101. SHA-3 (Keccak) — 스펀지 구조(Sponge Construction), NIST 2015

핵심 인사이트 (3줄 요약)

본질: SHA-3는 미국 NIST가 공모전을 통해 채택한 Keccak(케착) 알고리즘 기반의 차세대 암호학적 해시 함수로, 기존 해시 함수들과 완전히 다른 **스펀지 구조(Sponge Construction)**를 사용한다.
가치: 널리 쓰이는 MD5, SHA-1, SHA-2가 공통으로 안고 있는 머클-담가드(Merkle-Damgård) 구조의 치명적 결함인 '길이 확장 공격(Length Extension Attack)'을 수학적으로 원천 봉쇄하여 암호 생태계의 다양성과 생존력을 확보했다.
판단 포인트: 현재 주력인 SHA-2가 아직 뚫리지 않아 전면 교체되지는 않았지만, 구조적 플랜 B가 필요하거나 이더리움(Ethereum)처럼 최고 수준의 보안과 임의 길이 출력이 요구되는 최신 블록체인 환경에서는 이미 표준으로 자리 잡았다.

Ⅰ. 개요 및 필요성

해시 함수는 임의의 데이터를 고정된 길이의 지문(Hash Value)으로 바꿔주는 무결성 검증의 핵심 기술이다. 2000년대 중반, IT 업계를 지탱하던 MD5와 SHA-1 알고리즘에서 연달아 충돌(Collision) 취약점이 발견되면서 암호학계는 패닉에 빠졌다.

진짜 문제는 취약점이 발견되지 않은 최후의 보루, SHA-2마저도 앞선 실패작들과 똑같은 설계 뼈대인 '머클-담가드(Merkle-Damgård)' 구조를 기반으로 만들어졌다는 점이었다. 만약 이 구조 자체가 수학적으로 완전히 파훼된다면 인터넷의 모든 암호 체계가 일거에 붕괴할 위험이 있었다. 이에 NIST는 2007년, 기존과 구조 자체가 180도 다른 예비용 해시 함수를 찾기 위해 공모전을 열었고, 그 결과 스펀지 구조를 제안한 Keccak 알고리즘이 우승하며 2015년 SHA-3로 제정되었다.

📢 섹션 요약 비유: 우리 마을을 지키는 1번, 2번 로봇(MD5, SHA-1)이 똑같은 관절 약점 때문에 악당에게 파괴되었다. 3번 로봇(SHA-2)이 아직 튼튼하긴 하지만 관절 구조가 똑같아 언제 부서질지 몰라 불안했다. 그래서 마을 사람들은 아예 금속 대신 '외계 고무(스펀지 구조)'로 만든 완전히 새로운 설계의 4번 로봇(SHA-3)을 예비용으로 만들어 대기시켜 둔 것이다.

Ⅱ. 아키텍처 및 핵심 원리

SHA-3의 혁신은 데이터를 처리하는 방식인 **스펀지 구조 (Sponge Construction)**에 있다. 머클-담가드는 데이터를 일정 크기의 블록으로 잘라 차례대로 입력하는 단순 직렬 구조여서 끝단에 가짜 데이터를 이어붙이는 '길이 확장 공격'에 속수무책이었다. SHA-3는 스펀지가 물을 끝없이 빨아들이고 다시 짜내는 원리를 수학적으로 구현했다.

내부 상태(State) 공간은 외부와 소통하는 비트레이트 구역($r$, 겉부분)과 외부에 절대 노출되지 않는 용량 구역($c$, 속부분)으로 나뉜다.

흡수 단계 (Absorbing Phase): 입력 데이터는 외부와 맞닿은 $r$ 구역에만 XOR 연산으로 섞여 들어간다. 데이터가 들어올 때마다 특수한 내부 섞기 함수($f$)가 돌아가며 외부의 $r$과 내부 블랙박스인 $c$를 무자비하게 뒤섞어 데이터를 완전히 흡수해 버린다.
짜내기 단계 (Squeezing Phase): 흡수가 끝나면 함수($f$)를 돌리면서 $r$ 구역에 고인 데이터를 원하는 길이(128비트, 256비트 등)만큼 뚝뚝 떨어뜨려 해시 결과물을 출력한다.

┌──────────────────────────────────────────────────────────────┐
│           SHA-3의 스펀지 구조 (Sponge Construction)          │
├──────────────────────────────────────────────────────────────┤
│ [ 1. 흡수(Absorbing) ]                                       │
│ 입력(M1) ──┐ (XOR)                                           │
│            ▼                                                 │
│      ┌─────r (비트레이트: 외부에 열려 있는 공간) ─────┐      │
│      │ ▒▒▒▒▒ 내부 섞기 함수(f) 치환 및 확산 ▒▒▒▒▒▒▒ │      │
│      └─────c (용량: 절대 노출되지 않는 블랙박스) ─────┘      │
│      ※ 해커는 c 구역을 볼 수 없어 내부 상태 추론 불가       │
│                                                              │
│ [ 2. 짜내기(Squeezing) ]                                     │
│ 흡수 완료 ─▶ 섞기(f) 실행 ─▶ r 구역에서 Z1 출력(Squeeze)     │
│             ─▶ 섞기(f) 실행 ─▶ r 구역에서 Z2 출력(Squeeze)     │
│      ※ 무한정 짜낼 수 있어 가변 길이 출력 지원              │
└──────────────────────────────────────────────────────────────┘

이 다이어그램은 해커가 임의의 데이터를 뒤에 덧붙여 조작하려 해도, 내부의 거대한 암묵적 상태 공간($c$)을 알 수 없기 때문에 수학적인 연산 확장이 불가능함을 보여준다.

📢 섹션 요약 비유: 옛날 투명한 믹서기(SHA-2)는 과일을 넣으면 쥬스가 차오르는 게 밖에서 다 보였다. 반면 스펀지 믹서기(SHA-3)는 과일을 넣으면 속이 새까만 거대한 스펀지가 국물을 흔적도 없이 빨아들인다. 나중에 수도꼭지를 틀어 원하는 만큼만 쥬스를 따라 마시는, 구조 자체가 완전히 다른 신개념 발명품이다.

Ⅲ. 비교 및 연결

새로운 해시 함수를 도입할 때는 성능과 범용성이 중요한 선택 기준이 된다.

비교 항목	SHA-2 (SHA-256 등)	SHA-3 (Keccak)
설계 구조	머클-담가드 (Merkle-Damgård)	스펀지 (Sponge Construction)
길이 확장 공격 방어	취약함 (내부 상태가 결과값에 노출됨)	완벽 방어 (용량 $c$ 구역이 철저히 은닉됨)
출력 길이	고정됨 (256, 512 비트 등)	유연함 (Squeezing을 통해 원하는 만큼 출력 가능)
소프트웨어 성능	매우 빠름 (수십 년간 CPU 명령어 최적화됨)	상대적으로 느림 (아직 하드웨어 지원 부족)
하드웨어 (ASIC) 성능	보통	매우 빠르고 칩 면적 효율이 우수함

SHA-3는 소프트웨어 환경에서는 기존 SHA-2 대비 속도 저하가 있어 범용 웹 서버 등에서는 즉각적인 세대교체가 일어나지 않았다. 하지만 구조가 단순하여 실리콘(칩)으로 구워낼 때는 면적을 덜 차지하고 훨씬 빠르다는 장점이 있다.

📢 섹션 요약 비유: SHA-2는 오래된 고속도로망 같아서 모든 자동차(CPU)가 최고 속도로 달릴 수 있도록 길이 매끈하게 닦여 있다. 반면 SHA-3는 방어력이 엄청난 신형 탱크용 도로라 아직 일반 자동차들이 달리기는 뻑뻑하지만, 전용 트랙(하드웨어)에 올리면 무서운 속도를 낸다.

Ⅳ. 실무 적용 및 기술사 판단

현재 실무에서 "무조건 SHA-2를 버리고 SHA-3로 갈아타야 한다"는 것은 잘못된 판단이다. SHA-2는 여전히 안전하며, 무리한 전환은 시스템의 성능 저하와 호환성 이슈만 낳는다.

이더리움(Ethereum)과 블록체인: 비트코인은 SHA-256을 쓰지만, 이더리움은 스마트 컨트랙트 환경에서 임의 길이의 유연한 해시 생성이 필요하고 보안적 독립성을 갖추기 위해 SHA-3(정확히는 Keccak-256)를 지갑 주소 생성과 해시 연산의 기본 표준으로 채택하여 적극 활용 중이다.
다층 방어 (Defense in Depth): 보안 책임자는 SHA-2의 충돌 내성이 깨질 최악의 '제로데이(Zero-Day)' 사태를 대비하여, 소프트웨어 아키텍처 내에 해시 함수를 SHA-3로 즉각 스위칭(Agility) 할 수 있는 모듈화 설계를 미리 갖춰두는 전략적 유연성이 필요하다.
📢 섹션 요약 비유: 지금 쓰는 자물쇠(SHA-2)가 아주 튼튼한데 굳이 돈과 시간을 들여 새 자물쇠(SHA-3)로 당장 다 바꿀 필요는 없다. 다만, 도둑들이 지금 자물쇠를 따는 마스터키를 개발했다는 소문이 돌면 즉시 1초 만에 스위치를 눌러 새 자물쇠 체계로 바꿀 수 있는 예비 설계도를 준비해 두는 것이 진짜 실력이다.

Ⅴ. 기대효과 및 결론

SHA-3의 존재 가치는 성능이 아니라 '구조적 이질성(Diversity)'이 주는 안도감에 있다. 전 세계의 인증서, 블록체인, 패스워드 시스템이 단일 설계 구조(머클-담가드)에 의존하던 단일 장애점(SPOF) 리스크를 스펀지 구조를 통해 완벽하게 해소했다.

결론적으로 SHA-3는 기존 기술의 실패를 딛고 나온 대체재가 아니라, 인류의 암호 생태계가 양자 컴퓨터나 천재 수학자의 공격 앞에서도 한 번 더 버틸 수 있도록 만들어진 강력한 '방공호'이자 다층 방어 철학의 승리다.

📢 섹션 요약 비유: 비행기를 설계할 때, 메인 엔진(SHA-2)과 똑같은 원리의 예비 엔진을 달면 같은 원인으로 둘 다 꺼질 수 있다. 그래서 예비 엔진은 아예 원리가 다른 제트 엔진(SHA-3)으로 달아둔다. 평소엔 안 쓰더라도, 이 이질적인 백업이 있다는 것 자체가 비행기의 생존 확률을 100배 올려준다.

📌 관련 개념 맵

개념	연결 포인트
머클-담가드 (Merkle-Damgård)	MD5, SHA-1, SHA-2가 사용하는 직렬 연쇄 해시 구조로, SHA-3가 타파하고자 한 대상
길이 확장 공격 (Length Extension Attack)	메시지 끝에 악성 데이터를 이어 붙여 새로운 유효 해시를 만들어내는 취약점
해시 충돌 (Hash Collision)	서로 다른 두 평문이 동일한 해시값을 뱉어내는 치명적 에러 (SHA-3는 이에 강력한 내성 보유)
이더리움 (Ethereum)	Keccak-256(SHA-3)을 핵심 암호 해시 알고리즘으로 채택한 대표적인 블록체인 플랫폼

📈 관련 키워드 및 발전 흐름도

MD5 / SHA-1 - 머클-담가드 기반, 충돌 취약점 발생으로 퇴출
    │
    ▼
SHA-2 (SHA-256, 512) - 현재 표준이나 동일한 머클-담가드 구조로 잠재적 불안감 존재
    │
    ▼
NIST SHA-3 공모전 개최 - 구조적 다양성 확보를 위한 예비 해시 함수 발굴
    │
    ▼
Keccak 우승 및 SHA-3 표준화 - 스펀지 구조(Sponge Construction) 채택
    │
    ▼
이더리움 등 차세대 플랫폼 융합 - 길이 확장 공격 원천 방어 및 가변 출력 활용

이 흐름도는 성능 개선이 아닌, 치명적 약점을 근본적으로 우회하기 위한 '구조적 패러다임 전환'의 역사를 보여준다.

👶 어린이를 위한 3줄 비유 설명

지금 우리가 쓰는 훌륭한 금고(SHA-2)는 아주 튼튼하지만, 옛날에 털렸던 금고들이랑 문짝 모양이 똑같아서 왠지 찝찝했어요.
그래서 똑똑한 발명가들이 문짝 모양부터 잠그는 원리까지 180도 완전히 다른 스펀지 모양의 예비 금고(SHA-3)를 발명해서 옆방에 대기시켜 놨죠.
지금 당장은 쓰던 금고가 안 부서져서 그대로 쓰지만, 만약 부서지는 날이 오면 바로 옆방의 새 금고로 짐을 옮기면 되니까 인터넷 세상은 늘 안전하답니다!