IoT 보안을 위한 고효율 FPGA 기반 RISC‑V 암호 코프로세서 Crypto‑RV

초록

Crypto‑RV는 64‑비트 데이터패스를 갖는 RISC‑V 코프로세서로, SHA‑256/512, SM3, SHA‑3, SHAKE‑128/256, AES‑128, HARAKA‑256/512 등 9가지 주요 암호 알고리즘을 하나의 칩에 통합한다. 128×64‑bit 고대역폭 내부 버퍼와 4‑단계 파이프라인 전용 연산 유닛, 그리고 대용량 해시를 위한 이중 버퍼링·적응형 스케줄링을 도입해 Xilinx ZCU102 FPGA에서 160 MHz, 0.851 W 동적 전력으로 구현했으며, 기존 RISC‑V 코어 대비 165‑1,061배 속도 향상, CPU 대비 5.8‑17.4배 에너지 효율 개선을 달성한다.

상세 분석

Crypto‑RV는 IoT와 엣지 컴퓨팅 환경에서 요구되는 고성능·저전력 암호 연산을 목표로 설계된 RISC‑V 전용 코프로세서이다. 가장 큰 특징은 128×64‑bit 규모의 내부 버퍼를 도입해 메모리 접근을 최소화하고, 연산 유닛과 버퍼 간 데이터 흐름을 전용 명령어로 제어한다는 점이다. 기존 RISC‑V 코어는 해시와 블록 암호 연산 시 매 라운드마다 메모리 로드·스토어가 반복돼 사이클의 70‑85%가 메모리 대기시간에 소모된다. Crypto‑RV는 버퍼에 메시지 블록과 상수(K, 초기값 등)를 한 번 로드한 뒤, 라운드 내부에서는 전부 레지스터 수준에서 순환하도록 설계해 메모리 트래픽을 17‑58배 감소시킨다.

연산 유닛은 세 가지 통합 엔진으로 구성된다. 첫 번째는 SM3·SHA‑256·SHA‑512를 하나의 파이프라인에 묶은 유닛으로, 32‑bit와 64‑bit 워드 크기를 모드 선택 멀티플렉서로 전환한다. 4‑단계 파이프라인(확장, 압축, 회전, 저장)으로 설계돼 각 단계당 하나의 가산기만 사용해 임계 경로를 RISC‑V ALU 수준으로 유지한다. SHA‑512 모드에서는 1024‑bit 블록을 1 cycle에 처리하고, SHA‑256·SM3 모드에서는 32‑bit 파이프라인을 두 개 병렬로 동작시켜 처리량을 두 배로 끌어올린다.

두 번째 엔진은 AES‑128과 HARAKA‑256/512를 통합한 SPN 기반 유닛이다. HARAKA는 키·시드에서 라운드 상수를 생성해야 하는데, 이를 전용 RC 생성 로직과 파이프라인 단계에 포함시켜 전체 연산을 하드웨어에서 완전 가속한다. 4‑단계 파이프라인(서브바이트, 쉬프트/믹스, 라운드키 추가, 출력 누적)으로 AES와 HARAKA를 공유함으로써 자원 활용률을 75 % 이상 유지한다.

세 번째 엔진은 SHA‑3·SHAKE 시리즈를 위한 스폰지 파이프라인이다. 1600‑bit 상태를 24라운드 순차적으로 처리하는 대신, 두 라운드를 하나의 조합 논리로 병합해 2‑라운드 언롤링을 구현했다. 이 설계는 임계 경로를 크게 늘리지 않으면서 라운드 수를 절반으로 줄여 160 MHz에서 안정적으로 동작한다.

대용량 해시 작업에서 발생하는 메모리·연산 불균형을 해소하기 위해 Crypto‑RV는 1024×64‑bit 데이터 메모리(DM)와 128×64‑bit 내부 버퍼 사이에 이중 버퍼링 구조를 두었다. 작업 시작 시 DM에 전체 워크로드를 미리 로드하고, 연산이 진행되는 동안 버퍼에 새로운 블록을 스트리밍해 DMA와 연산을 완전 겹치게 만든다. 이 방식은 긴 메시지나 Merkle‑Tree 기반 다중 해시에서 파이프라인 유휴 시간을 거의 없애며, 실제 SPHINCS+ 서명 생성 시에도 높은 코어 활용도를 유지한다.

실험 결과는 ZCU102 FPGA 상에서 160 MHz, 0.851 W 동적 전력으로 구현됐으며, 전체 면적은 34,704 LUT, 37,329 FF, 22 BRAM을 차지한다. SHA‑256/512/SM3는 각각 660×, 604×, 789× 속도 향상을 보였고, AES‑128·HARAKA는 965×‑1,061×, SHAKE는 220× 가속을 달성했다. 에너지 효율은 62.76‑187.08 Mbps/W로, 동일 작업을 수행하는 Intel i9‑10940X, i7‑12700H, ARM Cortex‑A53 대비 4‑12배 우수했다. 이러한 결과는 Crypto‑RV가 제한된 전력·면적 예산을 가진 IoT 디바이스에서도 포괄적인 암호 기능을 고성능·저전력으로 제공할 수 있음을 입증한다.