물리층 보안을 위한 오류 제어 코딩과 암호의 결합

이 논문은 전통적인 암호 시스템이 물리층을 전제로 오류가 없는 채널을 가정하는 반면, 실제 무선 환경에서는 친밀한 사용자와 도청자 모두 오류가 존재한다는 점에 주목한다. 와이너가 제시한 와이어탭 채널 모델을 채택해, 메인 채널(cm)과 열화된 채널(cw)을 각각 이산 메모리 없는 이진 대칭 채널(BSC)로 모델링한다. 여기서 비트 플립 확률은 각각 pm, pw이며, 보안을 위해 pw > pm을 전제한다. 키스트림 생성기는 M개의 LFSR을 결합한 구조이지만, 분석을 단순화하기 위해 단일 LFSR에 대한 BSC 모델을 사용한다. LFSR 출력 a_n과 실제 키스트림 z_n 사이의 상관 오류 확률을 p1이라 정의하고, 오류 제어 코딩(ECC)을 적용한 후 도청자가 복호화 단계에서 남는 오류 확률을 p2라 한다. 두 오류 과정은 연속적인 BSC로 모델링되어, 최종 관측 비트 y_n이 a_n과 일치할 확률은 p′ = p1 + p2 − 2p1p2 로 표현된다. 논문은 두 가지 빠른 상관 공격, 즉 Meier와 Staffelbach가 제시한 Attack A와 Attack B를 중심으로 분석한다. Attack A는 각 비트가 포함된 체크 식의 만족 횟수를 기반으로 비트별 신뢰도 p* _n을 계산한다. 가장 신뢰도가 높은 k비트를 선택해 선형 연립방정식을 구성하고, 이를 GF(2)에서 LU 분해 등으로 풀어 LFSR의 초기 상태를 복구한다. 그러나 선택된 비트 중 r개가 오류일 경우, 추가적인 조합 탐색이 필요하며, 최악의 경우 탐색 복잡도는 2^{H(r/k)·k} 로 상한을 가진다. p′가 0.5에 가까워지면 r/k≈0.5가 되어 상한은 2^k에 근접, 즉 브루트포스와 동일한 비용이 된다. Attack B는 Gallager의 LDPC 디코딩과 유사한 반복적인 확률 업데이트 방식을 사용한다. 초기 p* _n을 구한 뒤, 임계값 p_thr을 정해 p* _j < p_thr인 비트를 반전한다. 반전 후 다시 p* _n을 재계산하고, 이 과정을 여러 차례 반복한다. 첫 번째 반복에서 충분히 많은 비트가 올바르게 복원되면 전체 복구가 성공한다. 그러나 p′가 커질수록 첫 번째 반복에서 정정 가능한 비트 비율이 감소하고, 알고리즘이 수렴하기 어려워진다. 이론적 분석을 바탕으로 논문은 p2, 즉 ECC 후 남은 오류 확률을 조절함으로써 p′를 0.5에 가깝게 만들 수 있음을 보인다. 시뮬레이션에서는 k = 32, N = 10^6·k 정도의 대규모 관측 데이터에서도 p2 ≥ 0.1이면 Attack A의 기대 복구 횟수가 2^{30} 수준으로 급격히 증가한다. Attack B 역시 첫 번째 반복에서 정정 비트 비율이 0.5에 근접하면, 반복 과정이 거의 무의미해져 실질적인 복구가 불가능해진다. 따라서 물리층 설계 시, 친밀한 사용자에게는 충분한 신뢰성을 보장하면서 도청자에게는 p′≈0.5에 가까운 오류 환경을 강제하는 것이 실질적인 보안 향상을 제공한다는 결론에 도달한다. 이는 전통적인 암호 설계에 물리층 오류를 적극 활용하는 새로운 보안 패러다임을 제시한다.