정보 이론적 안전성

완벽 비밀성은 암호학에서 가장 강력한 형태의 기밀성을 의미하는 개념이다. 이는 암호문을 분석하는 공격자가 아무리 강력한 계산 능력을 가지고 있어도, 암호문 자체로부터 평문에 대한 어떠한 정보도 얻어낼 수 없는 성질을 말한다. 즉, 암호문은 평문에 대해 전혀 정보를 노출하지 않으며, 공격자가 암호문을 관찰하는 것은 순수한 무작위 문자열을 관찰하는 것과 구별할 수 없다. 이러한 개념은 1949년 클로드 섀넌이 발표한 논문 'Communication Theory of Secrecy Systems'에서 처음으로 엄밀하게 정의되고 분석되었다.

완벽 비밀성을 달성하기 위한 핵심 조건은 암호화에 사용되는 키가 특정 조건을 만족해야 한다는 점이다. 첫째, 키는 평문과 완전히 통계적으로 독립적이어야 하며, 둘째, 키의 길이는 평문의 길이와 같거나 더 길어야 한다. 마지막으로, 각 암호화 세션마다 완전히 무작위로 생성된 새로운 키를 단 한 번만 사용하고 폐기해야 한다. 이러한 조건을 모두 충족하는 대표적인 암호 체계가 바로 일회용 패드이다.

이론적으로 완벽 비밀성을 보장하는 암호 체계는 공격자의 계산 능력에 전혀 의존하지 않는 정보 이론적 안전성을 제공한다. 이는 현대 암호학의 대부분이 의존하는 계산적 안전성과 근본적으로 다르다. 계산적 안전성은 공격자의 계산 자원이 유한하다는 가정 하에 특정 시간 내에 암호를 해독하는 것이 현실적으로 불가능함을 보장하는 반면, 완벽 비밀성은 무한한 계산 능력을 가정하더라도 안전함을 수학적으로 증명한다.

이러한 강력한 안전성에도 불구하고, 완벽 비밀성을 실현하는 암호 체계는 실용적인 어려움을 동반한다. 가장 큰 장애물은 암호화에 필요한 키의 길이가 평문만큼 길어야 하며, 이 키를 안전하게 사전에 공유하고 관리해야 한다는 점이다. 이로 인해 완벽 비밀성을 갖춘 암호는 통신량에 비해 매우 큰 키 관리 부담이 따르며, 주로 극도로 높은 기밀성이 요구되는 군사 통신이나 외교적 극비 통신과 같은 특수한 분야에서 제한적으로 활용된다.

정보 이론적 안전성을 만족하기 위해서는 몇 가지 엄격한 조건이 충족되어야 한다. 가장 핵심적인 조건은 암호화에 사용되는 키가 평문과 완전히 통계적으로 독립적이어야 한다는 점이다. 즉, 키를 알고 있다고 해도 평문에 대한 어떠한 정보도 얻을 수 없어야 하며, 그 반대의 경우도 마찬가지여야 한다. 또한, 키의 엔트로피는 평문의 엔트로피보다 크거나 같아야 한다. 이는 키가 평문을 완전히 가리기 위해 충분한 불확실성을 포함하고 있어야 함을 의미한다.

이러한 조건을 실현하는 가장 대표적인 예는 일회용 패드이다. 이 방식에서는 키가 평문과 정확히 같은 길이이며, 완전히 무작위로 생성된다. 또한, 각 키는 단 한 번만 사용되고 폐기되어야 한다. 키를 재사용하거나 키의 무작위성이 불완전할 경우, 정보 이론적 안전성은 깨지게 되며, 이론적으로는 공격자가 무한한 계산 자원을 가정하더라도 평문을 복원할 가능성이 생기게 된다.

정보 이론적 안전성을 달성하는 것은 실용적으로 매우 어렵다. 키의 생성, 분배, 저장, 관리에 막대한 비용과 복잡성이 따르기 때문이다. 따라서 현대의 대부분의 암호 시스템은 정보 이론적 안전성 대신 계산적 안전성을 목표로 설계된다. 계산적 안전성은 공격자의 계산 자원이 유한하다는 현실적 가정 아래, 암호 해독에 필요한 시간이나 비용이 실질적으로 불가능한 수준이 되도록 보장하는 개념이다.

일회성 암호패드는 정보 이론적 안전성을 갖춘 암호 체계의 가장 대표적이고 이상적인 예시이다. 이 방식은 암호화를 위해 사용하는 키가 평문과 완전히 무관하며, 키의 길이가 평문과 같거나 길고, 각 암호화에 대해 완전히 무작위로 생성된 키를 단 한 번만 사용한다는 핵심 조건을 충족한다.

이 암호 체계의 작동 원리는 간단하다. 먼저, 평문과 동일한 길이의 완전히 무작위한 키를 생성한다. 이후, 평문의 각 비트(또는 문자)와 키의 대응하는 비트(또는 문자)를 XOR 연산과 같은 방식으로 결합하여 암호문을 생성한다. 수신자는 동일한 키를 사용해 암호문에 역연산을 가하면 원래의 평문을 복원할 수 있다.

일회성 암호패드의 핵심 강점은 암호문 자체가 평문에 대한 어떠한 정보도 노출하지 않는다는 점에 있다. 이는 키가 완전히 무작위하고 한 번만 사용되기 때문에, 동일한 길이의 모든 가능한 평문이 동일한 확률로 그 암호문을 생성할 수 있기 때문이다. 따라서 공격자가 암호문을 획득하더라도, 그것이 어떤 평문에서 유래했는지 전혀 추론할 수 없으며, 이는 클로드 섀넌이 증명한 완벽한 비밀성을 의미한다.

그러나 이러한 이론적 완전성은 실용적으로는 심각한 제약을 동반한다. 키의 안전한 생성, 분배, 저장, 그리고 폐기까지의 전체 과정이 극도로 어렵고 비용이 많이 든다. 키의 길이가 평문과 같아야 하므로 대량의 데이터를 암호화하려면 동일한 양의 키를 미리 공유해야 하는데, 이는 현실에서 큰 장벽이 된다. 이러한 실용적 어려움 때문에 일회성 암호패드는 극히 제한된 군사 통신이나 외교 암호와 같이 최고 수준의 기밀성이 요구되는 특수한 상황에서만 제한적으로 사용된다.

정보 이론적 안전성을 만족하는 암호 시스템의 가장 대표적이고 이상적인 예는 일회용 패드이다. 이 시스템은 클로드 섀넌에 의해 그 안전성이 증명되었으며, 암호화 키가 평문과 완전히 무관하고, 키의 길이가 평문과 같거나 길며, 각 암호화에 사용되는 키가 완전히 무작위로 생성되어 단 한 번만 사용될 때 정보 이론적 안전성을 달성한다. 이러한 조건 하에서는 암호문이 공격자에게 평문에 대한 어떠한 정보도 노출시키지 않는다.

정보 이론적 안전성을 지닌 다른 암호 시스템의 예로는 비밀 공유 기법이 있다. 이는 하나의 비밀을 여러 조각으로 나누어 분배하며, 특정 수 이상의 조각이 모여야만 원본 비밀을 복원할 수 있도록 설계된다. 적법한 수의 조각을 모으지 못한 공격자는 비밀에 대한 정보를 전혀 얻을 수 없으므로, 이 기법 역시 정보 이론적 안전성을 제공한다. 또한, 특정 조건 하에서의 안전 다자간 계산 프로토콜 일부도 이 범주에 속할 수 있다.

그러나 일회용 패드를 제외한 대부분의 실용적 암호 시스템은 정보 이론적 안전성보다는 계산적 안전성에 의존한다. 이는 공격자의 계산 능력이 유한하다는 가정 하에, 암호 해독에 필요한 시간이나 자원이 현실적으로 불가능할 정도로 크도록 설계된 것이다. 정보 이론적 안전성을 만족하는 시스템은 키 관리의 복잡성과 비용이 매우 높기 때문에, 군사나 외교 분야와 같이 극도의 기밀성이 요구되는 극비 통신 등 제한된 영역에서만 주로 사용된다.

정보 이론적 안전성의 수학적 토대는 클로드 섀넌이 정립한 정보 이론의 핵심 개념인 엔트로피와 정보량에 있다. 엔트로피는 불확실성의 양을 측정하는 척도로, 어떤 확률 변수의 값을 예측하기 어려운 정도를 수치화한다. 암호학적 맥락에서 평문 메시지의 엔트로피가 높다는 것은 그 메시지가 예측하기 어렵고, 따라서 암호화하기 전부터 이미 많은 불확실성을 내포하고 있음을 의미한다.

정보량은 특정 사건이 발생했을 때 그 사건이 가져오는 '놀라움'의 정도, 즉 불확실성을 얼마나 줄여주는지를 측정한다. 암호문을 관찰한 공격자가 평문에 대해 얻는 정보량은, 관찰 전후의 엔트로피 차이로 계산된다. 정보 이론적 안전성이 달성된다는 것은 암호문을 관찰하더라도 평문에 대한 엔트로피가 전혀 감소하지 않음을 의미한다. 즉, 얻는 정보량이 0이 되어, 암호문은 평문에 대한 어떠한 통계적 단서도 제공하지 않게 된다.

이러한 관계를 엄밀히 정의하기 위해 사용되는 개념이 상호 정보량이다. 상호 정보량은 두 확률 변수, 예를 들어 평문과 암호문이 서로 얼마나 많은 정보를 공유하는지를 측정한다. 정보 이론적으로 안전한 암호 체계에서는 평문과 암호문 사이의 상호 정보량이 0이어야 한다. 이 조건은 암호문이 평문에 대한 통계적 독립성을 만족할 때 성립하며, 일회용 패드가 이를 완벽히 충족하는 유일한 대표적 예시이다.

따라서, 정보 이론적 안전성은 단순한 계산적 난이도가 아닌, 확률과 정보의 기본 원리에 기반한 절대적인 안전성 개념이다. 이는 암호문이 노출되더라도, 그것이 평문에 대해 '알려주지 않는' 상태, 즉 상호 정보량이 0인 상태를 수학적으로 보장하는 것을 목표로 한다.

상호 정보량은 두 확률 변수 사이의 의존성을 측정하는 정보 이론의 핵심 개념이다. 이는 한 확률 변수를 관찰함으로써 다른 확률 변수에 대해 얻을 수 있는 정보의 평균량을 정량화한다. 암호학의 맥락에서, 특히 정보 이론적 안전성을 분석할 때, 평문과 암호문 사이의 상호 정보량은 시스템의 안전성을 평가하는 지표로 활용된다. 정보 이론적으로 안전한 암호 체계는 평문과 암호문 사이의 상호 정보량이 0이어야 한다. 이 조건은 암호문이 아무리 분석되어도 평문에 대한 어떠한 정보도 노출하지 않음을 수학적으로 보장한다.

상호 정보량은 엔트로피와 조건부 엔트로피의 개념을 바탕으로 정의된다. 두 확률 변수 X와 Y 사이의 상호 정보량 I(X;Y)는 X의 엔트로피 H(X)에서 Y를 알고 있을 때의 X의 조건부 엔트로피 H(X|Y)를 뺀 값, 또는 그 반대의 계산으로 구할 수 있다. 이는 "Y를 알게 됨으로써 X에 대한 불확실성이 얼마나 감소하는가"를 의미한다. 만약 두 변수가 통계적으로 독립이라면, 한 변수를 알아도 다른 변수에 대한 정보가 전혀 증가하지 않으므로 상호 정보량은 0이 된다.

클로드 섀넌은 그의 기념비적인 논문에서 암호 시스템의 안전성을 이 상호 정보량을 통해 정의했다. 정보 이론적 안전성, 즉 완벽 비밀성은 공격자가 암호문 C를 획득했을 때, 평문 M에 대한 사후 확률이 사전 확률과 동일해야 함을 요구한다. 이는 수학적으로 상호 정보량 I(M;C) = 0으로 표현된다. 일회용 패드는 키 K가 진정한 무작위성이며 평문과 독립이고, 키의 엔트로피가 충분히 클 때 이 조건을 만족하는 대표적인 예시이다.

따라서 상호 정보량은 단순한 통계적 측도를 넘어, 암호 설계의 궁극적 목표 중 하나인 정보의 완전한 보호를 수학적으로 엄밀하게 정의하고 검증하는 도구 역할을 한다. 이 개념은 양자 키 분배 프로토콜의 안전성 증명이나 안전 다자간 계산과 같은 고급 암호 프로토콜의 이론적 기반을 마련하는 데에도 필수적이다.

양자 키 분배는 정보 이론적 안전성을 보장하는 암호 통신의 핵심 요소인 암호 키를 안전하게 공유하기 위한 기술이다. 이 기술은 양자역학의 기본 원리, 특히 양자 중첩과 양자 얽힘 상태의 관측 불가능성 원리를 기반으로 한다. 이를 통해 통신 당사자들은 공유된 비밀 키의 기밀성과 무결성을 수학적으로 증명 가능한 수준, 즉 정보 이론적 안전성의 수준에서 보장받을 수 있다. 이 과정에서 제3자의 도청 시도는 양자 상태의 붕괴를 일으켜 필연적으로 통신 오류를 발생시키므로, 당사자들은 도청 사실을 탐지하고 해당 키를 폐기할 수 있다.

양자 키 분배의 대표적인 프로토콜로는 찰스 베넷과 질 브라사드가 1984년 제안한 BB84 프로토콜이 있다. 이 프로토콜에서는 송신자가 광자를 서로 다른 두 기저로 무작위 인코딩하여 전송하고, 수신자 역시 무작위로 기저를 선택하여 측정한다. 이후 공개 채널을 통해 기저 선택 순서만을 비교하여 일치하는 경우의 비트를 비밀 키로 확정한다. 이 과정에서 도청자가 존재한다면, 양자역학의 불확정성 원리에 의해 측정 오류가 발생하므로 통신 당사자들은 이를 통계적으로 분석하여 도청 여부를 판단한다.

양자 키 분배 자체는 키를 안전하게 분배하는 절차이며, 분배된 키는 일회용 패드와 같은 정보 이론적으로 안전한 암호 방식에 사용되어 완전한 기밀 통신을 실현한다. 이 기술은 금융, 국방, 정부 기관 등 극도의 보안이 요구되는 분야에서 실용화되고 있으며, 양자 컴퓨터의 발전으로 기존 공개 키 암호 방식이 위협받는 미래를 대비한 핵심 인프라로 주목받고 있다.

안전 다자간 계산은 여러 참여자가 각자의 비밀 입력값을 공개하지 않은 채로 특정 함수를 공동으로 계산하는 암호학 프로토콜이다. 이 개념은 정보 이론적 안전성을 다자간 협의에 확장한 것으로, 참여자들이 서로를 신뢰하지 않거나, 일부 참여자가 프로토콜을 위반하려는 경우에도 계산의 정확성과 입력값의 기밀성을 보장하는 것을 목표로 한다. 정보 이론적 안전성을 기반으로 한 안전 다자간 계산은 공격자가 아무리 강력한 계산 능력을 가져도 참여자의 비밀 데이터에 대한 정보를 얻을 수 없도록 설계된다.

이러한 프로토콜은 일반적으로 비밀 분산 기법을 핵심 요소로 활용한다. 예를 들어, 각 참여자는 자신의 비밀 입력값을 여러 조각으로 나누어 다른 참여자들에게 나누어준다. 이때 개별 조각만으로는 원본 비밀에 대한 정보를 전혀 얻을 수 없도록 구성한다. 이후 참여자들은 조각들을 교환하며 협력하여 원하는 함수를 계산하고, 최종 결과만을 공개한다. 이 과정에서 정직한 참여자의 입력값은 정보 이론적으로 보호받는다.

정보 이론적 안전성을 갖춘 안전 다자간 계산은 매우 높은 보안이 요구되는 다양한 분야에서 응용 가능성을 가진다. 전자 투표 시스템에서는 유권자의 선택 기밀성을 보장하면서도 투표 결과의 정확한 집계를 가능하게 한다. 디지털 경매에서는 입찰자의 입찰가를 공개하지 않고 최고 낙찰자와 낙찰가를 결정하는 데 사용될 수 있다. 또한, 의료 데이터 분석이나 금융 기관 간의 합의된 통계 계산에서도 각 기관의 민감한 원본 데이터를 유출시키지 않고 공동 연구나 위험 평가를 수행하는 데 활용될 수 있다.

그러나 정보 이론적 안전성을 만족하는 안전 다자간 계산 프로토콜은 실용적 측면에서 상당한 도전 과제에 직면한다. 대부분의 프로토콜이 참여자들 간의 수많은 통신 라운드와 복잡한 연산을 요구하여 성능 오버헤드가 크다. 또한, 악의적인 참여자가 프로토콜을 임의로 중단시키는 것을 방지하는 것도 중요한 과제이다. 이러한 실용적 어려움 때문에 현실 세계의 많은 시스템은 정보 이론적 안전성 대신 계산적 안전성을 기반으로 한 효율적인 프로토콜을 채택하는 경우가 많다.

정보 이론적 안전성을 갖춘 암호 체계는 수학적으로 완벽한 기밀성을 보장하지만, 현실에서 이를 구현하고 유지하는 데는 상당한 실용적 어려움이 따른다. 가장 큰 장애물은 일회용 패드의 사용 조건을 충족시키는 것이다. 이 체계는 암호화에 사용되는 키가 평문과 완전히 무관해야 하며, 키의 길이가 평문과 같거나 길어야 하고, 각 키가 완전히 무작위로 생성되어 단 한 번만 사용된 후 폐기되어야 한다. 이는 대량의 키를 사전에 안전하게 생성, 분배, 저장, 관리해야 함을 의미하며, 특히 통신 거리가 길어지거나 통신량이 많아질수록 그 부담은 기하급수적으로 증가한다.

또 다른 실질적인 문제는 키 분배의 안전성이다. 정보 이론적 안전성 자체는 암호 알고리즘의 강도를 다루지만, 송신자와 수신자가 키를 공유하는 과정, 즉 키 관리와 키 분배 문제는 별도의 과제로 남는다. 키를 전달하는 채널이 물리적으로 안전하지 않다면, 전체 시스템의 보안은 그 채널의 취약점에 의해 결정된다. 이 문제를 해결하기 위해 양자 키 분배와 같은 물리적 원리를 이용한 기술이 연구되고 있으나, 이는 별도의 장비와 인프라를 요구하며 아직은 제한된 환경에서만 실용화되고 있다.

마지막으로, 정보 이론적 안전성은 기밀성만을 보장할 뿐, 무결성이나 인증 같은 다른 중요한 보안 목표는 다루지 않는다. 암호문이 중간에 변조되었는지, 또는 메시지가 진정한 송신자로부터 왔는지를 확인하는 것은 별도의 메커니즘이 필요하다. 따라서 극비 통신과 같은 특수한 상황을 제외하고는, 키 관리의 부담이 적고 인증 및 무결성 서비스를 함께 제공할 수 있는 계산적 안전성을 기반으로 한 현대 암호 체계가 더 널리 사용된다.

정보 이론적 안전성은 공격자가 무한한 계산 자원을 가진다는 가정 하에 안전성을 정의하는 반면, 계산적 안전성은 공격자의 계산 능력이 현실적으로 제한되어 있다는 가정에 기반한다. 계산적 안전성을 가진 암호 체계는 공격자가 다항식 시간 내에, 또는 현실적인 비용과 시간으로 암호를 깨는 것이 계산상 불가능하거나 극도로 어렵다는 점에서 안전성이 입증된다. 대부분의 현대 암호학, 예를 들어 공개 키 암호 방식이나 대칭 키 암호의 많은 방식들은 이 계산적 안전성에 의존하고 있다.

두 개념의 근본적 차이는 안전성의 기반에 있다. 정보 이론적 안전성은 수학적 증명에 의존하여 절대적인 안전성을 보장하지만, 그 구현에는 일회용 패드와 같이 매우 까다로운 조건이 필요하다. 반면, 계산적 안전성은 특정 계산 복잡도 이론적 난제, 예를 들어 큰 수 인수분해 문제나 이산 로그 문제의 어려움에 안전성을 의존한다. 따라서 이론적으로는 충분한 계산 자원과 시간이 주어지면 해독 가능성이 존재한다.

이러한 차이는 실용성과 효율성에서 극명하게 드러난다. 정보 이론적으로 안전한 암호는 키 관리의 부담이 크고 통신 효율이 낮아 극히 제한된 상황에서만 사용된다. 한편, 계산적으로 안전한 암호는 비교적 짧은 키를 사용하여 대량의 데이터를 효율적으로 암호화할 수 있어, 인터넷 보안, 전자 상거래, 디지털 서명 등 일상적인 정보 보호의 근간을 이룬다. 현실 세계의 암호학은 계산적 안전성의 틀 안에서 효율성과 안전성의 균형을 찾는 과정이라 할 수 있다.