보안 강화 비트 시리얼 RISC‑V 마이크로프로세서 설계와 구현

초록

**
본 논문은 Boolean 마스킹과 차동 도미노 로직(DDL)을 적용한 비트‑시리얼 RISC‑V 마이크로프로세서를 65 nm CMOS 공정으로 구현하고, 클록 랜덤화·메모리 보호·고속 RNG 등 부가 보안 모듈을 자동화된 설계 흐름으로 삽입한다. 실리콘 테스트에서 RNG는 NIST 통계 검증을 모두 통과했으며, 기본 마스크‑미적용 칩은 375개의 전력 트레이스로 AES 키를 복구할 수 있었던 반면, 보안 강화 칩은 2천만 트레이스까지도 키 추출에 실패하였다.

**

상세 분석

**
이 연구는 기존 마스크 기반 보안 설계가 설계 단계에서 수작업으로 셀 교체하거나 알고리즘 수준에서만 적용되는 한계를 극복하고자, RTL 수준에서 자동으로 보안 셀을 삽입하는 스크립트를 개발하였다. 핵심은 두 가지 기술이다. 첫째, Boolean 마스킹(BM)은 각 비밀값을 두 개 이상의 공유(share)로 분할하고, 공유 간 상관관계를 없애 전력 분석 공격을 무력화한다. 논문에서는 2‑share 방식을 채택했으며, 비선형 연산을 위해 공유 간 AND·OR·XOR 조합을 설계하고, 이를 차동 도미노 로직(DDL)과 결합해 글리치(Glitch) 발생을 최소화하였다. DDL은 프리차지·평가 단계가 명확히 구분된 동적 로직으로, 프리차지 단계에서 두 출력이 동일하게 초기화되고 평가 단계에서 하나만 전환되므로 데이터‑의존 전력 변동을 크게 억제한다.

둘째, 클록 랜덤화는 공격자가 전력 트레이스를 정렬(Time‑Alignment)하기 어렵게 만들기 위한 메커니즘이다. 8‑비트 LFSR을 이용해 매 클록 사이클마다 에지 스킵 비율(25 %, 50 %, 75 %)을 결정하고, RNG에서 추출한 비트로 LFSR를 주기적으로 섞어 패턴 재현을 방지한다. 이 설계는 255 사이클 주기의 반복성을 갖지만, 섞기 주기를 조절함으로써 실질적인 비주기성을 확보한다.

RNG는 22‑인버터 링오실레이터와 43‑비트 XNOR‑형 LFSR, 37‑셀 셀룰러 오토마타(CASR)를 결합한 하이브리드 포스트‑프로세싱을 사용한다. 열 잡음 기반 엔트로피 소스는 높은 주파수(≈366 MHz)에서 위상 지터를 생성하고, 샘플링 클록은 시스템 클록에 동기화된다. 결과적으로 1 Gbps 이상의 순수 비트 전송률을 달성하면서도 NIST SP 800‑22 테스트(주파수, 블록, 런, 엔트로피 등) 전 항목을 통과한다.

실리콘 구현에서는 세 가지 변형을 동일 RTL로부터 자동 생성하였다. (1) NCM‑uP: 보안 기능 전무, (2) BM‑uP: Boolean 마스킹만 적용, (3) BM‑DDL‑uP: 마스킹 + 차동 도미노 로직 적용. 면적 측면에서 BM‑uP는 기본 설계 대비 약 1.8×, BM‑DDL‑uP는 2.4× 증가했으며, 전력 소모는 각각 12 %와 18 % 정도 추가되었다. 그러나 성능 저하가 최소화되어 65 MHz 클록에서 128‑bit AES 암호화에 20 ms가 소요되는 등 실용적인 수준을 유지한다.

보안 평가에서는 동적 시간 왜곡(DTW) 전처리를 적용한 상관 전력 분석(CPA)을 사용하였다. NCM‑uP는 375개의 트레이스로 AES 키를 완전 복구했지만, BM‑uP는 3 M 트레이스, BM‑DDL‑uP는 20 M 트레이스에서도 통계적 유의성을 확보하지 못했다. 이는 마스크와 DDL이 전력 스펙트럼을 균일화하고, 클록 랜덤화가 트레이스 정렬을 방해함으로써 공격 복잡도를 기하급수적으로 증가시킨 결과이다.

전체적으로 이 논문은 (1) 설계 자동화, (2) 논리‑레벨 마스킹과 동적 로직 결합, (3) 클록 랜덤화·고속 RNG 통합이라는 세 축을 통해, 소형 비트‑시리얼 RISC‑V 코어에 실용적인 사이드‑채널 방어를 구현한 점이 혁신적이다. 특히, 소프트웨어 레이어에서 별도의 보안 라이브러리를 요구하지 않으면서도 높은 보안 수준을 제공한다는 점은 임베디드 시스템 및 IoT 디바이스에 바로 적용 가능함을 시사한다.

**