양자 시대의 랜덤 오라클

초록

이 논문은 양자 공격자가 양자 상태로 랜덤 오라클에 접근할 수 있는 모델을 정의하고, 기존의 고전적 랜덤 오라클 보안 증명이 양자 환경에서는 충분하지 않음을 보인다. 고전적 접근만 허용할 때는 안전하지만 양자 접근을 허용하면 깨지는 스킴을 제시하고, “히스토리‑프리” 감소라는 개념을 도입해 고전적 증명이 양자 모델에서도 유효하도록 하는 충분조건을 제시한다. 이를 통해 격자 기반 등 몇몇 포스트‑양자 암호 체계가 양자 접근 랜덤 오라클 모델에서도 안전함을 증명한다.

상세 요약

논문은 먼저 랜덤 오라클 모델을 두 가지로 구분한다. 하나는 전통적인 고전적 접근 모델로, 공격자는 오라클에 대한 입력을 고전적인 비트 문자열 형태로만 보낼 수 있다. 다른 하나는 양자 접근 모델(QROM)로, 공격자는 임의의 양자 상태를 오라클에 입력하고, 오라클은 선형 연산으로 응답을 반환한다. 이 차이는 양자 알고리즘이 슈퍼포지션을 이용해 동시에 다수의 쿼리를 수행할 수 있게 함으로써, 고전적 보안 증명에 의존하는 스킴이 예상치 못한 취약점을 드러낼 수 있음을 의미한다.

논문은 이러한 차이를 명확히 보여주기 위해, 고전적 접근에서는 완전한 보안을 제공하지만 QROM에서는 공격자가 다항식 시간 내에 비밀을 복구할 수 있는 구체적인 암호 스킴을 설계한다. 이 예시는 “분리 스킴(separation scheme)”이라 불리며, 고전적 보안 증명이 양자 환경에서도 자동으로 이어지지 않음을 실증한다.

그 다음 저자들은 고전적 랜덤 오라클 증명이 양자 모델에서도 유효하도록 하는 일반적인 조건을 탐구한다. 핵심 아이디어는 “히스토리‑프리 감소(history‑free reduction)”이다. 히스토리‑프리 감소는 시뮬레이터가 오라클 응답을 생성할 때 이전 쿼리들의 구체적인 내용이나 순서에 의존하지 않고, 오직 현재 쿼리와 사전 정의된 확률 분포만을 사용한다는 특성을 가진다. 이러한 특성은 양자 쿼리의 선형성 때문에 중요하다; 양자 공격자는 여러 쿼리를 동시에 중첩시켜 보낼 수 있기 때문에, 시뮬레이터가 과거 쿼리 히스토리를 기억하고 조건부로 응답을 바꾸면 양자 중첩 상태가 깨져 증명이 무효화될 위험이 있다. 히스토리‑프리 구조라면 시뮬레이터는 각 쿼리를 독립적으로 처리하므로, 양자 중첩 상태를 그대로 유지하면서도 올바른 확률적 응답을 제공할 수 있다.

논문은 히스토리‑프리 감소가 존재할 경우, 고전적 보안 증명을 그대로 QROM에 옮길 수 있음을 정리와 정형화된 증명을 통해 보여준다. 구체적으로, 고전적 증명에서 사용된 시뮬레이터와 감소자를 그대로 양자 환경에 적용해도, 양자 쿼리의 선형성에 의해 발생할 수 있는 “쿼리 간 상관” 문제가 발생하지 않는다.

이론적 결과를 바탕으로 저자들은 실제 포스트‑양자 암호 스킴에 적용한다. 특히 격자 기반 암호인 LWE(러닝 위드 에러)와 SIS(짧은 정수 솔루션) 문제에 기반한 서명·암호화 체계들을 검토한다. 기존 문헌에서 이들 스킴의 보안 증명은 모두 히스토리‑프리 감소 형태로 구성되어 있음을 확인하고, 따라서 QROM에서도 안전함을 즉시 도출한다. 이는 현재 가장 실용적인 포스트‑양자 후보들 중 다수가 양자 접근 랜덤 오라클 모델에서도 보안성을 유지한다는 강력한 근거가 된다.

마지막으로 논문은 여러 개방 문제를 제시한다. 예를 들어, 히스토리‑프리 감소가 아닌 기존 증명들을 QROM에 맞게 변형하는 일반적인 방법, 양자 쿼리 복잡도와 보안 감소 사이의 정량적 관계, 그리고 QROM에서의 “중첩 공격”에 대한 보다 정밀한 모델링 등이 있다. 이러한 연구 방향은 포스트‑양자 암호의 실용적 표준화와 구현에 필수적인 이론적 기반을 제공한다.