수학적으로 안전한 암호도 실제 칩 위에서 동작하는 순간 전력과 전자파를 흘린다. 이 미세한 누설을 모아 비밀키를 복원하는 부채널 공격(Side-Channel Attack)의 원리, 반도체 전력분배망(Power Delivery Network)의 누설 경로, 그리고 양자 컴퓨터 시대를 앞둔 산업 응용의 시사점을 정리한다.
AES(Advanced Encryption Standard, 고급 암호 표준), RSA(Rivest-Shamir-Adleman 공개키 암호), ECC(Elliptic Curve Cryptography, 타원곡선 암호) 같은 현대 암호 알고리즘은 수학적으로 매우 견고하다. 전 세계의 모든 컴퓨터를 동원해도 정공법으로는 풀어낼 수 없다는 합의가 있다. 그런데도 실제 칩에 탑재된 암호가 깨진다. 이유는 단순하다. 암호는 종이 위의 수식이 아니라, 트랜지스터를 켜고 끄며 전류를 흘려야만 동작하는 물리적 기계의 형태로 구현되기 때문이다.
키비트 1을 처리할 때와 0을 처리할 때, 회로가 끌어가는 전력은 같지 않다. 회로가 데이터를 메모리에 쓸 때와 곱셈을 수행할 때, 흘러나오는 전자파의 패턴도 같지 않다. 이 작은 차이를 수집하고 통계적으로 분석하면, 칩 내부에서 동작하는 비밀키를 복원할 수 있다. 이것이 부채널 공격(Side-Channel Attack)의 기본 원리다.
은행 금고 자체는 절대 뚫리지 않는다고 하자. 그러나 금고지기가 다이얼을 돌릴 때 나는 미세한 클릭 소리, 다이얼을 돌리는 손목의 떨림, 다이얼이 정답 위치에 맞춰질 때 손가락이 멈추는 시간을 모두 녹음해 분석하면, 금고를 부수지 않고도 비밀번호를 알아낼 수 있다.
부채널 공격은 정확히 이와 같다. 암호 알고리즘이라는 "금고"는 그대로 두고, 금고가 동작할 때 새어 나오는 소리(전자파), 진동(전력 변화), 시간(연산 길이)을 듣는다.
부채널 공격의 개념은 새로운 것이 아니다. 1996년 Paul Kocher가 RSA의 타이밍 공격을 발표하며 학계에 처음 등장했고, 1999년 같은 저자가 DPA(Differential Power Analysis, 차분 전력 분석)를 제안하면서 산업적 관심을 받기 시작했다. 한국에서도 금융 IC카드와 보안칩 산업에 반영된 지 15년이 넘었다. 그동안 공격 기법은 단순한 전력 측정에서 전자파 분석, 그리고 최근의 딥러닝 기반 분석까지 빠르게 진화해왔다.
부채널 공격은 크게 두 축으로 나뉜다. 하나는 공격자가 디바이스와 어떻게 상호작용하는가이고, 다른 하나는 어떤 물리적 신호를 활용하는가이다.
| 구분 | 설명 | 대표 기법 |
|---|---|---|
| 수동 공격 (비침입형) |
디바이스가 정상 동작하는 동안 새어 나오는 신호를 가만히 측정한다. 디바이스에는 어떠한 흔적도 남지 않는다. | SPA, DPA, SEMA, CEMA |
| 능동 공격 (준침입형) |
디바이스에 의도적으로 외부 자극을 가해 오동작을 유발하고, 그 결과를 단서로 비밀키를 회복한다. 디바이스는 살아 있어야 한다. | EMFI, 전압 글리치, 클락 글리치, 레이저 주입 |
여기서 능동 공격을 군사용 EMP(Electromagnetic Pulse, 전자기 펄스) 공격과 혼동하지 말아야 한다. EMP는 표적 장비를 완전히 파괴하는 것이 목적이지만, 부채널 공격에서의 능동 기법은 정반대다. 디바이스는 반드시 살아 있어야 하고, 그 안의 비밀 정보 또한 손상되지 않아야 한다. 공격자가 원하는 것은 디바이스가 살아 있는 채로, 단 한 비트만 잘못 계산하는 것이다.
부채널 공격에서 활용 가능한 물리 신호는 다양하다. 디바이스가 동작할 때 소모하는 전력, 방사되는 전자파, 연산에 걸리는 시간, 심지어 칩에서 발생하는 열이나 음향까지 포함된다. 이 보고서에서는 그중에서도 최근 가장 활발히 연구되는 전자파 기반 공격을 중심으로 다룬다.
전자파 기반 분석은 전력 기반 분석에 비해 다음과 같은 장점이 있다.
능동 공격의 한 줄기인 EMFI(Electromagnetic Fault Injection, 전자파 오류 주입)은 표적 칩 위에 작은 EM 프로브를 두고 특정 순간에 전자파 펄스를 쏘아 회로의 동작을 비틀어버리는 기법이다. 칩은 살아 있지만, 그 순간 단 한 줄의 명령이 잘못 수행된다.
전자파나 그 외의 자극으로 회로에 오류를 주입했을 때, 회로 내부에서 발생하는 효과는 결국 세 가지로 압축된다.
레지스터나 메모리에 저장된 값의 특정 비트가 의도와 다르게 바뀐다. 예를 들어 인증 결과 플래그가 FALSE에서 TRUE로 뒤집힐 수 있다.
CPU가 해석하는 기계어 명령 자체가 다른 명령으로 바뀐다. 곱셈 명령이 NOP(No Operation)으로 바뀔 수도 있고, 분기 조건이 반대로 뒤집힐 수도 있다.
프로그램 카운터가 한 칸 앞으로 점프해, 실행되어야 할 명령 자체가 누락된다. 비교 명령이 통째로 건너뛰어지는 일이 가능하다.
오늘날 시장에 나와 있는 거의 모든 일반 마이크로컨트롤러는 정도의 차이는 있을지언정 이 세 가지 효과 중 하나 이상에 반응한다. 보안 인증을 받은 보안 칩(secure element)이 아니라면, 전자파 펄스에 어느 정도 취약하다고 보아야 한다.
오류 주입에 활용되는 외부 자극은 전자파만이 아니다. 부채널 분석에서 자주 사용되는 오류 주입 방식은 다음과 같다.
전자파 방식은 정밀도에서 레이저에 밀리지만, "칩 패키지를 그대로 둔 채 공격할 수 있다"는 결정적 운영상의 이점이 있다.
오류 주입을 가장 손쉽게 활용할 수 있는 영역이 인증 시스템 우회다. 지문, 얼굴, 비밀번호 등 어떤 인증 방식이든 내부 로직은 거의 같다.
SUCCESS, 일치하지 않으면 FAIL 플래그를 설정한다.여기서 공격자가 노릴 수 있는 지점은 두 곳이다. 첫째, 3번 단계의 플래그 값을 데이터 변조로 뒤집어버리면 잘못된 인증 정보로도 통과한다. 둘째, 더 흔한 시나리오로 2번의 비교 명령 자체를 건너뛰게 만들면 어떤 입력이 들어와도 비교가 일어나지 않고 곧장 SUCCESS 경로로 흘러간다. 실제 보안 연구자들이 아두이노에 지문 인식 모듈을 연결한 시험판으로, 등록되지 않은 사람의 지문을 가지고도 정상 사용자의 인증을 계속 통과시키는 데모를 어렵지 않게 재현한다.
인증 우회보다 본격적이고 암호학적으로 흥미로운 응용은 DFA(Differential Fault Analysis, 차분 오류 분석)이다. 대칭키 암호 AES를 예로 들면, 암호화의 특정 라운드 중간에 한 비트의 오류를 주입하면, 그 오류가 이후 라운드를 거치며 출력 전체에 퍼져나가는 패턴을 만든다(오류 전파 현상).
공격자는 정상적인 암호문과 오류가 들어간 암호문을 한 쌍씩 여러 번 모은다. 두 암호문의 차이는 수학적으로 정리하면 마지막 라운드 키의 일부에 대한 강력한 제약 조건이 된다. 충분한 수의 오류 쌍을 모으면 전체 키 후보 공간을 매우 작게 좁힐 수 있고, 결국 비밀키를 복원한다.
AES 같은 대칭키 암호는 알고리즘 자체로는 DFA에 대한 내성을 가지지 않는다. DFA 내성은 알고리즘이 아니라 구현이 책임진다. 보안 칩 설계 단계에서 DFA 대응 회로(예: 중복 연산, 결과 검증)를 내재하지 않으면, 알고리즘이 아무리 표준에 부합해도 그 칩은 부채널 공격에 노출된다.
수동 공격은 디바이스를 건드리지 않는다. 칩이 비밀키를 사용해 정상 동작하는 동안 그 위로 새어 나오는 미세 전자파를 측정하는 것이 전부다. 이 측정된 신호에서 비밀키를 어떻게 끄집어내는지가 분석 기법에 따라 달라진다.
SEMA(Simple Electromagnetic Analysis, 단순 전자파 분석)은 이론상 단 한 번의 암호 연산만 관찰하면 비밀키를 회복할 수 있다. 단 모든 암호에 적용되는 것은 아니고, RSA처럼 키의 각 비트가 연산 흐름을 크게 다르게 만드는 비대칭키 암호가 주 표적이다.
RSA의 복호 연산은 비밀키의 비트를 하나씩 따라가며 "키비트가 1이면 곱셈과 제곱을 둘 다 수행, 0이면 제곱만 수행"하는 패턴으로 진행된다. 이 두 연산은 회로가 끌어가는 전력량과 방사 전자파의 패턴이 명확히 다르다. 따라서 한 번의 RSA 복호 과정 동안 전자파 신호를 충분히 깨끗하게 수집할 수 있다면, 신호 파형에 새겨진 "곱셈-제곱-제곱-곱셈..." 패턴을 그대로 비트열로 옮길 수 있다. 그것이 곧 비밀키다.
피아니스트가 어두운 방에서 비밀 멜로디를 친다고 하자. 듣는 사람은 건반을 볼 수 없지만, 피아노 옆에 마이크를 두면 도-미-솔-도-라-도... 음표 하나하나를 그대로 받아쓸 수 있다. SEMA는 정확히 이렇게 동작한다. RSA의 곱셈과 제곱은 서로 다른 "음표"를 내고, 전자파 프로브는 그 음표를 받아쓰는 마이크다.
실험실 수준에서는 스마트폰 뒷면에 EM 프로브를 대고, 안정적인 측정을 위해 별도의 파워 서플라이로 보조 전원을 공급하며, 신호 컨디셔닝을 위해 아날로그 리시버를 거치는 정도의 구성으로 RSA 키를 실시간에 가깝게 추출하는 데모가 수년 전부터 가능하다. 다만 일반적으로 사용되는 수천 비트 키 전체를 1초 안에 회복하는 수준까지 도달하려면 신호 처리에 상당한 추가 공정이 필요하다.
AES 같은 대칭키 암호는 SEMA로 풀리지 않는다. 어떤 키비트가 1이든 0이든, 회로는 거의 동일한 연산 패턴(라운드별 SubBytes, ShiftRows, MixColumns, AddRoundKey)을 반복하기 때문이다. 신호 파형을 한 번 본 것만으로는 키를 알 수 없다.
이때 동원되는 것이 CEMA(Correlation Electromagnetic Analysis, 상관 전자파 분석)이다. 핵심 아이디어는 다음과 같다.
AES-128의 경우 한 라운드 키 16바이트를 한 바이트씩 분리해 공격한다. 한 바이트는 8비트, 즉 256가지 후보뿐이므로 16번 반복하면 전체 키가 나온다. 이 분할-정복(divide and conquer) 구조 덕분에 공격이 현실적인 시간 안에 끝난다.
같은 자물쇠를 수만 번 열어보며, 매번 누군가가 다이얼을 돌리는 손가락의 떨림을 녹음한다. 손가락의 떨림 자체는 노이즈에 가깝지만, "정답이 7번이라면 다이얼이 7 위치에서 약 0.1초 동안 머문다"는 사전 지식이 있다면, 수만 번의 녹음을 통계 처리해 "7"이라는 답을 노이즈 속에서 끄집어낼 수 있다. CEMA는 이런 통계적 일치 패턴 탐색이다.
최근 5~6년간 부채널 분석에 가장 큰 변화를 가져온 것은 딥러닝 기반 프로파일링 분석이다. 학습이 가능한 동일 모델의 디바이스를 미리 확보해 충분한 양의 라벨링된 전자파 신호를 모을 수 있는 상황이라면, 신경망은 기존의 CEMA가 요구하는 신호량의 1/10 이하만으로도 키를 복원할 수 있는 경우가 늘고 있다.
특히 전자파 신호는 측정에 사용한 프로브의 종류, 칩과의 거리, 주변 차폐 환경에 따라 신호 특성이 크게 달라진다. 같은 칩, 같은 알고리즘, 같은 키에 대해서도 측정 환경이 바뀌면 모델 일반화가 잘 되지 않는다. 따라서 전자파 기반 딥러닝 공격에서는 사전 신호처리(필터링, 정렬, 차원 축소)가 공격 성공률을 좌우하는 핵심 변수가 된다.
지금까지 다룬 분석 기법이 "어떻게 신호를 활용하는가"의 문제였다면, 이번 장은 "그 신호가 어디에서 새어 나오는가"의 문제다. 결론부터 말하면 핵심 누설 경로는 칩 표면이 아니라 PDN(Power Delivery Network, 전력분배망)이다.
전력분배망은 배터리 또는 전압 레귤레이터에서 시작해 PCB(Printed Circuit Board, 인쇄 회로 기판)의 파워/그라운드 플레인, 패키지의 와이어 본딩과 비아(via), 그리고 온칩의 미세 인터커넥션까지, 회로에 전원을 공급하는 모든 전도 경로의 총합이다. 반도체 시스템 설계 관점에서 보면, 이는 단순한 와이어가 아니라 임피던스, 인덕턴스, 캐패시턴스가 분포된 복잡한 분산 회로다.
일반 EMC(Electromagnetic Compatibility, 전자파 적합성) 분야의 설계 목표는 PDN에서 발생하는 잡음과 전압 변동을 일정 기준 이하로 줄이는 것이다. 인증 기준을 통과하면 제품을 출하한다. 그 이상의 잔여 누설은 "설계 마진 안에 있는 것"으로 간주되어 무시된다.
그러나 보안 관점에서는 이 잔여 누설을 무시할 수 없다. 일반 EMC는 기준치만 통과하면 끝이지만, 보안 EMC에서는 아무리 작은 전자파라도 충분히 증폭하면 정보를 담은 신호로 해석된다. 증폭기는 그리 비싸지 않고, 측정 시간을 늘리면 잡음 속에서도 신호가 통계적으로 드러난다.
일반 EMC: "잡음이 −40 dB 이하면 안전하다." → 설계 완료, 출하.
보안 EMC: "이 −40 dB 잡음에 비밀키 정보가 담겨 있는가?" → 추가 해석 필요. 정보가 담겼다면 −60 dB까지 더 줄이거나 차폐가 필요하다.
반도체 설계 업계의 통념은 "칩이 가장 비싸고 가장 민감하니, 칩을 보호하는 데 가장 많이 투자한다"이다. 보안 칩에는 비싼 차폐(shielding) 층을 입히고, 침투 감지 센서를 박고, 알고리즘 레벨의 대응 기법을 구현한다. 패키지 단계에서도 추가 차폐가 들어간다. 반면 PCB는 거의 무방비 상태로 노출된다.
그런데 보안 회로의 동작 주파수는 일반적으로 매우 낮다. 빨라야 수십~수백 MHz, 보통은 100 MHz 이하인 경우가 많고, 임베디드 보안 칩이라면 수 MHz 단위도 흔하다. 이런 저주파 대역에서는 칩, 패키지, PCB의 전류 분포가 거의 동일하게 나타난다. 즉, 칩 위에서 측정한 전자파 신호와 PCB의 디커플링 캐패시터(decoupling capacitor) 위에서 측정한 전자파 신호가 거의 같은 정보를 담는다.
보안 회의실의 문은 두께 50cm 강철이고 도청 방지 처리가 되어 있다. 그런데 회의실 바로 옆 복도의 환기구는 일반 알루미늄 격자다. 회의에서 오가는 대화의 저주파 성분(낮은 톤의 목소리)은 환기구를 통해 거의 그대로 새어 나온다. 회의실 문을 아무리 비싸게 강화해도 환기구를 막지 않으면 도청은 막을 수 없다.
여기서 회의실 문은 칩 차폐, 환기구는 PCB의 디커플링 캐패시터다. 보안 칩에 수백 만원을 들이고도 PCB의 캐패시터 한 개에서 모든 비밀이 새어 나간다는 것이 이 연구의 핵심 메시지다.
측정된 전자파 신호를 분석할 때 시간 영역(time domain)에서 볼 것인가, 주파수 영역(frequency domain)에서 볼 것인가는 또 다른 설계 선택이다. 보안 분석 실험에서는 주파수 영역이 더 유리한 경향이 보고된다. 트리거 노이즈, 외부 환경 노이즈, 다른 회로의 동작에 의한 간섭 등이 시간 영역에서는 신호 전체에 섞이지만, 주파수 영역에서는 특정 대역으로 국한되어 깔끔하게 분리되기 때문이다.
또한 측정 전에 표적 동작 주파수 대역을 좁혀주는 사전 필터를 한 단계 거치면, 다른 회로의 자금이 들어오더라도 해석이 깔끔해진다. 이 필터링 + 주파수 해석 파이프라인이 최근 PCB 부채널 누설 분석 연구의 표준 방식이 되어가고 있다.
다양한 시험판에서의 측정 결과는 일관된 패턴을 보인다.
PCB 단계의 누설을 막기 위한 기술적 접근으로 최근 주목받는 것이 인쇄형 차폐(printed shielding)다. 잉크젯 프린팅을 이용해 PCB 위에 유전체층을 먼저 깔고, 그 위에 은(Ag) 기반 전도성 잉크를 인쇄해 차폐막을 형성하는 방식이다. 원래는 LTE(Long-Term Evolution) 단말 등 통신 시스템에서 RF 잡음 차폐 용도로 개발된 소재였는데, 보안용 PCB 차폐에 응용하면 일반적인 금속 차폐보다 훨씬 얇고 가벼우며, PCB의 일부분만 선택적으로 차폐하는 것도 한 번의 공정으로 가능하다는 장점이 있다.
전력분배망 위에 EM 펄스를 가했을 때 일어나는 또 하나의 흥미로운 현상은 난수 생성기(Random Number Generator)의 무력화다.
난수는 암호 시스템의 모든 단계에 등장한다. 세션 키 생성, 일회용 패스워드(One-Time Password), 챌린지-리스폰스 인증, 디지털 서명에서의 임시값(nonce)까지, 진짜로 예측 불가능한 난수가 필요한 자리는 셀 수 없이 많다. 만약 난수가 예측 가능해진다면, 이를 토대로 만들어진 모든 키와 서명이 한꺼번에 무너진다.
실제 칩에서 자주 채택되는 진난수 생성기(TRNG, True Random Number Generator)의 한 형태가 링 오실레이터(Ring Oscillator) 기반 구조다. 홀수 개의 인버터를 체인 형태로 연결하면 회로 자체가 자발적으로 진동하는데, 이 진동 주파수는 트랜지스터의 열 잡음, 공정 변동, 전원 잡음 등 본질적으로 예측 불가능한 물리 요인으로 미세하게 흔들린다. 이 흔들림(jitter)을 모아 엔트로피로 사용하면 진짜 난수를 만들 수 있다.
고속 디지털 시스템 설계에서는 잡음을 줄이는 것이 목표지만, 링 오실레이터 기반 TRNG는 정반대로 잡음이 많을수록 좋다. 잡음이 곧 엔트로피이기 때문이다.
그런데 링 오실레이터의 전원선(전력분배망)에 특정 주파수의 EM 펄스를 가하면, 오실레이터의 발진 주파수가 외부 주파수에 끌려가 동기화되는 주입 락킹(injection locking) 현상이 발생한다. 락킹이 일어나는 순간 발진 신호는 더 이상 무작위 흔들림을 가지지 않게 되고, TRNG의 출력은 무작위가 아니게 된다.
주입 락킹은 오실레이터의 발진 주파수 자체(1배)뿐 아니라, 그 정수배(n배)나 분수배(1/n)에서도 일어난다. 시뮬레이션과 실측 모두에서 확인된 현상이다.
이 상태에서 NIST가 정한 난수 품질 시험인 SP 800-22(통계적 난수 시험 모음)이나 SP 800-90B(엔트로피 추정) 같은 표준 시험을 통과시켜보면, 정상 상태에서는 통과하던 시험이 락킹 상태에서는 줄줄이 실패한다. 즉 공격자는 칩을 망가뜨리지 않고 EM 펄스 하나로 칩의 난수 품질을 무력화시킬 수 있다.
난수 생성기를 설계할 때는 발진 주파수의 정수배/분수배 대역에서 의도적으로 락킹 내성을 확보하거나, 락킹 발생을 실시간 감지하는 헬스 체크(health check) 회로를 함께 두어야 한다. 단순히 "엔트로피 충분"이라는 설계 기준만으로는 EM 공격에 대비할 수 없다.
자동차는 부채널 공격이 가장 민감하게 적용될 분야 중 하나다. 자동차에 들어가는 ECU(Electronic Control Unit, 전자 제어 장치), 인포테인먼트 시스템, V2X(Vehicle-to-Everything) 통신 모듈 모두 암호 알고리즘을 내장하고 있다. 일반적으로 AES, ECDSA(Elliptic Curve Digital Signature Algorithm, 타원곡선 디지털 서명)가 사용된다.
문제는 자동차의 사용 수명이 매우 길다는 점이다. 한국 폐차 관련 통계에서는 자동차 평균 사용 연수가 15년 이상으로 보고되고, 점차 증가하는 추세에 있다. 즉 오늘 만들어 출고되는 자동차는 2040년대에도 도로 위에 있을 가능성이 크다. 그 시점에 양자 컴퓨터가 현실화되어 있다면, 오늘의 자동차에 탑재된 RSA/ECC 기반 인증 시스템은 그대로 깨진다.
자동차 보안에서 부채널 공격이 실현 가능한 위협으로 자주 거론되는 시나리오들은 다음과 같다.
최근 부채널 분석 커뮤니티에서 가장 활발하게 다뤄지는 표적 중 하나가 드론이다. 사이버전과 군사 분야에서 드론의 중요성이 급격히 커지고, 민간 시장에서도 DJI(중국 드론 제조사) 같은 업체의 고급형 모델들은 펌웨어부터 제어 신호까지 모두 암호화 처리를 한다.
드론 보안에서 부채널 분석이 의미를 가지는 시나리오는 제3자가 드론을 탈취했을 때다. 드론이 추락하거나 적대 세력에 포획되었을 때, 그 내부의 운항 기록, 정찰 데이터, 통신 키가 그대로 새어 나가는 것을 막아야 한다. 동시에 분석 측 입장에서는 노획한 적대 드론에서 정보를 추출해야 할 수도 있다.
현재 드론의 암호 알고리즘 자체는 수학적으로 안전한 수준이다. 즉 정공법 분석으로는 회복이 불가능하다. 따라서 가능한 회복 경로는 부채널 분석뿐이다. 국제 보안 평가 기관인 IOActive에서 발간하는 드론 보안 분석 백서들은 EMFI를 활용한 펌웨어 업데이트 시점 키 추출 시도 등 다양한 부채널 공격 시나리오를 다룬다. 현재까지 완전한 키 회복 성공 사례가 공개된 것은 아니지만, 중간 단계의 결과 보고는 꾸준히 누적되고 있다.
한 보안 통계에서는 사물인터넷 디바이스의 약 70%가 일정 수준 이상의 보안 취약점에 노출되어 있다고 추정한다. 웹 인터페이스의 취약점, 빈약한 인증, 권한 분리 미흡 같은 통상적 소프트웨어 취약점이 대부분이지만, 그 위에 부채널 공격까지 적용 가능한 환경이 점점 늘고 있다.
2021년 한국에서 사회적 이슈가 된 아파트 월패드 해킹은 그 자체로는 부채널 공격이 아니라 통신 프로토콜과 펌웨어 수준의 취약점이 원인이었다. 그러나 이 사건이 드러낸 더 본질적인 문제는 "한 번 설치된 IoT 장비는 사후에 회수해 보안 패치를 적용하기가 매우 어렵다"는 점이다. 아파트 단지 전체에 설치된 월패드를 한꺼번에 교체하는 일은 현실적으로 불가능에 가깝다. 따라서 출고 시점에 보안이 "내재화(security by design)"되지 않은 IoT 디바이스는, 일단 설치되면 사실상 영구적인 취약 자산이 된다.
현실에서 발생한 해킹 사례들을 들여다보면, 실패의 원인은 거의 항상 다음 세 가지 중 하나로 분류된다. 안전한 암호는 이 세 가지가 모두 만족될 때에만 안전하다.
가장 기본적인 조건이지만 의외로 깨지는 경우가 있다. 2015년 한 공중파 뉴스에서 보도된 공공기관 출입 통제 시스템의 신분증 복제 사례가 대표적이다. 조사 결과 사용된 카드의 칩에는 "암호 알고리즘이 탑재되어 있다"고 명시되어 있었지만, 실제로 사용된 것은 표준화되지 않은 비공개 자체 개발 암호였다. 이 비공개 암호는 분석 결과 1~2분 만에 복제 가능한 수준의 취약성을 가지고 있었다.
여기서 얻을 수 있는 교훈은 분명하다. 표준화되지 않은 자체 개발 암호는 위험하다. AES, RSA, ECC 같은 표준 암호는 전 세계의 암호학자가 수십 년에 걸쳐 검증해온 결과물이고, 그 안전성은 공개적 검증의 산물이다. 자체 개발 비공개 암호는 외부 검증을 받지 않은 만큼, 보안성은 검증되지 않은 채로 남는다.
알고리즘이 표준이라도 프로토콜이 허술하면 무의미하다. 무선 키보드와 마우스 해킹 사례가 대표적이다. 시중의 무선 입력 장치는 페어링 통신을 AES 같은 표준 암호로 보호한다. 그러나 일부 모델에서는 프로토콜 설계의 허점, 예컨대 페어링 초기 키 교환 단계의 검증 부족이나 재전송 공격(replay attack) 방지 부재로 인해, 도구를 가진 공격자가 USB 리시버에 임의의 메시지를 주입할 수 있는 취약점이 존재했다. 이 공격은 암호 자체를 깨는 것이 아니라 암호가 보호하지 못하는 영역을 우회한다.
알고리즘과 프로토콜이 모두 안전해도, 그것이 동작하는 물리적 디바이스에서 정보가 새면 끝이다. 부채널 공격은 정확히 이 세 번째 조건을 공격한다.
여기에 한 가지 더 특이한 사례인 TEMPEST 공격이 있다. TEMPEST는 미국 정부가 사용해온 코드네임으로, 전자기 방사를 통한 정보 유출 일반을 가리킨다. 가장 유명한 시나리오가 모니터 화면 재현이다. 표적 PC의 모니터가 방사하는 전자파 신호를 멀리서 수집하면, 그 신호로부터 화면에 표시되었던 글자나 이미지를 재구성할 수 있다.
TEMPEST가 충격적인 이유는, 이 공격이 일어나는 시점이 암호화 이전이라는 것이다. 사용자가 키보드로 비밀번호를 입력하면, 그 비밀번호는 일단 화면에 표시(혹은 별표로라도 처리)된 뒤에 메모리로 들어가 암호 처리된다. 화면 단계에서 정보가 새어 나가면, 그 이후의 모든 암호 처리는 무의미하다. "원본은 이미 적이 보았다"는 상태가 되기 때문이다.
현실의 모든 암호 시스템 실패는 거의 예외 없이 다음 셋 중 하나로 귀결된다.
1. 취약한 암호 알고리즘 사용
2. 안전한 알고리즘 + 취약한 프로토콜
3. 안전한 알고리즘 + 안전한 프로토콜 + 부채널/사전 누설
이 셋 중 어느 하나라도 깨지면 시스템 전체가 무너진다. 보안 설계에서 가장 흔히 간과되는 것이 3번이다.
부채널 공격에 대한 산업적 대응은 한국과 해외에서 모두 인증 제도의 형태로 자리잡았다.
한국에서 부채널 공격 대응이 본격적으로 산업화된 계기는 2008년 10월 국회 국정감사에서 제기된 금융 IC카드 복제 가능성 이슈였다. 이를 계기로 2009년 금융결제원이 금융 IC카드의 안전성 평가 및 검증 시행 기관으로 지정되었고, 이후 시중 은행에서 발급하는 IC카드는 부채널 분석 안전성 평가를 통과한 제품만 사용할 수 있게 됐다.
해외에서는 카드 결제 분야에 EMVCo(Europay, MasterCard, Visa가 공동 설립한 결제 표준 기관)의 인증이 광범위하게 적용된다. 지갑 속 카드에 비자, 마스터 로고가 찍혀 있다면, 그 카드는 EMVCo 인증을 통과한 것이다. 이 인증에는 암호 알고리즘과 프로토콜의 정합성뿐 아니라 부채널 공격을 포함한 물리적 안전성 평가가 포함된다. 실제 평가 수행은 영국, 독일, 프랑스, 네덜란드 등 유럽의 주요 보안 평가 기관들이 담당한다.
금융 카드 외에도 전자 여권, 공무원증, 일부 군용 식별 시스템 등 고보증(high assurance)을 요구하는 영역에서는 부채널 안전성 평가가 사실상 필수가 되어가고 있다.
부채널 안전성을 확보한 보안 칩의 라이선스 IP는 결코 저렴하지 않다. 국내 스마트카드 솔루션 분야에서는 부채널 대응 IP 도입에 수십억 원 단위 비용이 발생한 사례가 보고되고, 대규모 제품에 적용되는 글로벌 기업의 경우 연간 수백억 원 단위 라이선스 비용을 지불하는 경우도 있다고 알려져 있다. 즉 "정말 안전한" 보안 칩을 만드는 일은 단순한 기술 문제가 아니라 상당한 비용 문제이기도 하다.
부채널 공격이 이미 현실적인 위협으로 자리잡은 가운데, 한 단계 더 큰 변화가 다가오고 있다. 양자 컴퓨터다.
실용 수준의 양자 컴퓨터가 등장하면 다음과 같은 일이 일어난다.
양자 컴퓨터가 아직 실용화되지 않았다고 해서 안심할 수 없다. Harvest Now, Decrypt Later라 불리는 전략은 오늘의 암호화된 통신을 모두 저장해두었다가, 양자 컴퓨터가 등장하는 시점에 일괄 복호화하는 시나리오를 가리킨다. 오늘 보호되어야 하는 정보가 10~20년 뒤에도 보호되어야 한다면, 지금부터 양자 내성 암호로 전환해야 한다.
미국 NIST(National Institute of Standards and Technology, 국립표준기술연구소)는 2016년부터 양자 내성 암호(PQC, Post-Quantum Cryptography) 공모를 시작했다. 2022년 7월 4개의 알고리즘을 1차 표준 후보로 선정했고, 2024년 8월 13일 다음 세 가지 표준이 공식 발효됐다.
| 표준 번호 | 이름 | 기반 알고리즘 | 용도 |
|---|---|---|---|
| FIPS 203 | ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) | CRYSTALS-Kyber | 키 교환 (RSA/ECDH 대체) |
| FIPS 204 | ML-DSA (Module-Lattice-Based Digital Signature Algorithm) | CRYSTALS-Dilithium | 전자 서명 |
| FIPS 205 | SLH-DSA (Stateless Hash-Based Digital Signature Algorithm) | SPHINCS+ | 전자 서명 (해시 기반) |
이외에 FALCON 기반의 FIPS 206이 후속으로 준비 중이며, 2025년 3월에는 HQC가 추가 표준 후보로 선정되었다. 미국 NSA의 CNSA 2.0(Commercial National Security Algorithm Suite 2.0) 지침은 2030년까지 PQC로의 완전 전환을 명시한다.
여기서 반드시 짚고 넘어가야 할 점이 있다. 양자 내성 암호로 옮긴다고 부채널 공격이 사라지지 않는다. PQC도 결국 디지털 컴퓨터, 즉 트랜지스터로 만들어진 회로 위에서 동작한다. 회로가 동작하면 전력을 끌고 전자파를 방사한다. 따라서 양자 내성 알고리즘에 대해서도 부채널 공격 연구가 활발하게 이루어지고 있고, 실제로 격자(lattice) 기반 PQC 알고리즘의 다항식 곱셈 단계에서 비밀키가 새어 나갈 수 있음을 보이는 연구들이 다수 발표되어 있다.
결국 미래 보안 시스템에 요구되는 안전성은 두 축으로 나뉜다.
① 양자 내성(Quantum Resistance): 양자 컴퓨터의 등장에도 수학적 안전성을 유지하는가? → PQC로 해결.
② 부채널 내성(SCA-Safe): 물리적 구현 단계에서 새어 나오는 정보를 통한 키 회복을 막을 수 있는가? → 회로 수준의 대응 기법으로 해결.
이 둘은 독립적이다. 한 쪽을 만족해도 다른 쪽에서 깨지면 시스템 전체가 무너진다. SCA-Safe PQC가 차세대 보안 칩의 새로운 설계 기준선이 되어가고 있는 이유다.
이 이중 안전성 논의는 실무에서 곧장 현실적인 선택 문제로 이어진다. 가장 자주 거론되는 것이 자동차용 마이크로컨트롤러의 AES 키 길이 선택이다.
현재 한국 국가 권장 암호 비도는 약 112비트 수준이며, AES-128은 이 기준에서 충분한 안전성을 제공한다. 그러나 양자 컴퓨터 환경에서는 Grover 알고리즘으로 인해 AES-128의 실효 강도가 64비트로 절반화되므로, 동일한 안전성을 유지하려면 AES-256으로 확장해야 한다.
문제는 자동차 ECU에 탑재되는 마이크로컨트롤러의 성능이 일반적으로 낮다는 점이다. AES-128과 AES-256의 연산 부담 차이는 무시할 수 없는 수준이고, 더 비싼 칩으로 갈아타거나 새로운 ASIC(Application-Specific Integrated Circuit, 주문형 반도체)을 발주해야 하는 경제적 결정으로 이어진다.
오늘 출고되는 자동차의 평균 폐차 연수가 약 15년이라고 가정하면, 2026년에 만든 자동차는 2041년까지 도로 위에 있다. 양자 컴퓨터의 실용화 시점에 대한 보수적 추정은 2030년대다. 즉 지금 출고되는 자동차는 그 수명 안에 양자 컴퓨터 위협을 만나게 될 가능성이 높다. AES-128은 그 시점에 안전을 보장하지 못한다.
특히 자동차 ECU의 보안 IC에 들어가 있는 암호 회로는 펌웨어 업데이트로 교체할 수 없는 하드웨어 IP인 경우가 많다. 한 번 굳어진 키 길이는 그 칩이 폐기될 때까지 따라간다.
각국 정부는 PQC로의 마이그레이션 일정을 공식화하고 있다. 미국은 CNSA 2.0 지침을 통해 소프트웨어/펌웨어 서명은 즉시 전환을 권고하고, 전체 PQC 전환을 2030년으로 못박았다. 한국 정부도 PQC 마이그레이션 로드맵 수립을 위한 국가 단위 어젠다를 발표한 바 있으며, 양자 컴퓨터 이후 국가 주요 기간 시스템의 암호 전환 전략을 마련하고 있다.
이 보고서가 다룬 내용을 한 흐름으로 정리하면 다음과 같다.
부채널 공격은 더 이상 학계의 이론적 호기심이 아니다. 산업 인증 제도, 자동차 보안 프레임워크, 국가 PQC 마이그레이션 계획에 이미 깊숙이 들어와 있다. 다음 세대의 보안 시스템은 "수학적으로 안전한 암호"가 아니라 "수학적으로도, 물리적으로도, 양자적으로도 안전한 암호"를 요구한다. 그 요구에 답하기 위한 연구가 반도체, 전자파, 암호 공학의 경계에서 빠르게 진행되고 있다.