Recovery-Induced Erasure Attack on QKD Systems

본 논문은 단일 광자 검출기의 카운트율 의존적 회복 비선형성이 양자 키 분배 시스템의 보안 취약점임을 규명하고, 이를 악용해 오류를 손실로 변환하여 양자 비트 오류율을 은밀하게 억제하는 '회복 유도 말소 공격'을 제안 및 실험적으로 검증합니다.

핵심

1. 양자 암호 (QKD) 란 무엇인가요?

상상해 보세요. **알리스 (Alice)**가 **밥 (Bob)**에게 절대 뚫을 수 없는 비밀 편지를 보냅니다.
이 편지는 빛 (광자) 으로 만들어져 있습니다. 만약 누군가 (이브, Eve) 중간에 편지를 훔쳐보려고 하면, 빛의 성질 때문에 편지가 자동으로 변해버리고, 알리스와 밥은 "누가 훔쳐봤어!"라고 바로 알 수 있습니다. 그래서 이론적으로는 해킹이 불가능하다고 믿어졌습니다.

2. 시스템의 약점: "휴식 시간"

이 편지를 받는 밥의 집에는 **초정밀 카메라 (SPAD, 단일 광자 검출기)**가 있습니다. 이 카메라는 빛 한 점 (광자) 만 찍어도 알아챌 수 있을 만큼 예민합니다.

하지만 이 카메라에는 단점이 하나 있습니다.
한 장을 찍은 후, 다음 장을 찍기 전까지 잠시 쉬어야 (Dead Time, 사멸 시간) 합니다. 마치 카메라 셔터가 닫혔다 열리는데 시간이 걸리는 것과 같습니다.

기존 보안 규칙은 이 '휴식 시간'이 항상 일정하다고 가정했습니다. (예: 1 초 찍고 1 초 쉬기)

3. 새로운 해킹 방법: "피곤하게 만들어서 무시하게 하기"

이 논문은 이 휴식 시간이 고정된 게 아니라, 카메라가 얼마나 바쁘냐에 따라 변한다는 사실을 이용했습니다.

🕵️‍♂️ 이브 (해커) 의 전략:

1. 가짜 신호 보내기: 이브는 밥의 카메라가 신호를 받기 직전에, **강한 빛 (Pre-pulse)**을 먼저 쏩니다.
2. 카메라 피로하게 만들기: 이 강한 빛 때문에 카메라는 평소보다 더 많이 쉬어야 합니다. (휴식 시간이 길어집니다.)
3. 진짜 신호 보내기: 그다음 진짜 편지 (약한 빛) 를 보냅니다.

🎯 이브의 목적:
이브는 밥이 편지를 읽는 **방식 (기저, Basis)**에 따라 카메라가 피곤한 정도를 다르게 만듭니다.

• 맞는 방식일 때: 카메라가 쉬고 있더라도 편지를 잘 받습니다.
• 틀린 방식일 때: 카메라가 너무 피곤해서 편지를 못 받습니다. (이걸 '손실'이라고 합니다.)

4. 왜 위험한가요? (오류 vs 손실)

보안 시스템은 두 가지를 감시합니다.

1. 오류 (Error): 편지가 변질된 경우 (해커가 개입한 증거).
2. 손실 (Loss): 편지가 중간에 사라진 경우 (광케이블이 낡았거나, 빛이 약한 경우).

기존에는 해커가 끼어들면 오류가 늘어나서 발각되었습니다.
하지만 이브는 이 공격을 통해 오류를 '손실'로 변신시킵니다.

• "아, 편지가 안 왔네? 케이블이 좀 낡은가 보다." (손실)
• "편지가 변질되진 않았으니 안전해." (오류 없음)

결과적으로 해커가 끼어들었음에도 불구하고, 알리스와 밥은 "안전하다"고 착각하게 됩니다.

5. 실험 결과: 실제로 가능했습니다.

연구팀은 실제 카메라 (Excelitas SPAD) 를 가지고 실험했습니다.

• 평소: 카메라가 쉬는 시간은 약 23.3 나노초였습니다.
• 빛이 많을 때: 빛이 많이 들어오자 쉬는 시간이 31.5 나노초로 늘어났습니다.

이 작은 차이가 해커에게 '기회'가 되었습니다. 이브는 이 '피로한 상태'를 이용해 해킹을 성공적으로 시뮬레이션했습니다.

6. 결론 및 교훈

이 논문은 우리에게 중요한 메시지를 줍니다.

"보안 시스템은 기계가 어떻게 '휴식'을 취하는지까지 고려해야 한다."

기존 보안 프로그램은 카메라가 '항상 똑같은 시간' 쉬는 줄 알았습니다. 하지만 실제로는 빛이 많으면 더 많이 쉬는 (피곤해지는) 성질이 있습니다. 이 '피로'를 해커가 이용하면, 보안 시스템이 눈가리고 아웅을 당할 수 있습니다.

💡 해결책은?
앞으로는 카메라의 '휴식 시간'이 변하는지 실시간으로 감시해야 합니다. 마치 카메라가 너무 피곤하면 "지금 해킹당하고 있어요!"라고 경고하는 시스템을 만들어야 합니다.

---

한 줄 요약:

해커가 감지기를 '피곤하게' 만들어서, 해킹 증거 (오류) 를 '단순 실종 (손실)'로 위장해 버리는 새로운 공격법이 발견되었습니다.

기술 요약

1. 문제 제기 (Problem)

• 기존 보안 모델의 한계: 표준 QKD 보안 분석에서는 단일 광자 애벌랜치 포토다이오드 (SPAD) 의 데드 타임 (회복 시간) 을 고정된 상수로 가정합니다.
• 실제 물리적 비선형성: 실제로 SPAD 의 유효 회복 시간은 입사 광자 카운트율에 의존합니다. 고카운트율 regime 에서 회복 시간이 길어지는 현상이 발생합니다.
• 보안 취약점: 이 카운트율 의존적 회복 비선형성을 악용하면, 도청자 (Eve) 가 검출 오류를 채널 손실 (Erasure) 로 변환하여 관측된 양자 비트 오류율 (QBER) 을 프로토콜 중단 임계값 이하로 낮추면서도 정보를 탈취할 수 있습니다. 기존 검출기 제어 (Blinding) 나 효율 불일치 (DEM) 공격과는 구별되는 새로운 공격 원리입니다.

2. 공격 방법론 (Methodology)

• 공격 원리 (RIE Attack):
  • Eve 는 도청된 신호를 가로채고 재전송 (Intercept-Resend) 하되, **강한 프리 펄스 (Pre-pulse)**와 약한 신호 펄스를 조합하여 전송합니다.
  • 프리 펄스는 Eve 가 측정한 기준 (Basis) 에서 반대 비트 값을 가지며, 특정 검출기를 데드 타임 상태 (회복 중) 로 만듭니다.
  • 신호 펄스는 Eve 가 측정한 비트 값을 가집니다.
  • 기저 일치 시 ($p_{\parallel}$): 프리 펄스가 신호 검출기와 다른 검출기에 작용하므로 신호 검출기는 정상 작동합니다.
  • 기저 불일치 시 ($p_{\perp}$): 프리 펄스와 신호가 두 검출기 모두에 분산되어 작용하므로, 신호 도착 시 두 검출기 모두 데드 타임 상태일 확률이 높아집니다.
  • 결과: $p_{\perp} < p_{\parallel}$가 되어, 오류가 발생할 가능성이 있는 사건들이 검출되지 않음 (Erasure) 으로 처리됩니다. 이는 QBER 를 낮추고 Eve 의 정보를 숨깁니다.
• 수학적 모델링:
  • 검출기를 '적대적 말소 채널 (Adversarial Erasure Channel)'로 모델링합니다.
  • QBER 임계값 (예: BBM92 의 11%) 을 유지하기 위해 $r = p_{\perp}/p_{\parallel} < 0.282$ 조건을 충족해야 함을 유도했습니다.

3. 실험 및 결과 (Experiments & Results)

• 실험 설정:
  • 자유 실행 (Free-running) SPAD (Excelitas SPCM-AQRH-14-FC) 사용.
  • 브로드밴드 열광원 (Thermal light) 을 주입하여 카운트율을 제어하며 데드 타임을 측정.
  • 시간 태그 모듈 (Swabian Instruments Time Tagger Ultra) 을 사용하여 광자 도착 시간 간격 히스토그램 분석.
• 주요 측정 결과:
  • 데드 타임 증가: 저카운트율 영역에서는 명목상 데드 타임 (23.3 ns) 을 유지하지만, 카운트율이 증가함에 따라 유효 회복 시간이 약 31.5 ns 까지 증가하는 것을 확인했습니다.
  • Busy Fraction: 카운트율이 25 Mcps 를 초과하면 검출기가 회복 기간 (데드 타임) 에 머무는 비율이 0.9 를 초과하여 비선형성이 뚜렷해집니다.
  • 공격 가능성: 실험 데이터를 기반으로 한 보수적 모델에서, 고카운트율 영역 (수십 Mcps) 에서 QBER 를 11% 미만으로 억제하면서 Eve 가 정보를 얻을 수 있는 'Stealth Regime'이 존재함을 증명했습니다.

4. 주요 기여 (Key Contributions)

1. 새로운 공격 원리 규명: 데드 타임의 고정성 가정을 깨고, 카운트율 의존적 회복 비선형성을 악용한 공격 원리를 최초로 제시했습니다.
2. 오류를 손실로 변환: 기존 공격이 오류를 증가시키는 반면, 이 공격은 오류를 검출되지 않는 손실 (Erasure) 로 변환하여 QBER 를 낮추는 메커니즘을 제시했습니다.
3. 실험적 검증: 실제 SPAD 장비를 사용하여 데드 타임의 카운트율 의존성을 정량적으로 측정하고 공격의 물리적 타당성을 입증했습니다.
4. 기존 방어책 무효화: 기존 효율 불일치 공격에 사용되던 '동시성 창 (Coincidence Window) 확대' 방어책은 RIE 공격 (검출기 가용성 문제) 에는 효과가 없음을 지적했습니다.

5. 의의 및 시사점 (Significance)

• 보안 모델의 개선 필요: 실제 QKD 시스템의 보안 분석에서 검출기 회복 역학 (Recovery Dynamics) 을 명시적으로 포함해야 함을 강조합니다.
• 대응 전략 제안:
  • 단순한 타이밍 조정이 아닌, 검출기 단일 카운트율 및 회복 통계를 실시간 모니터링해야 합니다.
  • 검출기 멀티플렉싱 (병렬 SPAD 사용) 을 통해 데드 타임 포화 취약성을 줄여야 합니다.
  • 허용 카운트율 상한선을 설정하고 편차 발생 시 작동을 중단하는 등의 하드웨어적/운영적 조치가 필요합니다.
• MDI-QKD 에 대한 영향: 측정 장치 독립형 QKD (MDI-QKD) 는 직접적인 보안 취약점은 아니지만, 파라미터 추정 및 시스템 안정성에 영향을 미칠 수 있어 여전히 주의가 필요합니다.

결론

이 연구는 QKD 시스템의 물리적 구현에서 간과되던 검출기 회복 시간의 동적 변화가 심각한 보안 위협이 될 수 있음을 보여주었습니다. 이는 양자 암호 시스템의 실용적 보안 (Practical Security) 을 강화하기 위해 하드웨어의 비이상적 동작을 고려한 새로운 방어 모델이 필요함을 시사합니다.