블록체인을 위한 다중 타원곡선 디지털 서명 알고리즘

초록

본 논문은 현재 비트코인 등에서 사용되는 secp256k1 기반 ECDSA의 잠재적 백도어 위험을 해소하고자, 사용자가 곡선 수와 파라미터를 자유롭게 선택할 수 있는 다중 타원곡선 디지털 서명 알고리즘(MECDSA)을 제안한다. 보안성은 기존 ECDSA와 동일한 타원곡선 이산대수 문제(ECDLP)에 기반하며, 서명 길이를 최소화하면서도 두 개 이상의 곡선을 병행 사용해 백도어 공격을 방어한다. 효율성 분석에서는 연산량과 서명 크기를 기존 t‑ECDSA와 비교해 적당한 비용 증가를 보이며, 실용성을 주장한다.

상세 분석

MECDSA는 “다중 타원곡선”이라는 개념을 도입해, 서명 생성 시 t개의 서로 다른 곡선 (E_i) 위에서 개별적인 (r_i, s_i) 쌍을 계산하고, 최종 서명은 하나의 r 값과 t개의 s 값을 결합한 형태( (r, s_1,\dots,s_t) ) 로 구성한다. 이때 r은 각 곡선에서 얻은 x‑좌표의 합(mod n_i)으로 정의되며, r_i가 0이 되면 재시도한다는 전통적인 ECDSA 절차를 그대로 유지한다. 검증 단계에서는 동일한 r을 사용해 각 곡선별로 (u_i, v_i) 를 계산하고, 최종적으로 (\sum_i x_i) 가 r과 일치하는지를 확인한다.

보안 측면에서 저자들은 두 가지 공격 시나리오를 제시한다. 첫째, 전체 비밀키 (d_i) 를 복구하려면 각각의 곡선에 대해 ECDLP를 풀어야 하므로, 곡선 수가 늘어날수록 복잡도는 지수적으로 상승한다. 둘째, 일부 곡선에 백도어가 존재하더라도 다른 곡선이 안전하면 전체 서명은 여전히 안전하다고 주장한다. 이는 “다중 독립성” 가정에 기반한다. 그러나 실제 구현에서는 곡선 선택이 무작위가 아닌 경우, 곡선 간 상관관계가 존재할 수 있다. 예를 들어, 동일한 베이스 포인트를 공유하거나 파라미터가 비표준적인 경우, 특수한 구조적 공격(예: 특수한 폴리노미얼 선택에 대한 사전 계산 공격)이 가능할 위험이 있다.

효율성 분석에서는 연산량을 “덧셈·곱셈·역원” 횟수로 정량화한다. t‑ECDSA와 비교했을 때, 서명 생성은 약 (2t-1) 번의 점덧셈과 (2t) 번의 점곱셈을 요구하고, 검증은 (t-1) 번의 점덧셈과 (2t) 번의 점곱셈을 필요로 한다. 서명 길이는 기존 단일 곡선 ECDSA의 2배에 가까워지지만, r 값을 하나만 사용함으로써 전체 길이를 완전히 t배로 늘리는 것을 방지한다. 실제 블록체인 환경에서는 블록 크기 제한과 네트워크 전송 비용을 고려하면, 두 개( t=2 ) 정도의 곡선 사용이 실용적이라고 제안한다.

하지만 논문은 구체적인 파라미터 선택 가이드라인이나, 곡선 간 상호작용을 정량화한 보안 증명을 제공하지 않는다. 또한, 구현 시 발생할 수 있는 사이드채널(전력, 타이밍) 공격에 대한 논의가 부족하다. 다중 곡선 구조는 키 관리 복잡성을 증가시키며, 각 곡선에 대해 별도의 안전 검증 절차가 필요하다. 따라서 실제 채택을 위해서는 표준화된 곡선 집합과 파라미터 검증 체계가 선행되어야 한다.