양자 자원 분석으로 본 3라운드 Keccak 사전 이미지 공격의 실현 가능성

초록

본 논문은 3라운드 Keccak‑256에 대한 고전적 사전 이미지 공격을 Grover 알고리즘으로 양자 가속화했을 때의 실제 자원 요구량을 Qiskit 기반 회로 합성으로 정량화한다. 이론적 복잡도는 2^57.8 → 2^28.9 로 감소하지만, Toffoli 게이트 9,600개, 논리 큐비트 3,200개, 물리 큐비트 3.2백만 개, 전체 2‑qubit 게이트 7.47×10^13 등 엄청난 오버헤드가 발생한다. 오류 누적과 실행 시간(최선 43일, 최악 2,365년)까지 고려하면 현재 및 근시일 내 양자 컴퓨터로는 실현 불가능함을 입증한다.

상세 분석

이 논문은 Keccak‑256의 3라운드 축소 버전에 대해 고전적인 사전 이미지 공격이 2^57.8 연산으로 가능한 점을 출발점으로 삼아, Grover 알고리즘을 적용했을 때 이론적인 양자 속도 향상이 √T_cl ≈ 2^28.9가 된다는 수학적 근거를 제시한다. 그러나 양자 알고리즘의 실제 실행에는 두 가지 핵심적인 비용이 존재한다. 첫 번째는 양자 오라클을 구현하기 위한 회로 복잡도이며, 두 번째는 오류 정정과 물리 큐비트 요구량이다. 저자는 Keccak 라운드 중 비선형 χ 함수를 Toffoli(CCNOT) 게이트 기반의 가역 회로로 구현하고, 각 비트당 전방 Toffoli와 역방 Toffoli를 반드시 포함시켜야 함을 강조한다. 이는 보조 큐비트를 초기화된 |0⟩ 상태로 복구하고, 얽힘을 방지해 Grover 반복 중 위상 오류가 누적되지 않도록 하는 필수 단계이다. 결과적으로 3라운드 오라클당 9,600개의 Toffoli 게이트가 필요하고, 이는 4,800개로 추정되던 초기값보다 두 배 이상 증가한다.

큐비트 측면에서는 상태 큐비트 1,600개와 동일한 수의 보조 큐비트가 필요해 총 논리 큐비트 3,200개가 요구된다. 이 회로를 물리 큐비트 수준으로 확장하려면 표면 코드나 색상 코드 기반의 오류 정정이 필수이며, 오류 정정 오버헤드가 약 1,000배 정도라고 가정하면 물리 큐비트 수는 3.2백만 개에 달한다. 이는 현재 실험실 수준(수백~수천 큐비트)과 비교했을 때 수천 배 이상의 차이이며, 실용적인 양자 컴퓨터가 도달하기에는 매우 먼 거리이다.

깊이 측면에서는 하나의 Toffoli 게이트를 현재 기술에서 구현하려면 평균 10~20개의 2‑qubit CNOT 게이트와 여러 단일 큐비트 회전이 필요하다. 따라서 전체 7.47×10^13개의 2‑qubit 게이트를 수행하려면 회로 깊이가 수십억 단계에 이르고, 이는 디코히런스와 게이트 오류 누적으로 인해 오류 정정 없이 실행이 불가능함을 의미한다. 저자는 두 가지 실행 시나리오를 제시한다. 낙관적인 가정(오류 정정 효율이 매우 높고, 게이트 속도가 1 GHz 수준)에서는 전체 실행 시간이 약 43일에 불과하지만, 물리 큐비트 수와 오류 정정 비용을 현실적으로 반영하면 실행 시간은 2,365년을 초과한다.

결론적으로, 이 논문은 Grover 알고리즘이 제공하는 이론적 √N 속도 향상이 실제 암호 해석에 적용될 때는 회로 설계, 오류 정정, 물리 큐비트 확보 등 다중 차원의 비용이 급격히 상승한다는 점을 명확히 보여준다. 특히 SHA‑3(Keccak)와 같은 구조가 복잡한 해시 함수는 비선형 χ 단계가 양자 회로에서 가장 큰 병목이 되며, 이를 가역적으로 구현하려면 필연적으로 대규모 Toffoli 게이트와 보조 큐비트가 필요하다. 따라서 현재와 가까운 미래의 양자 하드웨어로는 3라운드 Keccak 사전 이미지 공격을 실현할 수 없으며, SHA‑3의 양자 저항성은 실질적으로 유지된다고 평가한다.