 체계적으로 분석한다. PPM은 두 층으로 구성되며, 첫 번째 층에 K개의 은닉 유닛이 각각 N개의 이진 입력을 받는다. 각 은닉 유닛의 가중치는 상태 벡터 s에서 선택된 G≫KN개의 비트 중 일부를 매핑한 π 행렬을 통해 결정된다. 은닉 유닛은 입력과 가중치의 XOR 결과인 로컬 필드 h_j의 1 비트 개수가 N/2를 초과하면 활성화되고, 전체 출력 τ는 K개의 은닉 상태의 패리티로 정의된다.

동기화 과정은 공개된 입력 X와 매핑 행렬 π를 이용해 A와 B가 각각 τ_A, τ_B를 계산하고, τ_A=τ_B인 경우 첫 번째 은닉 유닛의 상태 σ_1을 버퍼에 저장한다. 버퍼가 G에 도달하면 외부 라운드가 종료되고, 버퍼 내용이 새로운 상태 벡터가 된다. 기존 연구는 A와 B의 동기화 과정을 모방하는 공격(단일 머신 혹은 앙상블)으로 성공률이 10⁻⁵ 이하에 머물렀다.

본 논문은 완전히 다른 전략을 채택한다. 공격자 E는 자신의 PPM과 함께 확률적 상태 벡터 p_E=(p₁,…,p_G)ᵀ를 유지한다. p_i는 현재까지 관측된 공개 데이터 D(입력, π, τ_A 등)를 기반으로 s_A,i가 0일 확률의 추정값이다. 초기에는 모든 p_i를 ½로 설정해 중립 가설을 가정한다. 각 내부 라운드에서 E는 현재 p_E를 사전 확률로 삼아, M개의 후보 상태 s_E를 독립적으로 베르누이 분포(p_i)에서 샘플링한다. 후보가 현재 라운드의 입력과 매핑에 의해 τ_E=τ_A를 만족하면 유효 후보로 저장하고, 그렇지 않으면 폐기한다. M개의 유효 후보가 확보되면, 각 비트 i에 대해 0이 나타난 비율을 새로운 사후 확률로 업데이트한다.

이 과정은 실제 가중치 공간이 2^{NK}에 달하는 경우에도 M≈10³ 정도의 샘플만으로 충분히 정보를 축적한다는 점에서 효율적이다. 특히 G≫KN인 경우, π가 선택한 가중치 비트만 샘플링하면 되므로 연산량이 크게 감소한다. 샘플링이 충분히 이루어지면 p_i는 0 또는 1에 수렴하고, 최종적으로 p_i>½이면 추정 상태 s_E*를 0, ≤½이면 1로 결정한다. 이 추정이 실제 s_A와 일치하면 공격은 성공한다.

외부 라운드 간 정보 전달을 위해, 공격자는 τ_A=τ_B인 라운드에서 첫 번째 은닉 유닛 σ_1의 상태 확률을 분석한다. 로컬 필드 h_j의 1 비트 개수는 각 입력 비트와 해당 가중치 비트가 일치할 확률 q_j에 따라 이항 분포를 따른다. q_j는 현재 p_E와 입력 X, 매핑 π를 이용해 평균 일치 확률로 계산된다. 이후 σ_j=0일 확률을 이항 누적분포로 구하고, 이를 p_E⁺에 저장한다. 이렇게 하면 외부 라운드가 끝난 뒤 p_E⁺가 다음 라운드의 사전 확률이 되어, 이전 라운드에서 얻은 정보를 지속적으로 누적한다.

실험에서는 K=2, G=128, N을 2에서 20까지 변화시켰으며, M=10³, 최대 10⁶번의 무효 샘플링 시도 후에는 가장 불확실한 p_i를 ½로 재설정하는 리셋 메커니즘을 도입했다. 결과는 동기화 시간 t_s와 공격 성공 시간 t_b가 모두 N에 대해 거의 선형적으로 증가하지만, 기울기 a_b가 a_s보다 작아 t_b<t_s가 평균적으로 유지됨을 보여준다. 특히 짝수 N(실제 암호화에 사용되는 경우)에서는 성공 확률 P_s가 80 % 이상, 많은 경우 100 %에 도달한다. 홀수 N에서도 50 % 이상의 성공률을 기록했다.

이러한 결과는 PPM 기반 키 교환이 현재 제시된 파라미터(K, N, G)에서는 실용적인 보안성을 제공하지 못함을 강력히 시사한다. 가중치 값의 선택 폭이 2로 제한된 점이 공격을 용이하게 만든 주요 원인이며, L(가중치 레벨)과 유사한 보안 매개변수를 도입하지 않는 한 TPM 기반 시스템보다 보안이 낮을 수 있다. 향후 연구에서는 L을 확대한 변형 PPM, 혹은 확률적 공격을 적용한 혼돈 기반 동기화 시스템에 대한 분석이 필요하다.