숨은 엘로: 암호화된 레이팅으로 프라이버시 보호 매칭

본 논문은 현대 디지털 서비스에서 매칭 시스템이 개인 데이터와 레이팅 정보를 대규모로 수집·공개함에 따라 발생하는 프라이버시 위험을 지적한다. 특히 Elo와 그 변형(Glicko 등) 같은 전통적인 레이팅 시스템은 사용자에게 실시간 실력 정보를 제공하지만, 서버가 레이팅을 직접 보관·공개함으로써 사용자의 행동 패턴을 추적하거나 선택적 매칭(selective pairing) 공격에 노출될 위험이 있다. 이러한 문제를 해결하고자 저자들은 “Hidden Elo”(H‑Elo)라는 프로토콜을 설계한다. **1. 목표 및 기여** - FHE를 이용해 레이팅을 암호화된 상태로 유지하면서도 정확한 업데이트를 가능하게 함. - 영지식증명을 통해 레이팅 값 자체는 숨기면서도 값이 유효 범위에 있음을 증명. - 포스트‑양자 보안을 제공하는 격자 기반 암호 설계. - 기존 Matchmaking Encryption(ME)과 비교해 신뢰 모델·성능·보안 보장을 종합적으로 분석. **2. 관련 연구** 전통적인 매칭은 공개 레이팅을 전제하거나, ABE·ME·PSI와 같은 기능 암호(FE) 기반 접근을 사용한다. ME는 속성‑정책 매칭을 제공하지만 강력한 신뢰 가정(중앙 권한자)과 제한된 쿼리 수가 문제점으로 지적된다. PSI는 집합 교집합을 보호하지만 매칭에 필요한 실수 연산을 직접 지원하지 않는다. 이러한 한계를 극복하기 위해 저자들은 FHE를 선택한다. **3. 암호학적 기본** - **CKKS‑RNS**: 실수 연산에 최적화된 근사형 HE 스킴으로, 레이팅 업데이트에 필요한 지수·로그 함수를 다항식 근사로 변환해 효율적으로 계산한다. RNS(잔여수 체계) 구현으로 연산 속도와 메모리 효율을 크게 향상시킨다. - **ZKP**: Pedersen 커밋을 이용해 암호화된 레이팅에 대한 범위 증명을 구성하고, Schnorr‑type 회로로 증명 검증을 수행한다. 증명은 클라이언트가 생성하고 서버는 검증만 수행한다. - **키 관리**: 각 사용자는 개인키(sk)와 평가키(evk)를 보유하고, 서버는 공개키(pk)만을 이용해 Eval 연산을 수행한다. **4. 프로토콜 설계** - **등록 단계**: 사용자는 초기 레이팅 R₀을 선택하고 CKKS로 암호화해 서버에 전송한다. 동시에 레이팅이 0~3000 사이임을 ZKP로 증명한다. - **매칭 단계**: 서버는 암호화된 레이팅 집합을 받아, 사용자가 요청한 매칭 범위(예: ±200)와 가장 가까운 상대를 찾기 위해 암호화된 거리 계산을 수행한다. 이때 실제 레이팅 값은 노출되지 않는다. - **업데이트 단계**: 경기 결과 Sᵣₑₐₗ(1/0)와 상대 레이팅을 이용해 기대 승률 Sₑₓₚ을 CKKS 상에서 근사 계산한다. 이후 Elo 공식 R′ = R + K·(Sᵣₑₐₗ−Sₑₓₚ)를 적용해 새로운 암호화 레이팅을 생성한다. 사용자는 업데이트된 암호문을 받아 복호화하고, 동일하게 ZKP를 통해 값의 유효성을 검증한다. **5. 보안 분석** - **프라이버시**: 서버는 암호문만을 보관하므로 레이팅 값 자체를 알 수 없으며, ZKP를 통해 값이 유효 범위에 있음을 증명받는다. - **정직성**: 반‑정직 모델 하에서 사용자는 자신의 입력을 변조할 수 없으며, ZKP가 변조를 탐지한다. - **무결성**: 평가키를 이용한 Eval 연산은 결정론적이며, 복호화 결과가 원본 함수값에 근사한다(오차 ≤ δ). - **포스트‑양자 보안**: CKKS는 격자 기반 LWE 문제에 기반하므로 양자 컴퓨터에 대한 저항성을 가진다. **6. 구현 및 성능 평가** - **실험 환경**: Intel Xeon 2.6 GHz, 64 GB RAM, Microsoft SEAL 4.0 기반 구현. 보안 파라미터 λ=128, 다항식 차수 N=8192 사용. - **벤치마크**: 단일 레이팅 업데이트 평균 120 ms, 매칭 후보 탐색(1000명) 250 ms, ZKP 생성 45 ms, 검증 30 ms. 메모리 사용량 200 MB. - **정확도**: 10 000번 연속 업데이트 후 평문 Elo와 비교했을 때 평균 절대 오차 0.02% 이하, 실시간 게임 환경에서 충분히 정확함을 확인. - **비교**: ME와 비교했을 때 H‑Elo는 (1) 신뢰 가정이 더 약함(중앙 권한자 불필요), (2) 무제한 매칭 가능, (3) 포스트‑양자 보안 제공, (4) 연산 비용이 다소 높지만 현대 서버·클라우드 환경에서 실용적임을 입증. **7. 한계 및 향후 연구** - 현재 레벨드 HE 사용으로 연산 깊이에 제한이 있어 복잡한 매칭 로직(예: 다중 속성 가중치) 구현에 추가 부팅이 필요할 수 있다. - ZKP 비용을 더 경량화하기 위한 배치 증명 및 멀티‑프로버 설계가 필요하다. - 레이팅 외에 신뢰도·불량 행위 기록 등 다차원 프로파일을 암호화된 형태로 처리하는 확장 연구가 제안된다. **8. 결론** H‑Elo는 완전 동형 암호와 영지식증명을 결합해 레이팅 기반 매칭 시스템에서 사용자의 실력 정보를 완전 비공개 상태로 유지하면서도 정확한 매칭·업데이트를 가능하게 한다. 보안·프라이버시·성능 측면에서 기존 솔루션을 능가하며, 포스트‑양자 보안을 제공한다는 점에서 차세대 매칭 서비스에 적용 가능한 실용적인 프레임워크로 평가된다.