양자 비밀입찰 경매: 원형 다자간 키 합의 기반 새로운 프로토콜

초록

**
본 논문은 다중 참여자 원형 양자 키 합의(CMQKA)를 변형하여, 입찰자와 경매인이 원형 구조로 연결된 비밀입찰 경매 프로토콜을 제안한다. 입찰자들을 l 개의 서브서클로 나누고, 각 서브서클마다 (r‑1)‑입자 얽힌 상태를 이용해 입찰 정보를 암호화·전송한다. 서클 구조와 서브서클 분할을 통해 기존 트리형·완전그래프형 방식에서 발생하던 공동공격(collusion attack)을 원천 차단하고, 얽힌 입자 수를 줄여 실현 가능성을 높였다. 보안·효율성 분석 결과, 제안 방식은 양자 무조건적 보안을 유지하면서 확장성도 확보한다.

**

상세 분석

**
이 논문은 양자 비밀입찰 경매에서 가장 큰 위협으로 지목된 ‘공동공격’을 근본적으로 차단하기 위해 기존의 트리형·완전그래프형 구조를 포기하고 원형 구조를 채택한다. 원형 구조는 모든 참여자가 동일한 순환 경로에 놓이며, 경매인(A)이 모든 서브서클에 동시에 포함되고 나머지 입찰자들은 각각 하나의 서브서클에만 속한다는 점이 핵심이다. 이를 위해 전체 n 명의 입찰자를 l 개의 서브서클로 나누고, 각 서브서클의 크기를 r = n/l + 1 로 정의한다. 여기서 r‑1 은 해당 서브서클에 실제로 참여하는 입찰자 수이며, 각 서브서클마다 (r‑1)‑입자 얽힌 상태를 l 번 복제해 사용한다.

프로토콜은 크게 7단계로 구성된다. ① 서브서클 분할 및 초기 얽힌 상태 준비(경매인과 모든 입찰자 각각 l 개의 (r‑1)‑입자 얽힌 상태를 생성). ② 각 얽힌 상태를 ‘여행(qubit) 시퀀스’와 ‘홈(qubit) 시퀀스’로 분할하고, 여행 시퀀스에 디코이(decoy) 큐비트를 삽입해 전송 보안성을 확보한다. ③ 모든 참여자는 인접한 파티로부터 여행 시퀀스를 수신하고, 디코이 큐비트를 이용해 도청 여부를 검증한다. ④ 검증이 통과되면 각 입찰자는 사전에 합의된 이산 유니터리 연산 {I, U_i} (서로 교집합이 I뿐인 서로소 군)으로 자신의 비밀 입찰 비트를 암호화한다. ⑤ 암호화된 시퀀스에 다시 디코이 큐비트를 삽입해 다음 파티에게 전달하고, 이 과정을 서브서클의 모든 참여자가 한 번씩 수행하도록 반복한다. ⑥ 마지막 파티가 암호화된 시퀀스를 최초 생성자에게 반환하면, 각 파티는 자신이 보유한 홈 시퀀스와 반환된 여행 시퀀스를 결합해 원래의 얽힌 상태를 측정한다. 이때 각 입찰자의 유니터리 연산이 서로소이므로, 측정 결과로부터 모든 입찰 비트를 일대일 대응으로 복원할 수 있다. ⑦ 경매인은 복원된 입찰값을 비교해 최고 입찰자를 결정하고, 모든 입찰자는 이를 검증한다.

보안 측면에서 가장 중요한 점은 ‘서브서클 분할’과 ‘서로소 유니터리 군’이다. 서브서클이 겹치지 않으면서 경매인만이 모든 서브서클에 포함되므로, 어느 한 입찰자와 경매인이 결탁하더라도 다른 서브서클에 속한 입찰자들의 정보는 완전히 차단된다. 또한, 동일한 유니터리 연산을 두 명이 동시에 적용하면 복호화가 불가능해지는 문제를 방지하기 위해 서로소 군을 사용한다. 디코이 큐비트를 통한 도청 검증은 표준 양자 키 분배(QKD)와 동일한 통계적 오류 검증을 적용하므로, 무조건적 보안을 확보한다.

효율성 측면에서는 얽힌 입자 수가 (r‑1) 에 비례하므로, l 값을 크게 잡을수록 각 서브서클당 얽힌 입자 수는 감소한다. 즉, l 을 증가시키면 보안성(공동공격에 대한 저항성)은 강화되면서, 실험적으로 구현 가능한 얽힌 상태 차원은 낮아진다. 이는 현재 실험실 수준에서 다중 입자 GHZ·W 상태를 생성·보존하는 기술적 한계를 고려했을 때 큰 장점이다. 또한, 원형 구조는 트리형·완전그래프형에 비해 통신 라우팅이 단순하고, 각 파티가 오직 두 개의 인접 파티와만 직접 교신하면 되므로 네트워크 부하와 메모리 요구량이 크게 감소한다.

마지막으로, 제안된 프로토콜은 l = n 일 때 완전그래프형, l = 1 일 때 트리형으로 수렴함을 보이며, 기존 연구들을 일반화한 통합 프레임워크를 제공한다. 이는 향후 다양한 경매·협상 시나리오에 맞춰 구조적 파라미터를 조정함으로써 유연하게 적용할 수 있음을 의미한다.

**