본문바로가기
  • BUSINESS
  • PRODUCT
  • CUSTOMER
  • COMMUNITY

제 목 NIST 경량암호 표준화 사업 최종 후보 분석 동향
등록일 2022-03-17
첨부파일



<사진 출처 : www.freepik.com>


 

초기 인터넷 기술은 정보 공유 및 커뮤니케이션 위주의 유선 환경에서 발전하기 시작했다. 스마트폰 발달 이후 인터넷 영역이 모바일로 확장되었으며, 이용자들은 자신이 원하는 시간, 장소에서 인터넷에 접속할 수 있게 되었다. 최근에는 스마트폰뿐만 아니라 태블릿 PC, 자동차, 조명, 가전 등 다양한 사물 들이 인터넷에 연결되어 인간에게 새로운 편의 혹은 가치를 부여한다. 한국인터넷진흥원(2012)은 사물 인터넷(Internet of Things, IoT) 기술을 초연결사회의 기반 기술로서 사물 간 인터넷 혹은 개체 간 인 터넷으로 정의했고, 고유 식별이 가능한 사물이 만들어낸 정보를 인터넷을 통해 공유하는 환경이라고 정 의했다. 세계 IoT 시장 규모는 빠르게 성장하고 있다. 주요 기관별로 시장 예측 규모 결과가 차이가 있지만, Mordor Intelligence 사는 세계 IoT 시장 규모가 연평균 10.53% 성장하여 2020년 7,614억 달러에서 2026년 1조 3,860억 6,000만 달러에 이를 것으로 추산하였고, Machina Research 사는 IoT에 연 결된 기기의 총수가 연평균 16% 성장하여 2015년 60억 개에서 2025년 270억 개로 증가할 것이라고 전망한 바 있다.

경량암호 알고리즘의 필요성

IoT 기술의 발달로 인해 관련 분야인 센서 네트워크, 헬스케어, 분산 제어 시스템, 가상 물리 시스템 등의 산업이 함께 성장하고 있다. 해당 분야들의 IoT 기술을 사용하는 기기 중 대부분은 실생활과 밀접 하게 연결되어 있는 소형 컴퓨팅 기기이다. 이러한 IoT 기기들은 사용자들의 편리성 및 유용성을 제공하 기 위해 기기 내에서 사용자들의 민감한 정보나 음성/영상 DB, 각종 생활 정보 등의 빅데이터를 사용하 므로 다양한 형태의 해킹 및 크래킹에 노출될 수 있다. 하지만 IoT 기기들의 가용한 리소스는 제한되므 로, 기존 서버나 PC 환경에서 사용되는 암호 알고리즘을 그대로 사용하여 안전성을 확보하기 어렵다. 특 히 세계적으로 가장 널리 사용되는 AES 블록 암호, 표준으로 등재된 인증 암호화 알고리즘 CCM과 GCM 등 현재 사용 가능한 암호 알고리즘은 대부분 고사양 환경에서의 운영을 고려하여 설계되었으므 로 IoT 기기에 구현하기는 쉽지 않다. 안전성 관점에서 살펴보면, 현재 사용되고 있는 IoT 기기들의 약 70%는 보안상의 취약점이 있다고 HP 사가 2015년에 발표한 바 있다. 이를 종합하여 판단했을 때, 기존 알고리즘보다 더 적은 비용으로 적정 수준의 안전성과 효율성을 보장할 수 있는 경량암호 알고리 즘의 필요성이 높아지고 있으며, 이는 IoT 기술이 발달함에 따라 더욱 중요해짐을 알 수 있다.

NIST 경량암호 표준화 사업

미국 국립표준기술연구소(The National Institute of Standards and Technology, NIST)는 미 상무 부 소속의 비규제 정부기관으로, 미국 내의 측정 가능한 모든 형태의 표준을 정함과 동시에 IT 분야의 표준화 작업도 진행한다. NIST는 경량암호 알고리즘의 필요성을 인식하여 2015년 7월부터 제한된 환경 에 적합한 경량암호 알고리즘을 공모 및 표준화하는 사업을 진행하고 있다. 특히 이 표준화 사업은 RFID Tag, 센서, IoT 기기들에 사용될 수 있으며, 미래의 홈 자동화, 헬스 케어, 스마트 시티와 같은 곳 에도 사용될 수 있는 알고리즘을 표준화하는데 목표를 둔다. 2018년 8월 발간된 경량암호 제안 알고리 즘 요구 사항 및 평가 기준에 따르면 제출되는 알고리즘들은 관련 데이터로 인증된 암호화 (Authenticated Encryption with Associated Data, AEAD)를 기능적으로 지원해야 하며, 선택적으로 해싱 기능을 지원할 수 있다. 2019년 4월, 1라운드 후보 알고리즘 선정을 시작으로 같은 해 8월에는 32종의 2라운드 후보 알고리즘 선정을 완료했다. 최종적으로 올해 2021년 3월, 안전성(부채널 분석 포 함)과 제한된 환경에서의 효율성을 종합적으로 판단하여 10종의 최종 후보들이 선정되었다. 2022년 봄에 5차 경량암호 워크숍을 개최하고, 그 해 여름에 공모사업의 최종 알고리즘들이 선정될 예정임을 알 수 있다. 현재까지 진행된 NIST 경량암호 공모사업의 일정이 제시되어 있다.




<사진 출처 : www.freepik.com>


 

1, 2라운드 결과 요약

총 23개국의 연구원들이 서로 협업하여 57종의 알고리즘을 제출했고, 2019년 4월에 최종적으로 56 종의 알고리즘이 1라운드 후보로 선정되었다. 1라운드에서는 주로 안전성 관점에서 취약성을 가진 알고 리즘들이 탈락했으며, 그 사유는 주로 위조 공격, 길이 확장 공격, 구별 공격, 공격에 적용 가능한 성질 유무, 문서 요구사항 준비 미흡이 있었다. 이를 통해 총 32종의 알고리즘이 2라운드 후보로 선정되었다. 취약점 별 1라운드 탈락 알고리즘을 정리한 것이다. NIST 경량암호 공모사업 2라운드에 대한 현황 보고서(NISTIR 8369) 최종 후보 선정에 는 크게 세 가지 사항이 고려되었다. 첫 번째는 암호학적 안전성으로, NIST는 이를 평가에 있어서 가장 중요한 조건으로 뽑았다. NIST는 서드파티 암호 분석 또는 잘 설계된 설계 원칙 및 안전성 증명이 포함 된 알고리즘 제출물을 선호했다고 밝혔다. 또한 NIST 자체 내부 분석 외에도 암호학 커뮤니티의 피드백 도 고려 대상에 포함되었다. 두 번째 사항은 후보 알고리즘이 제한된 장치들에서 구현됐을 때 어느 정도 성능을 가질 수 있는지이다. NIST는 다양한 환경을 고려하여 후보들을 평가, 비교하였고, 특히 현재 NIST 표준 알고리즘보다 훨씬 우수한 성능을 가진 후보를 선호했다고 밝혔다. 자체 내부 소프트웨어 벤 치마킹 비교뿐만 아니라 다양한 공개 소프트웨어 및 하드웨어 벤치마킹도 평가에 고려되었다. 세 번째로 는 부채널 분석에 얼마나 저항성을 가졌는지가 평가 조건에 포함되었다. 이를 위해 NIST는 후보들의 제 출물과 관련 문헌들을 종합적으로 고려하였다. 명시적인 요구 사항은 아니었지만 유사한 안전성과 구현 성능을 가진 후보들에 대해서는 nonce 오용 보안, RUP (releasing unverified plaintext) 보안, 양자 후 보안 강도들도 평가 사항에 추가로 고려되었다. 2라운드 후보 알고리즘에 대한 평가 구분 을 시각화한 것이다.

최종 10종 알고리즘들에 대한 안전성 분석 요약

최종 후보 10종을 포함한 전체 2라운드 후보들의 안전성 분석 및 현황이 제시되어있다. 해당 보고서에서 제시하는 분석들은 암호학 커뮤니티의 분석 논문들과 NIST 내부 검토 자료를 기반 으로 한다. 본 장에서는 이 중 10종의 최종 후보들에 대한 간단한 설명 및 현황을 요약하여 소개한다. ASCON은 2014년부터 2019년까지 진행됐던 CAESAR 경진대회에서 우승을 차지한 알고리즘이다. 기존에는 2개의 버전(ASCON-128, ASCON-128a)을 가진 AEAD였으나, NIST 표준화 사업에 참여할 때는 1개의 AEAD ASCON-80q와 2개의 해시 함수(ASCON-Hash, ASCON-Xof)가 추가되었다. 이들은 모두 ASCON 퍼뮤테이션을 기반으로 한다. 3개의 AEAD는 12라운드의 초기화 단계를 가지고 있는데, 이 중 7라운드만 사용할 경우 Cube 공격이 가능하다는 것이 밝혀졌다(Li Y. 외 3인, Science China Information Sciences 2017). 해시 함수도 마찬가지로 초기화 단계인 12라운드 중 2라운드만 사용하 면 Cube 역상 공격이 가능하나, 대수적 역상 공격을 사용하면 6라운드로 더 긴 라운드 공격이 가능하 다(Dobraunig C. 외 3인, Technical Report 2019). ASCON 퍼뮤테이션은 12라운드에 Zero-sum 구 별자가 존재한다(Dobraunig C. 외 3인, CT-RSA 2015). 그 외에도 딥러닝을 사용한 전력 파형 분석과 통계적 오류 주입 공격에 취약하다는 부채널 분석도 밝혀진 바가 있다(Ramezanpour K. 외 4인, NIST Lightweight Cryptography Workshop 2020).

Elephant는 퍼뮤테이션 기반 AEAD 패밀리로, Spongent 기반 Dumbo, Jumbo와 KECCAK 기반 Delirium으로 구성된다. Elephant 설계팀은 Elephant 패밀리가 퍼뮤테이션이 이상적이라는 가정하에서 nonce가 재사용이 불가능할 때(nonce-respecting scenario) privacy와 인증(authenticity)을 제공한다 는 것을 증명했다. 또한, 설계팀은 nonce가 재사용이 가능한 환경(nonce-misuse scenario)에서는 인증 을 제공하지 못한다고 밝혔다. nonce 재사용이 불가능한 시나리오에서 Delirium은 interpolation attack으로 인하여 전체 18라운드 중 8라운드가 공격이 이루어진 바 있다(Zhou H. 외 4인, Cryptology ePrint Archive 2020). Spongent 기반 AEAD Dumbo와 Jumbo는 전체 라운드를 대상으 로 한 선형 구별자가 존재한다(Bogdanov A. 외 5인, IEEE Transactions on Computers 2013). 세 알고리즘 모두 양자 컴퓨팅 관점에서의 키 복구 공격에 대한 안전성 평가도 다뤄졌다(Shi T. 외 4인, Designs, Codes and Cryptography 2021). Elephant 설계팀은 각 블록의 마스킹 키를 생성하는 데 사용되는 모든 블록의 인덱스 쌍을 변경하는 것과 Wegman-Carter-Shoup 스타일 인증자를 사용하여 nonce 재사용 환경에서도 인증을 제공할 수 있게 변경하는 것을 고려하고 있다.



<사진 출처 : www.freepik.com>


 

나가며

본 고에서는 NIST가 2015년부터 진행하고 있는 경량암호 표준화 사업의 진행 상황을 간략히 살펴보 았다. 또한, NIST에서 추구하는 미래 경량암호의 필요조건들 즉, 안전성, 효율성 관점에서 어떠한 것들을 중점적으로 고려하는지 살펴보았다. 마지막으로 최종 후보로 선정된 10종의 알고리즘들에 대해 진행된 안전성 분석을 간략하게 정리해보았다. 최종 후보로 선정된 10종의 알고리즘들의 제작자들은 몇 가지 수정사항을 적용한 새로 운 알고리즘 패키지들을 NIST에 다시 제출할 기회가 주어진다. 여기서 수정 가능한 부분은 라운드 수를 늘리거나 줄이는 것, XOF 혹은 해시 등 새로운 기능을 추가하는 것, 기존 패밀리의 일부를 패키지에서 제거하는 것, 알고리즘 내부 세부 사항을 변경하는 것 등이다. 또한, 각 알고리즘의 장점을 취하기 위한 후보 간 알고리즘 결합은 해당 표준화 사업에서 진행하지 않으며, 표준화 사업 후에 경량 암호 포럼 등을 통해 논의될 수 있다고 밝혔다. 초연결, 초지능의 특성이 4차 산업혁명의 화두가 되고 있다. 이 중 초연결성을 핵심 개념으로 볼 수 있으며, 이는 IoT 기술에 기반을 둔다. IoT 기기의 보안 강도에 대해 많은 지적이 있어 왔으며, 제한된 자원만 이용 가능한 IoT 환경에서의 보안을 보장하기 위해서는 현재 일반 PC나 서버에서의 사용을 목표 로 표준화되어 있는 암호 시스템 전반의 개정이 시급하다고 할 수 있다. 이번 NIST 경량암호 표준화 사 업을 통해 충분히 검증된 알고리즘이 표준화된다면, 광범위한 시장에서 적용 가능할 것이며, IoT 환경 보안에도 큰 기여를 할 것으로 예상된다.

<자료 출처 : 한국인터넷 진흥원 KISA Library 김종성/ 국민대학교 교수>

이 전 다 음
목록