양자 어닐링 프라이버시의 허점: 스핀 반전 변환을 이용한 E0 암호 분석 복원 공격

초록

본 논문은 양자 어닐링 클라우드 서비스에서 프라이버시 보호를 위해 제안된 스핀 반전 변환(SRT)이 특정 구조화된 문제, 특히 E0 스트림 암호에 대한 대수적 공격을 Ising 형태로 변환한 경우에는 원본 문제와 비밀키를 복원할 수 있음을 보인다. 공격은 매개변수화, 시스템 구축, 선형 방정식 풀이의 3단계로 구성되며, 실험적 예시와 대규모 문제에 대한 효율성을 입증한다.

상세 분석

본 논문은 양자 어닐링을 클라우드 형태로 이용할 때 데이터 프라이버시를 보장하기 위한 기존 방법인 스핀 반전 변환(SRT, 혹은 게이지 변환)의 근본적인 취약점을 체계적으로 분석한다. SRT는 이진 문자열 x 를 이용해 Ising 모델의 편향 h 와 결합 행렬 J 의 부호를 무작위로 뒤바꾸는 방식으로, 변환 전후의 최소 에너지와 최적 해는 동일하지만 원본 파라미터를 알지 못하면 복원할 수 없다고 주장한다. 논문은 이 가정이 “구조화된 문제”에 대해 성립하지 않음을 증명한다.

첫 번째 핵심은 E0 스트림 암호의 대수적 공격이 QUBO 형태로 변환될 때, 암호의 키스트림 zₜ 가 직접적으로 Ising/ QUBO 계수에 선형적으로 나타난다는 점이다. 즉, hᵢ 와 Jᵢⱼ  중 일부는 zₜ 에 비례하는 항을 포함한다. SRT가 적용되면 이 항들의 부호만 뒤바뀔 뿐, 계수 자체는 그대로 남아 있다. 공격자는 클라우드에서 전달받은 h* 와 J* 를 관찰하고, 알려진 암호 구조와 zₜ 가 차지하는 위치를 사전 지식(또는 사전 파라미터화 단계)으로 활용한다.

두 번째 단계는 “시스템 구축”이다. 논문은 hᵢ = (−1)^{xᵢ} hᵢ, Jᵢⱼ = (−1)^{xᵢ+xⱼ} Jᵢⱼ 이라는 변환식을 이용해, 알려진 hᵢ, Jᵢⱼ (암호 구조에 의해 고정)와 미지의 xᵢ (숨김 키) 사이의 선형 방정식 집합을 만든다. 여기서 hᵢ, Jᵢⱼ 는 zₜ 와 직접 연관된 항을 포함하므로, zₜ 도 동시에 미지 변수로 포함된다. 따라서 전체 시스템은 xᵢ 와 zₜ 에 대한 선형 방정식으로 표현된다.

세 번째 단계는 “선형 방정식 풀이”이다. 방정식 수가 변수 수와 동등하거나 초과하면, 가우스 소거법이나 최소 제곱법을 통해 유일한 해를 구할 수 있다. 논문은 실제 2728개의 변수와 20598개의 비제로 계수를 가진 대규모 행렬에서도 효율적인 풀이가 가능함을 시뮬레이션으로 보여준다. 해를 얻으면 숨김 키 x 와 암호 키스트림 z 를 모두 복원할 수 있으며, 이는 클라우드 서비스 제공자가 전달한 최적 해 s* 를 이용해 원본 문제의 최적 해 s 를 바로 계산할 수 있음을 의미한다.

이러한 공격 흐름은 SRT가 “무작위 부호 뒤바꿈”만을 제공하고, 문제 자체에 내재된 구조적 정보를 제거하지 못한다는 근본적인 한계를 드러낸다. 특히 암호학적 문제처럼 변수와 계수 사이에 명확한 함수 관계가 존재하는 경우, 공격자는 그 관계를 역추적해 원본 데이터를 복원한다.

논문은 또한 기존 프라이버시 보장 방법인 블라인드 양자 컴퓨팅과 양자 동형암호와 비교하면서, SRT가 상대적으로 구현이 간단하지만 보안 수준이 낮다는 점을 강조한다. 마지막으로, 가능한 방어책으로는 h 와 J 의 값 자체를 난수화하거나, 문제를 사전 난수화된 추가 변수와 결합해 구조적 연관성을 숨기는 “다중 게이지 변환”을 제안한다. 그러나 이러한 방안은 현재 양자 어닐링 하드웨어의 제한(예: 연결 밀도, 변수 수) 때문에 실용성이 떨어진다.

요약하면, 본 논문은 SRT 기반 프라이버시 보호가 특정 구조화된 문제, 특히 암호학적 대수 공격에 대해 전혀 안전하지 않으며, 공격자는 간단한 선형 대수 연산만으로 원본 문제와 비밀키를 복원할 수 있음을 실증한다. 이는 양자 클라우드 서비스에서 프라이버시를 보장하려는 연구자들에게 중요한 경고가 된다.