비밀 공유편집자 확인

비밀 공유는 하나의 비밀을 여러 개의 조각으로 나누어 여러 참가자에게 분배하는 방법이다. 이는 비밀 분할이라고도 불린다. 핵심 목적은 단일 지점에서 비밀이 유출되거나 손실되는 위험을 분산시키는 데 있다. 개별 참가자는 자신이 받은 조각만으로는 원래 비밀에 대한 어떤 정보도 얻을 수 없지만, 미리 정해진 수 이상의 참가자들이 자신들의 조각을 모아 결합하면 비밀을 완전히 재구성할 수 있다.

이를 위한 대표적인 메커니즘이 (t, n)-임계값 체계이다. 여기서 n은 비밀 조각을 받는 전체 참가자 수이며, t는 비밀을 재구성하는 데 필요한 최소 참가자 수(임계값)를 의미한다. 예를 들어, (3, 5) 체계에서는 5명의 참가자 중 최소 3명 이상이 협력해야만 비밀을 복원할 수 있다. 2명 이하의 참가자만 모인다면 비밀을 전혀 알아낼 수 없다.

이 개념은 1979년 아디 샤미르와 조지 블레이클리에 의해 각각 독립적으로 제안되었다. 그들의 연구는 암호학 분야에서 중요한 정보를 안전하게 보관하고 관리하는 방법에 대한 새로운 패러다임을 열었다. 비밀 공유는 단일 실패 지점을 제거함으로써 신뢰성과 기밀성을 동시에 높이는 데 기여한다.

주요 응용 분야로는 암호화 키 관리, 미사일 발사 코드와 같은 극비 정보 보관, 그리고 디지털 자산 관리 등이 있다. 특히 분산 시스템이나 클라우드 컴퓨팅 환경에서 중요한 자산을 보호하는 데 유용하게 활용된다.

(t, n)-임계값 체계는 비밀 공유의 핵심 개념이다. 이 체계에서는 한 명의 딜러가 비밀을 n명의 플레이어에게 분산하여 지분을 나누어 준다. 여기서 t는 비밀을 재구성하는 데 필요한 최소한의 플레이어 수, 즉 임계값을 의미한다. t개 이상의 지분을 모으면 원래 비밀을 완전히 복원할 수 있지만, t개 미만의 지분으로는 비밀에 대한 어떠한 유용한 정보도 얻을 수 없다. 이는 정보 이론적 보안을 제공하는 이상적인 체계의 특징이다.

이 체계는 아디 샤미르와 조지 블레이클리에 의해 1979년 독립적으로 제안되었다. 그들의 연구는 단일 실패 지점을 제거하면서도 과도한 접근을 방지하는 안전한 키 관리 방법에 대한 수요에서 비롯되었다. (t, n)-임계값 체계는 암호화 키 저장, 미사일 발사 코드 관리, 디지털 자산 보호 등 높은 기밀성과 가용성이 동시에 요구되는 다양한 분야에 응용된다.

구체적인 예로, t=3, n=5인 체계를 고려해 볼 수 있다. 딜러는 하나의 비밀을 생성하여 5명의 플레이어에게 각각 서로 다른 지분을 분배한다. 이후 비밀을 복구해야 할 상황이 발생하면, 5명 중 어느 3명이든 자신의 지분을 결합하면 원본 비밀을 얻을 수 있다. 그러나 2명의 플레이어만 모인다면, 그들이 가진 정보는 비밀을 전혀 추론할 수 없도록 설계되어 있다.

이러한 임계값 접근 방식은 신뢰 모델을 근본적으로 바꾼다. 비밀의 소유자는 개별 플레이어를 완전히 신뢰하지 않아도 된다. 대신, 플레이어 집단이 '집합적으로' 신뢰할 수 있도록 설계하면 된다. 임계값 미만의 플레이어가 공모하더라도 비밀은 안전하게 보호된다. 이는 분산 시스템과 다자간 계산의 기초를 이루는 중요한 원리이다.

비밀 공유 체계는 보안 수준에 따라 안전한 비밀 공유와 비안전한 비밀 공유로 구분된다. 이 구분의 핵심은 비밀을 재구성하는 데 필요한 최소 개수인 임계값 미만의 지분을 가진 공격자가 비밀에 대해 얻을 수 있는 정보의 양에 있다.

비안전한 비밀 공유 체계에서는 임계값 미만의 지분을 획득한 공격자가 비밀에 대한 유용한 정보를 일부라도 얻을 수 있다. 예를 들어, 8자리 비밀문구를 네 개의 지분으로 나눌 때, 한 개의 지분만으로도 비밀문구의 두 글자를 알게 되어 추측해야 할 가능성의 수가 크게 줄어든다. 이는 정보 이론적 관점에서 완전한 보안을 제공하지 못한다.

반면, 안전한 비밀 공유 체계는 정보 이론적 보안을 목표로 한다. 이 체계에서는 임계값 미만의 지분을 가진 공격자가 비밀에 대해 전혀 정보를 얻지 못한다. 즉, 단 하나의 지분을 가진 공격자와 아무 지분도 없는 공격자가 비밀을 추측할 수 있는 확률이 정확히 동일하다. 아디 샤미르의 다항식 기반 체계나 조지 블레이클리의 기하학적 체계는 이러한 안전성을 갖춘 대표적인 예시이다.

안전한 비밀 공유를 구현하는 데는 한계도 존재한다. 가장 큰 제약은 각 지분의 크기가 비밀 자체의 크기보다 작을 수 없다는 점이다. 이는 정보 이론에 기반한 필연적인 결과로, 높은 안전성을 달성하려면 저장 및 전송 비용이 증가한다. 이러한 한계를 극복하고 효율성을 높이기 위해 계산적 안전성에 기반한 단축된 비밀 공유나 전부 아니면 전무 변환과 같은 변형 체계들이 연구되고 있다.

아디 샤미르가 1979년에 제안한 비밀 공유 체계는 (t, n)-임계값 체계의 대표적인 예시이다. 이 방법은 기하학보다는 대수학에 기반을 두고 있으며, 다항식 보간법 원리를 활용한다.

체계의 핵심은 비밀 S를 상수항으로 갖는 (t-1)차 다항식을 구성하는 것이다. 나머지 계수들은 무작위로 선택되며, 이 다항식 위에 있는 서로 다른 n개의 점(지분)을 계산하여 각 참가자에게 나누어 준다. 비밀을 복구하려면 최소 t명의 참가자가 자신의 지분(점)을 결합해야 한다. t개의 점은 (t-1)차 다항식을 유일하게 결정하며, 이 다항식의 상수항이 바로 원래 비밀 S가 된다. 반면, (t-1)명 이하의 참가자만 모인다면, 그들이 가진 점들로는 상수항에 대한 정보를 전혀 얻을 수 없어 비밀은 완전히 보호된다.

이 체계는 지분의 크기가 원본 비밀의 크기와 동일하다는 특징이 있다. 또한, 새로운 참가자를 추가하거나 기존 참가자를 제거하는 등 동적 그룹 관리가 비교적 용이하다. 샤미르의 체계는 암호화 키 관리나 디지털 증거 보존과 같은 다양한 분야에서 널리 응용되고 있으며, 이후 검증 가능한 비밀 공유나 사전 예방적 비밀 공유 등 여러 확장 체계의 기초가 되었다.

블레이클리의 비밀 공유는 1979년 조지 블레이클리가 아디 샤미르와 거의 동시에 독립적으로 제안한 (t, n)-임계값 체계이다. 이 방법은 기하학적 개념을 활용하여 비밀을 분산시키는 것이 특징이다.

기본 원리는 고차원 기하학에 기반한다. 예를 들어, 2차원 평면에서는 서로 평행하지 않은 두 직선이 정확히 한 점에서 만난다. 3차원 공간에서는 세 개의 평행하지 않은 평면이 정확히 한 점에서 교차한다. 이를 일반화하면, n차원 공간에서 서로 평행하지 않은 (n-1)차원 초평면 n개는 유일한 한 점에서 만난다. 블레이클리의 체계는 비밀을 이 교점의 좌표(예: x좌표) 하나로 설정하고, 각 참가자에게는 이 교점을 정의하는 데 필요한 초평면 하나에 대한 정보(예: 평면의 방정식)를 지분으로 나누어 주는 방식이다.

이 체계의 주요 단점은 지분의 크기가 크다는 것이다. 샤미르의 방법에서는 각 지분의 크기가 비밀 자체의 크기와 거의 같지만, 블레이클리의 방법에서는 각 지분이 비밀의 크기에 임계값 t를 곱한 만큼 커질 수 있다. 이는 저장 및 전송 측면에서 비효율적일 수 있다. 그러나 블레이클리의 체계는 사용 가능한 초평면에 특정 제약 조건을 추가함으로써 샤미르의 다항식 보간법을 기반으로 한 체계와 수학적으로 동등한 체계로 강화될 수 있다.

중국인의 나머지 정리를 이용한 비밀 공유는 미그노트(Mignotte) 체계와 애스무트-블룸(Asmuth-Bloom) 체계가 대표적이다. 이 방법은 중국인의 나머지 정리를 핵심 수학적 도구로 활용한다. 정리는 서로소인 정수들에 대한 일련의 합동식이 주어졌을 때, 그 해가 모듈로들의 곱 아래에서 유일하게 존재한다는 것을 보장한다. 이 원리를 비밀 공유에 적용하면, 비밀은 하나의 정수 S로 표현되고, 각 참가자에게는 서로 다른 모듈로를 가진 나머지 값이 지분으로 할당된다.

이 체계는 임계값 방식을 구현한다. 먼저, 서로소인 정수들의 집합을 신중하게 선택한다. 비밀 S는 이 정수들 중 일부의 곱보다 작아야 하는 조건을 만족한다. 각 참가자에게는 서로 다른 모듈로와 그에 대한 S의 나머지 값이 지분으로 주어진다. 충분한 수(t개 이상)의 참가자가 자신의 지분을 모았을 때, 중국인의 나머지 정리를 사용하여 연립 합동식을 풀면 원래 비밀 S를 유일하게 복원할 수 있다. 반면, t개 미만의 지분으로는 비밀을 결정할 수 있는 충분한 정보를 얻지 못한다.

이 방법은 다항식 보간에 기반한 샤미르의 비밀 공유와는 다른 대수적 접근법을 제공한다. 구현의 효율성과 특정 응용 분야에서의 적합성은 선택한 모듈로들의 크기와 구조에 크게 의존한다. 중국인의 나머지 정리를 이용한 방법은 이론적으로 깔끔하며, 정수 연산에 기반하기 때문에 특정 하드웨어나 소프트웨어 환경에서 계산상의 이점을 가질 수 있다.

암호화 키 관리는 비밀 공유 기술의 가장 대표적인 응용 분야이다. 암호화 시스템의 핵심인 암호화 키는 매우 높은 기밀성을 유지해야 하지만, 동시에 분실되거나 손상되지 않도록 높은 가용성도 보장되어야 한다. 전통적인 방법으로는 이 두 가지 요구사항을 동시에 충족시키기 어려웠다. 단일 사본으로 키를 보관하면 기밀성은 높아지지만, 그 사본이 손실되면 키와 함께 암호화된 모든 데이터에 대한 접근이 영구히 차단되는 위험이 있다. 반면, 여러 사본을 만들어 분산 저장하면 가용성은 높아지지만, 각 사본이 공격에 노출될 가능성이 커져 기밀성이 약화된다.

비밀 공유는 이 딜레마를 해결한다. 예를 들어, (3, 5)-임계값 체계를 사용하면 하나의 마스터 키를 5개의 지분으로 나누어 5명의 관리자 또는 5대의 서버에 분산 저장할 수 있다. 이때 개별 지분만으로는 원본 키에 대한 정보를 전혀 알 수 없다. 키를 복구하려면 5명 중 최소 3명이 협력하여 자신들의 지분을 결합해야 한다. 따라서 한두 명의 관리자가 부재하거나, 한두 대의 서버가 고장나도 키를 복구할 수 있어 가용성이 보장된다. 동시에, 공격자가 두 개의 지분만 탈취하는 것으로는 키를 알아낼 수 없으므로 기밀성도 유지된다.

이러한 방식은 클라우드 컴퓨팅 환경에서 특히 유용하다. 민감한 키를 단일 클라우드 서버에 맡기는 것은 신뢰성과 보안 측면에서 위험할 수 있다. 비밀 공유를 통해 키를 여러 클라우드 제공자나 서버에 분산 저장하면, 특정 제공자의 실패나 보안 침해 사고가 발생하더라도 시스템 전체가 위협받지 않도록 할 수 있다. 또한, 다자간 계산이나 분산 원장 기술과 같은 고급 보안 프로토콜의 기반이 되기도 한다.

비밀 공유는 단일 실패 지점을 제거하고 신뢰성을 높이는 방식으로 중요 정보를 보관하는 데 적합한 기술이다. 이는 정보를 여러 조각으로 분할하여 각각을 다른 관리자나 시스템에 분산 저장함으로써, 권한이 없는 개인이 단독으로 정보에 접근하는 것을 방지한다. 예를 들어, 기업의 핵심 금융 데이터나 국가의 중요한 방위 정보를 보호할 때 활용될 수 있다.

이 기술의 실용적 응용 사례로는 미사일 발사 코드나 디지털 자산의 복구 키 관리가 있다. 발사 코드 같은 극비 정보는 한 사람에게 전체 권한을 위임하는 대신, 여러 장교에게 분할된 코드 조각을 나누어 가짐으로써 무단 발사를 방지한다. 마찬가지로, 암호화폐 지갑의 개인 키를 분할하여 보관하면 키의 분실 위험을 줄이면서도 무단 접근을 차단할 수 있다.

또한, 의료 기록이나 지적 재산권 문서 같은 민감한 정보의 장기 보관에도 유용하다. 데이터를 클라우드 스토리지나 별도의 물리적 서버에 분산 저장할 때 비밀 공유를 적용하면, 일부 저장소가 침해당하거나 손상되더라도 전체 데이터가 유출되지 않도록 보호할 수 있다. 이는 기존의 단순 백업 방식보다 향상된 보안과 가용성을 제공한다.

비밀 공유 기술은 디지털 증거의 무결성과 장기 보존을 보장하는 데 중요한 역할을 한다. 디지털 증거는 법정에서 사용되거나 중요한 기록으로 보관되어야 하므로, 위변조나 손실로부터 안전하게 보호되어야 한다. 비밀 공유를 적용하면, 단일 지점의 실패나 악의적인 접근으로부터 증거를 보호할 수 있다. 예를 들어, 중요한 디지털 증거(예: 법의학 이미지, 감사 로그, 계약서)를 하나의 서버나 미디어에 저장하는 것은 물리적 손상이나 해킹 위험에 노출시킨다.

이를 해결하기 위해, 증거 데이터를 암호화한 후 그 암호화 키를 비밀 공유 체계를 통해 분산 저장한다. (t, n)-임계값 체계를 사용하면, n명의 신뢰받는 관리자 또는 서버 중 t명 이상이 협력해야만 키를 복구하고 증거를 해독할 수 있다. 이는 내부자의 단독 변조 시도를 방지하고, 동시에 일부 관리자가 불가피하게 접근 권한을 잃더라도(예: 키 소실, 계정 정지) 증거를 복구할 수 있는 복원력을 제공한다. 이 방식은 디지털 증거 보관소나 블록체인 기반 증거 시스템에서 유용하게 적용된다.

더 나아가, 검증 가능한 비밀 공유 체계를 도입하면 각 관리자가 받은 지분이 유효한지 검증할 수 있어, 딜러나 다른 참가자의 부정행위를 방지할 수 있다. 이는 법적 효력을 갖는 증거 관리 과정에서 특히 중요하다. 또한 사전 예방적 비밀 공유를 주기적으로 수행하면, 시간이 지나도 키가 노출되는 것을 방지하면서 증거의 장기적 기밀성을 유지할 수 있다. 따라서 비밀 공유는 디지털 증거가 무결성, 기밀성, 가용성을 유지하도록 하는 핵심적인 기술적 수단이 된다.

사전 예방적 비밀 공유는 기존의 비밀 공유 체계를 확장한 개념으로, 시간이 지남에 따라 지분이 손상될 가능성에 대비하는 것을 목표로 한다. 이 방식은 특히 지분이 장기간 보관되거나 안전하지 않은 환경에 저장되어야 하는 경우에 유용하다. 기본 아이디어는 비밀 자체를 변경하지 않으면서도 주기적으로 지분을 갱신하여, 공격자가 시간을 두고 축적한 오래된 지분들이 새로운 비밀 재구성에 무용지물이 되도록 하는 것이다.

이를 구현하는 일반적인 방법은 샤미르의 비밀 공유 체계를 기반으로 한다. 딜러는 상수항이 0인 새로운 무작위 다항식을 생성하고, 각 참가자는 자신의 기존 지분에 이 새로운 다항식에서 계산된 값을 더하여 지분을 업데이트한다. 이 과정에서 원래의 비밀은 변하지 않지만, 갱신되지 않은 오래된 지분들은 더 이상 유효하지 않게 된다. 따라서 공격자가 과거에 훔친 지분을 보유하고 있더라도, 충분한 수의 최신 지분을 추가로 획득하지 않는 한 비밀을 복원할 수 없다.

이 접근법은 암호화 키 관리나 장기 디지털 증거 보존과 같이 비밀을 자주 변경하기 어려운 시나리오에서 보안 수준을 유지하는 데 적합하다. 또한, 이 방법을 통해 딜러는 시스템의 참가자 구성이 변경될 때 임계값을 조정하는 것도 가능하다. 사전 예방적 비밀 공유는 정적인 비밀에 대한 동적인 보호를 제공함으로써 정보 보안의 지속성을 강화하는 중요한 도구로 자리 잡았다.

검증 가능한 비밀 공유는 기존의 비밀 공유 체계에서 발생할 수 있는 딜러나 플레이어의 부정행위 문제를 해결하기 위해 고안된 확장 개념이다. 기존의 샤미르의 비밀 공유나 블레이클리의 비밀 공유와 같은 체계에서는 딜러가 올바르지 않은 지분을 배포하거나, 플레이어가 재구성 단계에서 자신의 지분을 조작하여 거짓 정보를 제공할 가능성이 존재한다. 이러한 악의적 행위는 비밀의 정확한 복구를 방해하거나, 잘못된 비밀을 복구하도록 유도할 수 있다.

검증 가능한 비밀 공유는 이러한 문제를 해결하여, 모든 참가자(딜러 및 플레이어)가 프로토콜을 정직하게 따르고 있는지 검증할 수 있는 메커니즘을 제공한다. 구체적으로, 이 체계는 딜러가 배포한 지분이 유효한 비밀 공유 프로토콜에 따라 생성된 것인지, 그리고 각 플레이어가 보유한 지분이 진본인지를 다른 플레이어들이 확인할 수 있도록 한다. 이를 통해 참가자들은 합리적인 오류 확률 범위 내에서 시스템의 정당성을 신뢰할 수 있게 된다.

이러한 검증 기능은 다자간 계산이나 분산 시스템과 같은 고급 암호학 프로토콜의 핵심 구성 요소로 활용된다. 예를 들어, 탈 라빈과 마이클 벤-오르가 제안한 방식은 적응형 공격자가 존재하는 환경에서도 딜러나 소수의 플레이어(예: 임계값의 3분의 1 미만)의 부정행위를 탐지하고 견딜 수 있도록 설계되었다. 검증 가능한 비밀 공유는 단순한 비밀 보관을 넘어, 디지털 서명, 전자 투표, 블록체인 기술 등 보안이 요구되는 다양한 협업 컴퓨팅 분야에 응용된다.

다중 비밀 공유는 하나의 비밀 공유 체계 내에서 여러 개의 독립적인 비밀을 동시에 분산 저장하고 관리할 수 있는 확장된 기법이다. 기존의 (t, n)-임계값 체계가 단일 비밀(예: 하나의 암호화 키)을 여러 참가자에게 나누어 주는 데 초점을 맞췄다면, 다중 비밀 공유는 여러 개의 키나 중요한 정보 조각들을 효율적으로 한 번에 공유할 수 있도록 한다. 이는 저장 공간과 통신 비용을 절감하면서도 동일한 수준의 보안성을 유지할 수 있다는 장점이 있다.

이 방식은 매튜 K. 프랭클린과 모티 융에 의해 제안되었으며, 하나의 고차 다항식에 여러 개의 점을 비밀로 할당하는 등의 수학적 기법을 활용한다. 예를 들어, k개의 비밀을 n명의 참가자에게 분산시키면서, 임계값 t명 이상이 모여야만 모든 비밀을 복구할 수 있도록 설계할 수 있다. 이러한 체계는 다자간 계산, 분산 데이터베이스, 클라우드 저장소 보안 등 여러 참가자가 협력하여 여러 비밀을 안전하게 처리해야 하는 복잡한 응용 분야에 유용하게 쓰인다.

그러나 모든 다중 비밀 공유 체계가 완벽하지는 않다. 일부 초기 제안된 방식은 특정 조건에서 취약점이 발견되기도 했는데, 예를 들어 공유될 모든 비밀이 동일한 경우나, 비밀이 특정 수학적 구조를 따르지 않을 때 정상적으로 작동하지 않을 수 있다는 지적이 있다. 따라서 실제 시스템에 적용할 때는 해당 체계의 수학적 안전성과 구현 조건을 면밀히 검토해야 한다.