778. 전력 분석 공격 - DPA (Differential Power Analysis)

핵심 인사이트 (3줄 요약)

본질: DPA (Differential Power Analysis)는 동일한 비밀 키로 수행한 수많은 연산의 전력 파형을 통계적으로 분리해, 중간 연산값에 대한 키 가설이 맞을 때만 나타나는 미세한 전력 차이를 증폭시키는 부채널 공격이다.

가치: 암호 수학이 아니라 CMOS (Complementary Metal-Oxide-Semiconductor) 스위칭 전력의 데이터 의존성을 노리므로, 알고리즘이 이론적으로 안전해도 물리 구현이 새면 키가 드러난다.

판단 포인트: 필터 하나로는 막기 어렵고 마스킹, 셔플링, DPA 내성 논리, TVLA (Test Vector Leakage Assessment) 검증까지 함께 적용해야 하며, 반복 호출 가능한 암호 인터페이스는 공격 표면을 크게 넓힌다.

Ⅰ. 개요 및 필요성

DPA는 암호 장치가 연산 중 소비하는 전력 파형을 여러 번 수집한 뒤, 특정 중간값이 0인지 1인지에 따라 평균 파형이 어떻게 갈리는지 분석해 키를 찾는 공격이다. SPA (Simple Power Analysis)가 단일 파형에서 분기나 곱셈 패턴을 읽는 방식이라면, DPA는 단일 파형으로는 보이지 않는 미세한 차이를 수천~수십만 개 trace의 통계 처리로 끌어올린다. 즉 한 번의 관측보다 "반복 가능한 물리 습관"을 겨냥하는 공격이다.

DPA가 중요한 이유는 강력한 AES (Advanced Encryption Standard)나 RSA (Rivest-Shamir-Adleman) 같은 알고리즘도 결국 실리콘 위에서 전압과 전류로 계산되기 때문이다. CMOS 게이트는 스위칭이 많을수록 더 많은 동적 전력을 소비하고, 이 차이가 전원선에 작은 흔적으로 남는다. 공격자는 수학적 약점을 찾지 못해도, 장치가 같은 키로 같은 연산을 반복한다면 물리적 흔적을 통해 비밀을 복원할 수 있다.

아래 그림은 DPA가 "암호화 결과"가 아니라 전력 파형의 반복 수집을 시작점으로 삼는다는 점을 보여준다.

┌──────────────────────────────────────────────────────────────────┐
│ DPA setup: capture many traces while one secret key is reused   │
├──────────────────────────────────────────────────────────────────┤
│ Power source ── Rshunt ── Target chip                           │
│                    │                                             │
│                    └── amplifier / oscilloscope -> trace_i(t)   │
│ Inputs    : P1, P2, P3, ...                                     │
│ Secret key: fixed during measurement                            │
│ Goal      : correlate traces with guessed intermediate values    │
└──────────────────────────────────────────────────────────────────┘

즉 DPA는 "기계를 열어보지 않고도, 전기 사용 습관만 모아 비밀을 추론하는 것"이다. 그래서 작은 스마트카드, MCU (Microcontroller Unit), 보안 토큰처럼 외형은 단순해도 반복 동작이 가능한 장치에 특히 치명적이다.

📢 섹션 요약 비유: DPA는 친구가 문제를 풀 때 연필을 얼마나 세게 누르는지 수천 번 기록해, 어떤 답을 쓸 때 힘이 더 들어가는지 찾는 것과 같다. 답안지를 직접 훔치지 않아도 습관이 비밀을 말해 버린다.

Ⅱ. 아키텍처 및 핵심 원리

DPA의 물리적 토대는 동적 전력의 데이터 의존성이다. 간단히 쓰면 P_dyn ≈ α × C × V² × f이며, 여기서 α는 스위칭 활동량이다. 비트가 많이 바뀌거나 특정 버스에서 전하 이동이 커질수록 전력 파형에 차이가 생긴다. 공격자는 이 차이를 직접 읽기보다, 중간 연산값에 대한 가설과 전력 파형의 상관을 계산한다.

대표적인 절차는 다음과 같다.

단계	공격자 작업	핵심 개념	결과
파형 수집	동일 키로 다수 입력을 넣고 전력 trace 저장	트리거 정렬, 샘플링 대역폭	`T1(t) ... Tn(t)`
중간값 선택	예: `SBox(Plaintext ⊕ KeyGuess)`	공격 가능한 내부 상태 설정	가설 대상 바이트 결정
누설 모델 적용	특정 비트, Hamming Weight, Hamming Distance 예측	전력과 데이터의 연결 모델	예측 벡터 생성
통계 계산	그룹 평균 차, 상관계수, t-test 계산	올바른 키 가설만 peak 형성	키 후보 축소

고전적인 DPA는 trace를 두 그룹으로 나누고 평균 차를 보는 방식이다. 예를 들어 가설 중간값의 특정 비트가 1이면 그룹 A, 0이면 그룹 B로 나눈 뒤 다음을 계산한다.

Δ[t] = mean(T[t] | bit = 1) - mean(T[t] | bit = 0)

올바른 키 가설이면 특정 시점에서 Δ[t]가 유의미한 peak를 만들고, 잘못된 가설이면 평균적으로 0에 가까워진다. 이후 CPA (Correlation Power Analysis)는 Hamming Weight 같은 모델과 상관계수를 사용해 더 정교하게 같은 원리를 확장한다.

아래 그림은 수많은 trace 속에서 올바른 키 가설만 뚜렷한 peak를 남기는 상황을 개념적으로 보여준다.

┌──────────────────────────────────────────────────────────────────┐
│ Correct key guess creates a visible statistical peak            │
├──────────────────────────────────────────────────────────────────┤
│ score                                                           │
│  ^                                                              │
│  |   wrong guesses  _  _  _                                     │
│  |                 / \/ \/ \__                                  │
│  |________________/______________\__________ time               │
│  |                               /\                             │
│  |                              /  \  correct guess             │
│  +───────────────────────────────────────────────────────────▶  │
└──────────────────────────────────────────────────────────────────┘

결국 DPA는 전력 파형의 절대값보다 입력 변화에 따라 같은 시간축에서 얼마나 일관된 차이가 반복되는가를 읽는다. 그래서 노이즈가 크더라도 반복 횟수가 충분하면 공격이 성립할 수 있다.

📢 섹션 요약 비유: DPA는 시끄러운 운동장에서 특정 학생의 발걸음 소리를 직접 듣는 대신, 모두가 여러 번 달린 기록을 겹쳐 보고 항상 같은 구간에서만 발소리가 커지는지를 찾는 것과 같다.

Ⅲ. 비교 및 연결

DPA는 같은 전력 계열 공격 안에서도 SPA, CPA, EMA와 구분해서 봐야 한다. SPA는 한두 개 trace에서 큰 패턴을 읽고, DPA는 다수 trace의 평균 차를 보며, CPA는 누설 모델과 상관계수로 더 정밀하게 계산한다. EMA (Electromagnetic Analysis)는 전력선 대신 근접 전자기장을 측정하지만, 통계적 사고방식은 DPA와 매우 가깝다.

기법	관측 대상	필요한 trace 수	장점	한계
SPA	단일 전력 파형의 큰 패턴	적음	장비 단순, 직관적	노이즈와 난독화에 약함
DPA	그룹 평균 차	수천~수십만	고전적이고 범용적	정렬·반복 환경 필요
CPA	누설 모델과의 상관계수	수천~수만	바이트 복구 효율 높음	모델 정확도 필요
EMA	전자기 누설 파형	상황에 따라 다양	비접촉, hotspot 선택 가능	장비·위치 탐색 난도 높음

방어 기술도 계층적으로 연결된다. 알고리즘 수준에서는 마스킹(Masking), 셔플링(Shuffling), constant-time 구현이 중요하고, 회로 수준에서는 듀얼 레일(Dual-Rail), 균형 배선(Balanced Routing), 전류 평탄화가 필요하다. 즉 DPA는 단순한 측정 기술이 아니라, 암호 구현 전체의 누설 구조를 검사하는 관점이다.

특히 파일명에도 남아 있는 DPA 내성 논리(DPA Resistant Logic)는 DPA를 방어하기 위해 등장한 대표 회로 철학이다. 공격을 이해해야 왜 듀얼 레일 논리, 균형 배선, 더미 스위칭이 필요한지도 자연스럽게 설명된다.

📢 섹션 요약 비유: SPA가 육안 관찰이라면 DPA는 여러 장의 사진을 겹쳐 숨은 그림을 찾아내는 방식이고, CPA는 거기에 자와 계산기까지 들고 와서 가장 잘 맞는 윤곽선을 찾는 방식이다.

Ⅳ. 실무 적용 및 기술사 판단

실무에서 DPA 위험도는 "반복 호출 가능성"과 "측정 접근성"이 거의 결정한다. 스마트카드, 보안 MCU, TPM (Trusted Platform Module), 하드웨어 지갑처럼 같은 비밀 키로 수많은 연산을 수행하는 장치는 DPA의 대표 표적이다. 반대로 세션마다 키가 바뀌거나, 측정이 어렵고, 내부 연산이 잘 마스킹되어 있으면 공격 비용이 크게 오른다.

기술사 판단 기준

반복 인터페이스 차단: 같은 키로 무제한 서명·복호화를 허용하면 공격자가 필요한 trace를 모으기 쉽다.
마스킹 + 하이딩 병행: 마스킹만으로 충분하지 않고, 셔플링·노이즈·DPA 내성 논리 같은 하이딩(Hiding) 계열 방어를 겹쳐야 한다.
평가 자동화: 설계 완료 후 TVLA의 fixed-vs-random t-test를 수행해 |t| > 4.5 누설 지점을 찾는 절차를 필수화한다.
패키지·보드 고려: 디커플링 커패시터 하나로 끝난다고 생각하면 안 되고, 레이아웃과 리턴 패스까지 포함해 측정 경로를 줄여야 한다.

실무 체크리스트

공격자가 chosen plaintext나 chosen ciphertext를 반복 입력할 수 있는가?
테스트 핀, 션트 저항, 디버그 커넥터가 현장에 노출되어 있는가?
S-box lookup, 분기, 메모리 접근이 마스킹 없이 키에 의존하는가?
개발 완료 후 TVLA, CPA, 고차 DPA까지 포함한 물리 보안 검증을 수행했는가?

안티패턴

전원선 필터만 달면 전력 공격이 끝난다고 믿는 것
소프트웨어 난수 삽입만으로 충분하다고 판단하는 것
인증 평가 없이 "우리 제품은 trace가 시끄러워서 안전하다"고 결론내리는 것

DPA 방어는 성능·면적·전력 예산과 충돌하지만, 금융·국방·보안 칩에서는 비용보다 신뢰가 더 중요하다. 기술사 관점에서는 "암호 알고리즘 채택"만이 아니라, 그 알고리즘이 전력이라는 물리 언어로 얼마나 조용하게 말하는가까지 검토해야 한다.

📢 섹션 요약 비유: DPA 방어는 비밀 회의를 방음실에서 하는 것과 같다. 말 자체를 바꾸는 것도 중요하지만, 목소리 크기와 울림까지 통제해야 밖에서 내용을 짐작하지 못한다.

Ⅴ. 기대효과 및 결론

DPA를 이해하면 보안 칩 설계가 단순히 "정답을 계산하는 회로"를 만드는 일이 아니라는 사실이 분명해진다. 올바른 값이 나와도 그 과정에서 키가 전력 파형으로 새면 시스템은 이미 무너진 것이다. 따라서 물리 보안은 기능 검증의 부록이 아니라, 구현 단계의 핵심 요구사항이어야 한다.

물론 DPA에도 제약은 있다. 측정 장비, 트리거 정렬, 많은 trace, 고정된 키 재사용이 필요하므로 모든 환경에서 즉시 가능한 것은 아니다. 하지만 공격 도구가 저렴해지고 머신러닝 기반 분류와 고차 통계 기법이 발전하면서, "예전엔 연구실 공격"이던 것이 점점 실무 위협으로 내려오고 있다.

결론적으로 DPA는 암호의 안전성이 수학적 강도만으로 결정되지 않는다는 사실을 보여준다. 좋은 보안 아키텍처는 알고리즘, 소프트웨어, 회로, 패키지, 검증 절차를 함께 설계하여 물리 누설까지 통제하는 아키텍처다.

📢 섹션 요약 비유: 아무리 튼튼한 금고라도 열쇠를 돌릴 때마다 덜컥거리는 소리가 다르면 도둑은 패턴을 배운다. 진짜 안전한 금고는 열릴 때도 항상 같은 소리만 내야 한다.

📌 관련 개념 맵

개념	연결 포인트
SPA (Simple Power Analysis)	단일 trace에서 큰 패턴을 읽는 전력 분석의 출발점
Hamming Weight / Hamming Distance	중간값과 전력 누설을 연결하는 대표 누설 모델
CPA (Correlation Power Analysis)	DPA 원리를 상관계수 기반으로 확장한 정밀 분석 기법
TVLA (Test Vector Leakage Assessment)	제품이 통계적으로 누설되는지 검증하는 대표 평가 절차
DPA 내성 논리	듀얼 레일, 균형 배선 등으로 데이터 의존 전력 차이를 줄이는 하드웨어 방어

📈 관련 키워드 및 발전 흐름도

CMOS 스위칭 전력 누설
    │
    ▼
SPA (단일 trace 관찰)
    │
    ▼
DPA (그룹 평균 차 분석)
    │
    ▼
CPA · 고차 DPA · ML 기반 분류
    │
    ▼
Masking · Shuffling · DPA 내성 논리 · TVLA 검증

이 흐름은 물리 누설의 발견이 공격 통계의 정교화로 이어지고, 다시 설계·검증의 다층 방어 체계로 발전하는 과정을 요약한다.

👶 어린이를 위한 3줄 비유 설명

컴퓨터가 비밀 계산을 할 때 전기를 조금씩 다르게 쓰면, 밖에서 그 흔적을 모아 비밀을 맞힐 수 있어요.
DPA는 그 작은 흔적을 한 번이 아니라 아주 많이 모아서, 어느 비밀번호가 제일 그럴듯한지 찾는 방법이에요.
그래서 안전한 컴퓨터는 어떤 숫자를 계산해도 전기를 거의 똑같이 쓰도록 만들어야 해요.