이 문서의 과거 버전 (r1)을 보고 있습니다. 수정일: 2026.02.24 23:06
블록 암호는 기밀성이 필요한 정보를 정해진 길이의 블록 단위로 처리하는 대칭키 암호 시스템이다. 스트림 암호가 비트나 바이트 스트림을 연속적으로 암호화하는 것과 달리, 블록 암호는 고정된 크기의 데이터 덩어리를 한 번에 암호화한다는 특징이 있다. 암호화하려는 정보의 길이가 하나의 블록보다 길 경우, ECB, CBC, OFB, CFB, CTR과 같은 다양한 블록 암호 운용 방식을 적용하여 연쇄적으로 처리한다.
주요 구조는 파이스텔 구조와 대입-치환 네트워크(SPN) 구조로 대별된다. 파이스텔 구조는 DES와 같은 고전 암호에서 사용되었으며, 암호화와 복호화 과정이 유사하게 구성되는 장점이 있다. 반면, SPN 구조는 AES와 같은 현대 암호에서 선호되며, 병렬 처리가 용이하고 높은 확산과 혼돈 성질을 제공한다.
블록 암호의 안전성을 분석하는 대표적인 암호 해독 방법으로는 차분 공격과 선형 공격이 있다. 차분 공격은 선택 평문 공격에, 선형 공격은 알려진 평문 공격에 기반을 둔다. 이러한 공격에 대한 저항력은 암호 알고리즘 설계의 핵심 평가 기준이 된다.
현재 가장 널리 상용되는 대표 암호는 AES이다. 반면, 초기에 널리 사용되었던 DES는 키 길이가 짧아 무차별 대입 공격에 취약해져 현재는 단독으로 사용되지 않으며, 보안 강화를 위해 3DES 형태로 주로 활용된다.
파이스텔 구조는 블록 암호의 주요 설계 방식 중 하나이다. 이 구조는 암호화 과정에서 입력 평문 블록을 두 개의 동일한 크기로 나누어 처리하는 것이 특징이다. 각 라운드에서는 한쪽 절반에 라운드 함수를 적용한 결과를 다른 절반과 XOR 연산하고, 양쪽 절반의 위치를 교환하는 과정을 반복한다.
이 구조의 가장 큰 장점은 암호화와 복호화 과정이 동일한 알고리즘으로 수행될 수 있다는 점이다. 암호화에 사용된 라운드 함수가 수학적 역함수를 필요로 하지 않아도 되므로 설계가 비교적 단순해진다. 대표적으로 DES가 파이스텔 구조를 채택한 암호이다.
그러나 파이스텔 구조는 매 라운드마다 두 블록의 위치를 교체하는 스왑 단계가 필수적이어서 연산 효율성 측면에서 단점으로 지적된다. 또한 전체 암호의 안전성이 라운드 함수의 설계에 크게 의존하므로, 이 함수를 매우 안전하게 만들어야 하는 부담이 있다. 이러한 특성으로 인해 최근의 많은 고성능 블록 암호는 다른 구조를 선호하는 경향이 있다.
SPN 구조는 대입-치환 네트워크의 약자로, 블록 암호의 주요 설계 구조 중 하나이다. 이 구조는 각 암호화 라운드에서 평문 블록에 대해 대입(Substitution)과 치환(Permutation) 연산을 반복적으로 적용하여 암호문을 생성한다. 대입 연산은 S-Box를 통해 데이터의 비선형성을 강화하고, 치환 연산은 P-Box를 통해 데이터의 확산을 수행한다.
이 구조는 파이스텔 구조와 달리 암호화와 복호화 과정이 서로 다르며, 복호화를 위해서는 암호화 과정에서 사용된 모든 연산의 역함수가 필요하다는 특징이 있다. 그러나 한 라운드 내에서 모든 비트가 동시에 변환되기 때문에, 하드웨어 구현 시 효율적인 병렬 처리가 가능하다는 장점을 가진다. 이러한 효율성으로 인해 현대 블록 암호의 표준인 AES를 비롯한 많은 암호 알고리즘이 SPN 구조를 채택하고 있다.
SPN 구조의 안전성은 주로 사용되는 S-Box의 비선형성과 전체 라운드 수에 크게 의존한다. 암호학적 공격에 저항하기 위해서는 충분한 수의 라운드를 적용하고, 각 구성 요소를 신중하게 설계해야 한다. 이 구조에 대한 대표적인 분석 방법으로는 차분 공격과 선형 공격이 있다.
블록 암호의 안전성을 분석하고 취약점을 찾아내는 과정을 암호 해독이라고 한다. 이는 암호 체계의 강도를 평가하는 핵심적인 연구 분야이다. 주요 공격 방법으로는 차분 공격과 선형 공격이 널리 알려져 있다.
차분 공격은 선택평문공격의 일종으로, 특정 평문 쌍의 차이와 이에 대응하는 암호문 쌍의 차이 사이에 존재할 수 있는 통계적 관계를 분석한다. 이 관계를 통해 암호의 라운드 키나 내부 구조에 대한 정보를 점진적으로 유추해 나간다.
반면, 선형 공격은 알려진 평문 공격에 해당한다. 이 방법은 평문 비트, 암호문 비트, 그리고 키 비트 사이에 존재하는 선형 근사식을 찾아내는 것을 목표로 한다. 충분한 수의 평문-암호문 쌍을 확보하면, 이 근사식을 통해 키에 대한 정보를 확률적으로 알아낼 수 있다.
이러한 암호 해독 기법들은 DES와 같은 오래된 암호의 취약성을 밝히는 데 결정적인 역할을 했으며, 더 강력한 AES와 같은 현대 블록 암호를 설계하는 데 중요한 기준을 제공한다.
데이터 암호화 표준(DES)는 1970년대에 개발된 역사적인 블록 암호이다. 미국 국가표준기술연구소(NIST)의 전신인 표준국(NBS)에 의해 연방 정보 처리 표준(FIPS PUB 46)으로 채택되어 오랫동안 국제적으로 널리 사용되었다. 이 암호는 64비트의 평문 블록을 56비트의 키를 사용하여 64비트의 암호문 블록으로 변환한다. 내부 구조는 16라운드로 구성된 파이스텔 구조를 기반으로 한다.
DES의 핵심 연산은 각 라운드에서 수행되는 치환(Substitution)과 전치(Permutation)이다. 56비트 키는 키 스케줄 과정을 거쳐 각 라운드에 사용되는 48비트의 서브키를 생성한다. 암호화와 복호화 과정은 동일한 알고리즘 구조를 공유하지만, 서브키가 적용되는 순서가 반대라는 특징이 있다. 이러한 설계는 하드웨어 구현을 단순화하는 장점을 제공했다.
그러나 키 길이가 짧다는 근본적인 한계로 인해, 컴퓨팅 파워의 급격한 발전에 따라 무차별 대입 공격(Brute-force Attack)에 취약해졌다. 1990년대 후반에는 전용 하드웨어를 이용해 짧은 시간 내에 키를 찾아낼 수 있음이 실증되면서 안전성이 크게 훼손되었다. 이로 인해 Single DES는 현재 중요한 정보의 보호에는 사용되지 않는다.
DES의 안전성 문제를 극복하기 위해 등장한 대안이 3중 DES(3DES)와 고급 암호 표준(AES)이다. 3DES는 DES 알고리즘을 세 번 연속 적용하여 키 길이를 효과적으로 늘렸지만, 속도가 느리다는 단점이 있다. 결국 AES가 더 우수한 성능과 안전성으로 DES를 대체하는 새로운 표준으로 자리 잡게 되었다.
AES는 고급 암호 표준을 의미하며, 미국 국립표준기술연구소(NIST)에 의해 2001년 선정된 대칭키 암호 방식이다. 이는 이전 표준이었던 DES가 안전성 문제로 더 이상 사용하기 어려워지자 이를 대체하기 위한 공모를 통해 선정되었다. AES는 SPN 구조를 기반으로 설계되어 높은 안전성과 효율적인 구현이 가능하다.
AES는 128비트의 고정된 블록 크기를 가지며, 사용하는 암호키의 길이에 따라 128, 192, 256비트로 구분된다. 키 길이가 길수록 암호 강도는 증가하지만, 필요한 연산량도 함께 증가한다. 이 암호는 초기 키 확장 단계와 다수의 라운드로 구성된 반복 구조를 통해 평문을 암호문으로 변환한다.
AES의 각 라운드는 바이트 치환, 행 이동, 열 혼합, 라운드 키 덧셈이라는 네 가지 변환 단계로 이루어져 있다. 마지막 라운드에서는 열 혼합 단계가 생략되는 등의 약간의 차이가 있다. 이러한 구조는 차분 공격과 선형 공격을 포함한 다양한 암호 해독 방법에 대해 강인한 안전성을 제공한다.
현재 AES는 정부 기관, 금융, 정보 통신 등 다양한 분야에서 데이터 보호를 위한 표준 암호 알고리즘으로 널리 상용되고 있다. 그 안전성과 성능은 지속적인 분석을 통해 검증받고 있으며, 하드웨어 및 소프트웨어 구현 최적화가 활발히 연구되고 있다.
블록 암호는 고정된 길이의 블록 단위로 평문을 암호화한다. 그러나 실제 데이터는 블록 크기보다 길거나 짧은 경우가 많다. 이때 여러 블록을 안전하고 효율적으로 처리하기 위해 설계된 절차를 블록 암호 운용 방식이라고 한다. 주요 운용 방식에는 ECB, CBC, OFB, CFB, CTR 등이 있다.
각 운용 방식은 구조와 목적에 따라 특징이 다르다. ECB 방식은 가장 단순하지만, 동일한 평문 블록이 항상 동일한 암호문 블록을 생성하기 때문에 패턴이 노출되는 단점이 있다. CBC 방식은 이전 블록의 암호문을 다음 블록 암호화에 사용하여 이런 문제를 해결하며, 무작위성을 위해 초기화 벡터(IV)를 필요로 한다.
OFB와 CFB 방식은 블록 암호를 스트림 암호처럼 동작하게 만들어, 블록 크기에 구애받지 않고 비트나 바이트 단위로 암호화할 수 있다. CTR 방식은 카운터 값을 암호화하여 키 스트림을 생성하며, 병렬 처리가 가능하고 임의 접근이 용이하다는 장점이 있어 널리 사용된다. 이러한 운용 방식의 선택은 기밀성, 데이터 무결성, 오류 전파, 성능 요구사항에 따라 결정된다.