암호화 및 보안 19 JAN, 2025 ...

PRC 워터마크의 실전 붕괴: 키 복구·약점 탐지·노이즈 오버레이 3중 공격

PRC 워터마크의 실전 붕괴: 키 복구·약점 탐지·노이즈 오버레이 3중 공격
안내: 본 포스트의 한글 요약 및 분석 리포트는 AI 기술을 통해 자동 생성되었습니다. 정보의 정확성을 위해 하단의 [원본 논문 뷰어] 또는 ArXiv 원문을 반드시 참조하시기 바랍니다.

초록

본 논문은 CRYPTO 2024에서 제안된 의사난수 오류정정 코드(Pseudorandom Error‑Correcting Code, PRC)의 보안성을 구체적인 파라미터와 실제 생성 모델을 대상으로 최초로 분석한다. 저자는 LDPC‑PRC 구현을 목표로 세 가지 암호학적 공격을 제시한다. 첫 번째는 Meet‑in‑the‑Middle 기법을 이용한 부분 비밀키 복구 공격으로, 2²² 연산만에 워터마크 존재를 거의 확실히 탐지한다. 두 번째는 키 생성 과정에서 발생하는 중복 행을 이용해 약한 키를 식별하고, 이를 통해 워터마크를 구분한다. 세 번째는 디코딩 한계 이상의 노이즈를 삽입해 복원 과정을 방해하는 노이즈 오버레이 공격이다. 실험은 DeepSeek와 Stable Diffusion에 적용했으며, 제안된 방어책에도 불구하고 128‑bit 수준의 보안 확보가 불가능함을 지적한다.

상세 분석

이 논문은 PRC라는 새로운 암호학적 원시가 아직 실전 적용 단계에 들어선 상황에서, 이론적 안전성(학습 패리티와 플랜티드 XOR 문제 기반)과 실제 보안 사이의 격차를 메우려는 시도이다. 저자는 LDPC‑PRC를 구체적인 목표 구현체로 삼아, 세 가지 공격 벡터를 설계한다. 첫 번째 공격(Attack‑I)은 공개키 행렬 G와 비밀키 행렬 P 사이의 선형 관계 PG=0을 활용한다. Meet‑in‑the‑Middle 기법으로 부분 비밀키를 복구하는데, 전체 행을 복구하려는 전통적 MITM보다 충돌 집합을 절반 크기로 제한함으로써 시간 복잡도를 O(g·α·⌈n/2⌉·⌈t/2⌉)로 낮춘다. 여기서 α는 행 무게 t와 코드 길이 n에 따라 정의된 상수이며, 논문에서는 구체적인 파라미터(예: n=2¹⁶, t=5)에서 α≈2⁻⁴ 정도임을 보인다. 복구된 부분키를 이용해 Decode 절차를 모방하면, 단일 샘플에 대해 코드워드와 일반 벡터를 구분할 확률이 ½+α로, 통계적 우위가 충분히 커서 다수 샘플을 모으면 워터마크 존재를 2²² 연산 내에 거의 확실히 판별한다.

두 번째 공격(Attack‑II)은 키 생성 단계에서 발생하는 중복 행 현상을 이용한다. LDPC‑PRC의 공개키 G는 무작위 행렬이지만, 실 구현에서는 행 선택 과정에서 균등성을 완전히 보장하지 못한다. 저자는 실험적으로 t=3,4인 경우 거의 100%에 가까운 확률로 중복 행이 존재함을 확인했다. 공격자는 여러 타깃 모델에 대해 공개키를 수집하고, 중복 행 인덱스를 기록한 뒤, 테스트 벡터의 해당 위치 값이 일치하는지를 검사한다. 일치 비율이 사전 정의된 임계값을 초과하면 워터마크를 확신하게 된다. 이 공격은 키 복구 없이도 “약한 키”가 존재하는 경우를 빠르게 탐지할 수 있어, 실제 서비스 환경에서 키 교체 주기를 판단하는 데 활용 가능하다.

세 번째 공격(Attack‑III)은 PRC의 복원 능력인 (1/2−r−1/4)·r 이하의 오류를 전제로 한다. 저자는 원래 디코딩에 사용되는 노이즈 벡터 e를 베르누이(ω) 분포로 모델링하고, 이를 추정한 뒤(ê) 추가적인 악의적 노이즈 e′를 설계한다. ê와 e′를 합산하면 총 노이즈 e+e′가 디코더의 허용 한계를 초과하면서도 전체 오류 가중치가 동일하게 유지된다. 즉, 디코더는 입력을 “유효하지 않음(⊥)”으로 판단하지만, 출력 텍스트·이미지는 품질 저하가 거의 없도록 설계한다. 이 공격은 특히 LLM에서 토큰 시퀀스 길이가 제한적(≤2¹⁵)인 상황에서, n>2²⁴이어야 128‑bit 보안을 달성할 수 있다는 저자들의 주장에 반박한다. 실제 실험에서는 n=2¹⁷ 정도에서도 공격 성공률이 90% 이상이며, 출력 품질 지표(Perplexity, SSIM 등)에는 미미한 영향을 보였다.

복합적으로 보면, 세 공격 모두 PRC의 두 핵심 보안 가정—undetectability와 robustness—를 구체적인 파라미터와 실제 모델 환경에서 무력화한다. 특히 Attack‑I와 Attack‑II는 “키 자체”에 대한 취약점을, Attack‑III는 “디코더 설계”에 대한 구조적 결함을 노린다. 논문은 이러한 공격을 방어하기 위해 파라미터 확대(g·n 증가, t 감소), 키 생성 알고리즘 수정(중복 행 방지), 그리고 노이즈 벡터의 무게를 크게 하는 세 가지 방안을 제시한다. 그러나 LLM의 최대 토큰 길이 제한과 GIM의 이미지 해상도 제약으로 인해, 실질적인 128‑bit 보안 수준을 달성하기는 여전히 어려운 것으로 결론짓는다. 이는 PRC가 현재 형태로는 “스테가노그래피”보다는 “보안 워터마크”로서의 실용성을 확보하기엔 부족함을 시사한다.

댓글 및 학술 토론

Loading comments...

의견 남기기