완전 사생활 보장을 위한 경매 프로토콜 재검토

초록

본 논문은 Brandt가 제안한 분산 ElGamal 기반 전자 경매 프로토콜을 재검토한다. 악의적인 입찰자가 변조 가능한 대화형 영지식 증명을 이용해 공개 데이터를 조작하면, 판매자는 모든 입찰자의 실제 입찰액을 복원할 수 있음을 보인다. 또한 검증 가능성, 부인 방지, 공정성 및 인증 문제까지 포함한 여러 보안 약점을 논의한다.

상세 분석

Brandt 프로토콜은 각 입찰자를 위한 공개키와 비밀키를 이용해 ElGamal 암호문을 생성하고, 동형 연산을 통해 입찰액을 집계한다. 핵심은 승자와 최저가격만을 공개하고, 개별 입찰액은 절대로 노출되지 않아야 한다는 ‘완전 사생활’ 보장이다. 이를 위해 프로토콜은 대화형 영지식 증명(Zero‑Knowledge Proof, ZKP)을 사용해 각 단계에서 암호문이 올바르게 생성되었음을 증명한다. 그러나 논문은 이 ZKP가 ‘변조 가능(malleable)’한 형태로 구현될 경우, 악의적인 입찰자가 증명 과정에 개입해 증명의 내용 자체를 조작할 수 있음을 지적한다. 구체적으로, 입찰자는 자신의 암호문에 임의의 스칼라 값을 곱하고, 그에 대응하는 변형된 증명을 생성한다. 검증자는 변형된 증명을 정상적인 것으로 오인하게 되며, 결과적으로 전체 암호문 집합이 원래와 다른 구조를 갖게 된다. 판매자는 이러한 변조된 암호문을 이용해 동형 연산을 수행하고, 최종적으로 모든 입찰자의 원래 비밀값을 복원할 수 있다. 이는 ‘승자와 가격만 공개’라는 기본 가정을 완전히 무너뜨린다.

또한 논문은 검증 가능성 측면에서도 문제를 제기한다. 변조된 증명이 정상적으로 검증되면, 입찰자는 자신이 실제로 제시한 금액보다 낮은 금액을 제시한 것처럼 보이게 할 수 있다. 이는 경매 결과를 조작하거나, 특정 입찰자를 불리하게 만드는 데 악용될 수 있다. 비부인성(Non‑Repudiation) 역시 위협받는다. 변조된 증명은 사후에 입찰자가 자신의 행동을 부인하거나, 반대로 정당한 입찰을 부인하도록 만들 수 있다. 공정성(fairness) 측면에서는, 변조된 데이터가 판매자에게만 유리하게 작용해 다른 입찰자들이 불공정한 손해를 입게 된다. 마지막으로 인증 문제를 언급한다. 프로토콜은 각 참가자의 공개키와 인증서를 전제하지만, 인증 절차가 충분히 강제되지 않을 경우 중간자 공격이나 신원 위조가 가능해진다. 이러한 일련의 취약점은 Brandt 프로토콜이 주장한 ‘완전 사생활’과 ‘완전 검증 가능성’을 근본적으로 위협한다.