<312DB1E2C8B9BDC3B8AEC1EE2DB1C7B4EBBCBA2E687770>

주간기술동향 2019. 9. 25. 기획시리즈 chapter 1 차세대표준암호기술동향 * 노동영 권대성 국가보안기술연구소선임연구원국가보안기술연구소센터장 미국 NIST와국제표준화기구 ISO/IEC, ITU-T 등은현암호시스템에대한양자컴퓨터의위협에대응하기위해양자내성공개키암호 (Post Quantum Cryotography: PQC) 와양자키분배 (Quantum Key Distribution: QKD) 기술에대한표준화를추진하고있다. 그리고 ISO/IEC는초연결환경에서데이터의신뢰성제공을위한경량암호표준체계를갖추어가고있다. 본고에서는양자내성공개키암호, 양자키분배기술의소개와표준화진행현황을살펴보고자한다. 그리고 SW 환경에서최고성능을지닌국내블록암호 LEA의 ISO/IEC 경량암호분야표준화가 2019년말완료될예정임에따라, 미국의표준화실패사례등과비교하여체계적으로준비가되었던 LEA의개발및표준화과정을소개하고자한다. I. 서론 4차산업혁명시대에접어들면서다양하게생성 유통되는정보의보호, 자동화된기기의제어안전성확보, 다양화 소형화된디바이스의보안, 개인정보보호의필요성이증가하고있는데, 가장기반이되는것은암호기술이다. 고대로부터우리생활의안전과매우밀접한관계가있었던암호기술은현대에들어서는해독기술의발전및요구조건의고도 * 본내용은노동영선임연구원 ( 042-870-4786, dyroh@nsr.re.kr) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 2 www.iitp.kr

기획시리즈 차세대보안 화로, 안전하면서도성능이좋은암호기술의개발은매우어렵고도전적인과제가되었다. 뿐만아니라, ICT 및정보보안시장이글로벌화됨에따라암호기술에대한국제표준화의필요성도증가하고있다. 암호기술국제표준화는미국, 유럽등이주도하고있었으나, 최근에는중국의약진이눈에띄고있다. 현재연구 / 개발및표준화가가장활발한암호기술분야는미국 NIST가 1) 공모사업을진행하고있는양자컴퓨팅에안전한공개키암호, 도청에대한완벽한물리적안전성제공이가능한양자키분배기술과초연결시대에서요구되고있는경량암호기술이다. 본고에서는앞서언급한세암호기술분야에대해간단히설명하고, 관련표준기술동향을살펴보고자한다. II장에서는양자내성공개키암호, III장에서는양자키분배기술, IV장에서는경량암호기술을설명하고, 표준화동향을살펴본다. 마지막으로 V장에서본고의결론을제시한다. II. 양자내성공개키암호 현재가장널리사용되는공개키암호로는 RSA(Rivest-Shamir-Adleman, 1977), ECC (Elliptic Curve Cryptography, 타원곡선암호, 1985) 를들수있다. 이들은소인수분해또는이산로그문제라는수학적난제에안전성의기반을두고있다. 하지만양자컴퓨터가개발되면소인수분해및이산로그문제는다항식시간내에해결이가능해현공개키암호들이더이상안전하지않게된다. 이러한이유로양자컴퓨터에안전한수학적난제및이를이용한공개키암호의개발이활발하게진행되고있으며, 이를표준화하기위한작업도동반되고있다. 앞서언급한양자컴퓨팅에안전한공개키암호는양자내성암호또는 Post Quantum Cryptography(PQC) 로부르고있다. 양자컴퓨터를이용한현공개키암호의해독에는아직많은시간이남아있다고예상되지만, PQC의개발및표준화는지금부터준비해야한다. 캐나다양자컴퓨팅분야전문가모스카의부등식 (Mosca s inequality) 에서보듯이암호기술은개발후적용에걸리는기간및데이터보호가필요한기간을고려하였을때, 해독기술이본격화되기수년전에 1) 미국국립표준기술연구소 (National Institute of Standards and Technology) 정보통신기획평가원 3

주간기술동향 2019. 9. 25. < 자료 > The ship has sailed, Dustin Moody, 2017. [ 그림 1] 모스카의부등식 개발및표준화가완료되어야하기때문이다 ([ 그림 1] 참조 ). PQC에대한구체적논의는 2006년 PQCrypto 학회가시작되면서본격화되었다. 하지만기술개발은 1970 년대후반부호기반공개키암호 McEliece 및해시함수기반 Lamport, Merkle 전자서명, 2000년대초격자기반공개키암호 NTRU 등이미오래전부터연구 / 개발되고있었다. 현재도연구 / 개발이매우활발하며, 최근에는 PQC의구현테스트도다방면으로이루어지고있다. 예를들어, Microsoft는 PKI에전자서명 PICNIC을구현하였고, 키교환알고리즘 NewHope은구글의인터넷브라우저크롬및인피니언비접촉보안칩에구현되었다. NIST에서는양자컴퓨터위협에대응하여, 2016년기존의표준공개키암호를대체하기위한 PQC 공모사업을시작하였다. 1라운드평가대상접수는 2017년 12월까지이루어졌는데, 전세계적으로 69개의후보가제출되었다. 우리나라에서도 5개를학계, 연구소등이제안하였다. 후보들은기반을두는문제특성에따라격자 (lattice), 코드 (code), 다변수 (MP), 해시 (hash), 타원곡선 (isogeny) 의 5종으로분류가능하며, 기능별로는암호화 / 키교환, 전자서명 2종으로분류할수있다. 주로안전성관점에서 1라운드후보들에대한평가가진행되었고, 2019년 1월에 26개의 2라운드후보를선정하였다 ([ 표 1] 참조 ). 아시아에서는중국이제안한 1개의알고리즘만 2라운드후보에포함되었고, 미국, 프랑스, 네덜란드에서제안한알고리즘 4 www.iitp.kr

기획시리즈 차세대보안 들이주를이루었다. 2 라운드에서는안전성과더불어성능평가가이루어질예정이다. 최 종표준선정은안전성 / 효율성등의공개검증을위해 3~5 년정도걸릴것으로예상된다. NIST 공모사업과더불어국제표준화기구인 ISO(International Organization for [ 표 1] NIST PQC 표준화프로젝트 2라운드선정공개키암호 알고리즘명 대표저자 대표기관 대표국가 기반문제 기능 BIKE R. Misoczki Intel 미국 Code 암호화 / 키교환 Classic McEliece D. J. Bernstein University of Illinois 미국 Code 암호화 / 키교환 CRYSTALS-KYBER P. Schwabe Radboud University 네델란드 Lattice 암호화 / 키교환 FrodoKEM M. Naehrig Microsoft 미국 Lattice 암호화 / 키교환 HQC P. Gaborit University of Limoges 프랑스 Code 암호화 / 키교환 LAC X. Lu Chinese Academy of Sciences 중국 Lattice 암호화 / 키교환 LEDAcrypt M. Baldi Universit`a Politecnica delle Marche 이탈리아 Code 암호화 / 키교환 NewHope T. Poppelmann Infineon Technologies AG 독일 Lattice 암호화 / 키교환 NTRU Z. Zhang Onboard Security 미국 Lattice 암호화 / 키교환 NTRU Prime D. J. Bernstein University of Illinois 미국 Lattice 암호화 / 키교환 NTS-KEM M. Albrecht Royal Holloway Univ. of London 영국 Code 암호화 / 키교환 ROLLO P. Gaborit University of Limoges 프랑스 Code 암호화 / 키교환 Round5 O. Garcia-Morchon Phillips 네델란드 Lattice 암호화 / 키교환 RQC P. Gaborit University of Limoges 프랑스 Code 암호화 / 키교환 SABER F. Vercauteren KU Leuven 벨기에 Lattice 암호화 / 키교환 SIKE D. Jao University of Waterloo 캐나다 ETC 암호화 / 키교환 Three Bears M. Hamburg Rambus 미국 Lattice 암호화 / 키교환 CRYSTALS-DILITHIUM V. Lyubashevsky IBM Zurich 스위스 Lattice 전자서명 FALCON T. Prest Thales Commun. & Security 프랑스 Lattice 전자서명 GeMSS L. Perret Sorbonne Universities 프랑스 MP 전자서명 LUOV W. Beullens KU Leuven 벨기에 MP 전자서명 MQDSS S. Samardjiska Radboud University 네델란드 MP 전자서명 Picnic G. Zaverucha Microsoft 미국 Hash 전자서명 qtesla N. Bindel TU Darmstadt 독일 Lattice 전자서명 Rainbow J. Ding University of Cincinnati 미국 MP 전자서명 SPHINCS+ A. Hulsing Eindhoven Univ. of Technology 네델란드 Hash 전자서명 정보통신기획평가원 5

주간기술동향 2019. 9. 25. Standardization)/IEC(International Electrotechnical Commission) 도 PQC에대한지속적인논의를하고있다. JTC 1/SC 27/WG 2에서는 2) 다양한 PQC 알고리즘에대한조사및표준화준비를위해공개기술문서인 standing document를작성중이다 (SD8, [ 표 2] 참조 )[4]. 최근회의에서는기술현황에대한기술발표를진행하고있으며, 본격적인표준화는 NIST 공모사업이완료된후에진행될것으로예상된다. 다만, PQC 기술중개발후충분한검증기간을가졌던해시함수기반전자서명에대해서는우선적인표준화가진행될예정이다. PQC 개발및표준화의가장큰숙제는 양자컴퓨터에대한안전성을어떻게검증하는가? 이다. 아직고성능의양자컴퓨터가개발되지않았기때문에 PQC의안전성기반이되는수학적난제들을해결할수있는양자알고리즘을비롯하여양자인공지능을이용한문제해결방법등에더많은연구와시간이필요하다. 결과에따라 PQC 알고리즘개발은변화의여지가남아있으며, 보안에적용하기위한규격완성및표준화등도상당기간이소요되고많은변화를동반할것으로예상된다. [ 표 2] ISO/IEC JTC 1/SC 27/WG 2 SD8 세부프로젝트개발현황 연번 프로젝트명 비고 Part 1 General post-quantum & motivation draft posted Part 2 Hash-based signatures draft posted Part 3 Lattice-based cyptography draft posted Part 4 Coding-based encryption draft posted Part 5 Multivariate-based signatures under development Part 6 Isogeny-based encryption draft posted III. 양자키분배 양자키분배는에너지의최소단위인양자 ( 量子, Quantum) 를이용하여암호키를전달 하는기술이다. 이기술의특징은기존공개키암호나 PQC 와같이수학적난제에기반을 2) Information security, cybersecurity and privacy protection Cryptography and security mechanisms 6 www.iitp.kr

기획시리즈 차세대보안 두지않고불확정성의원리 (Uncertainty Principle), 복제불가능정리 (No Cloning Theorem) 등양자물리학의기본가정에기반을두고안전성을보장한다는것이다. 특히, 양자컴퓨터, 슈퍼컴퓨터등컴퓨팅능력이발전되어도안전성이저하되지않고, 컴퓨터를활용한문제해결알고리즘능력의발전과도무관하여장기간사용하여도안전성이저하되지않는장점을가지고있다. 양자암호키분배기술은 1984년 Bennett과 Brassard가양자를이용하여안전하게암호키를분배하는프로토콜을발표하면서시작되었다 [6]. 두사람이제안한프로토콜은 BB84라불리며, 현재에도가장많이활용되고있다. 양자키분배기술은현재 IDQ( 스위스 ), Toshiba( 일본 ), MagiQ( 미국 ), Quantum CTek ( 중국 ), SKT 등다양한회사에서상용화혹은상용화준비를진행하고있다 ([ 표 3] 참조 ). 상용화기술은단일광자사용의어려움을극복하기위해고안된디코이적용 BB84 프로토콜을구현한시스템이대부분이며, 대체적으로 50km 내외의전송거리에서최적키생성률이제시되고있다. [ 표 3] 주요회사의양자키분배시스템 회사명 Toshiba IDQ NEC QAsky Quantum CTek SKT Key Rate 13.72Mbps @10km 1.42kbps @50km 112.4kbps @22km 40kbps @50km 50kbps @50km 10kbps @50km Key Rate@50km 2.17Mbps 1.42kbps 40kbps 40kbps 50kbps 10kbps Protocol Decoyed BB84 COW Decoyed BB84 Decoyed BB84 Decoyed BB84 Decoyed BB84 Encoding Phase Time-bin Phase Phase Polarization Phase < 자료 > Toshiba (2017 ETSI Quantum Workshop 발표 ) 그런데, 이기술의구현문제는 1 일정한간격으로단일광생성 2 수신디바이스의감지오류 3 광원의도달거리 ( 상용광통신망약 100km 내외 ) 등으로좁혀질수있다. 이러한문제를해결하기위한기술개발이지금도진행중이다. 양자키분배는상기구현한계에따른문제들과더불어암호시스템공격기술인각종물리적 /SW적, 지능적공격등에대해서도충분한검토가요구된다. 양자키분배표준화에대한검토를앞서서진행한곳은유럽표준협회인 ETSI(European Telecommunications Standards Institute, 유럽전기통신표준협회 ) 이다. ETSI는양자 정보통신기획평가원 7

주간기술동향 2019. 9. 25. [ 표 4] 양자키분배관련 ETSI 출판물 출판명 ETSI GS QKD 012 V1.1.1 ETSI GS QKD 014 V1.1.1 ETSI GR QKD 007 v1.1.1 ETSI GR QKD 003 v2.1.1 ETSI GS QKD 011 V1.1.1 ETSI GS QKD 005 V1.1.1 ETSI GS QKD 008 V1.1.1 ETSI GS QKD 004 V1.1.1 ETSI GS QKD 002 V1.1.1 제목 Quantum Key Distribution(QKD): Device and Communication Channel Parameters for QKD Deployment Quantum Key Distribution(QKD): Protocol and data format of REST-based key delivery API Quantum Key Distribution(QKD): Vocabulary Quantum Key Distribution(QKD): Components and Internal Interfaces Quantum Key Distribution(QKD): Components characterization: characterizing optical components for QKD systems Quantum Key Distribution(QKD): Security Proofs Quantum Key Distribution(QKD): QKD Module Security Specification Quantum Key Distribution(QKD): Application Interface Quantum Key Distribution(QKD): Use Cases 키분배위원회를두고있으며, 7개의 GS(Group Specification) 와 2개의 GR(Group Report) 을출판하고갱신하고있다 ([ 표 4] 참조 ). 국내에서는 TTA(Telecommunications Technology Association, 한국정보통신기술협회 ) 에서표준화를진행하고있는데, 통신망기술위원회 (TC2) 에서는 ETSI 문서도입표준을, 정보보호기술위원회 (TC5) 에서는국가공공도입에필요한프로토콜규격과보안요구사항을독자적으로개발하고있다 ([ 표 5] 참조 ). [ 표 5] 양자키분배관련 TTA 표준화 표준번호 표준명 TTAK.KO-12.0329-Part1 TTAK.KO-12.0329-Part2 양자키분배 : 제 1 부 : 일반 양자키분배 : 제 2 부 : BB84 프로토콜 2019 년출판예정양자키분배 : 보안요구사항 TTAE.ET-GS QKD 008 TTAE.ET-GS QKD 011 TTAE.ET-GS QKD 004 TTAE.ET-GS QKD 003 양자키분배 : 모듈보안규격양자키분배 : 구성요소특성화 : QKD시스템의광학구성요소특성화양자키분배망 : 응용인터페이스양자키분배 : 구성요소및내부인터페이스 8 www.iitp.kr

기획시리즈 차세대보안 ISO/IEC에서는중국이표준화추진에앞장서고있다. 암호키분배관련표준은 TTA 표준에서처럼크게두가지로분류된다. 프로토콜동작규격을정하는암호알고리즘과이를암호모듈에서안전하게운용하기위한보안요구사항 ( 또는평가기준 ) 으로나뉜다. 일반적인표준화절차는암호프로토콜 ( 알고리즘 ) 표준화가선행된다. 그러나 ISO/IEC의암호알고리즘표준화그룹에서는이를지지하고있지않아서, 중국등은규격이명시되지않은평가기준표준화만을추진하고있다. 2017년가을독일회의에서표준화추진이제안되었고, 2019년봄이스라엘회의에서정식표준화과제로채택되었다 ([ 표 6] 참조 ). [ 표 6] 양자키분배관련 ISO/IEC JTC 1/SC 27 표준화 프로젝트번호 제목 23837-1 Security requirements, test and evaluation method for qkd-part 1. Requirements 23837-2 Security requirements, test and evaluation method for qkd-part 2. Test and evaluation methods 한편, ITU-T 에서는양자키분배활용및양자난수발생기구조에대한다양한표준화를 SG13 과 SG17 에서진행하고있다. ITU-T 의국제표준화는 KT(SG13) 및 SKT(SG17) 가 문서개발주관을맡아표준화활동을주도하고있다 ([ 표 7] 참조 ). [ 표 7] 양자키분배관련 ITU-T 표준화추진현황 프로젝트번호 제목 Y.3800 Framework for networks supporting QKD Y.QKDN_SDNC Y.QKDN_Arch Y.QKDN_KM Y.QKDN_CM X.cf-QKDN X.qrng-a TR.sec-qkd X.sec-QKDN-km X.sec-QKDN-ov Software Defined Network Control for Quantum Key Distribution Networks Functional architecture of the Quantum Key Distribution Network Key management for Quantum Key Distribution Network Control and Management for Quantum Key Distribution Network Use of cryptographic functions on a key generated in QKD networks Quantum noise random number generator architecture for consent Technical report on security framework for quantum key distribution in telecom network Security requirements for quantum key distribution networks key management Security requirements for quantum key distribution networks overview X,5Gsec-q Security guidelines for applying quantum-safe algorithms in 5G systems 정보통신기획평가원 9

주간기술동향 2019. 9. 25. ISO/IEC 표준화는프로토콜을특정하지않는평가방법을대상으로하고있어보안성검토에한계가있을것으로보이며, ITU-T 표준화는다양한의견제기단계이다. 암호키분배는암호시스템에있어서핵심적인안전성을제공하는요소이므로, 충분한검토및객관적신뢰성확보가필요한부분이다. 암호키분배의취약점은정보시스템전체의붕괴로연결될수도있기때문에, 암호를주도하고있는미국등에서양자키분배의표준화에신중을기하고있다. IV. 경량암호 기존암호화알고리즘분야에서는경량암호가최근이슈가되고있다. 초연결시대가도래하면서데이터를더작은기기에서더빠르게암호화해야할필요성이대두되고있다. ISO/IEC에서는제법오래전부터경량암호를하나의분야로지정하여표준화를하고있다 [2]. 경량암호표준은다양한부분으로나뉘어있는데 ([ 표 8] 참조 ), 가장논의가치열하고기술집약적인부분이블록암호분야이다 [3]. 기존표준으로는유럽의 PRESENT와일본의 CLEFIA가있는데활용도는크지않다. 이분야의가장큰변화는미국 NSA(National Security Agency, 미국국가안보국 ) 가 2013 년두개의경량블록암호 SIMON/SPECK[5] 을발표하면서이루어졌다. 특히, SIMON/ SPECK은기존어떤블록암호들보다우수한경량성을보유하고있을뿐만아니라, NSA [ 표 8] ISO/IEC 경량암호분야 (ISO/IEC 29192 Lightweight cryptography) 세부프로젝트 프로젝트연번 프로젝트명 비고 29192-1 General - 29192-2 Block ciphers LEA 포함추진중 29192-3 Stream ciphers - 29192-4 Mechanisms using asymmetric techniques - 29192-5 Hash-functions - 29192-6 Message authentication codes (MACs) 개발중 29192-7 Broadcast authentication protocols 개발중 29192-8 Authenticated encryption 개발중 10 www.iitp.kr

기획시리즈 차세대보안 가처음으로공개적으로개발한암호알고리즘이어서많은관심을받았다. 미국은 2016년두암호를 ISO/IEC 암호기술그룹에제출하였다. 그러나 2013년스노든의폭로로밝혀진백도어의여파가거셌다. 기존에는미국이제안한암호들은쉽게 ISO/IEC 표준으로채택되는분위기였는데, NSA에서제안한난수발생기표준에백도어삽입의혹이발표되면서분위기가반전되었다. 표준화회의에참석한많은전문가들이지속적으로설계에대한투명성문제를제기하였다. 미국이이에대해해명을하였음에도불구하고 2018년봄중국회의에서표준화추진취소절차가시작되었다. 그후국가단위투표를통해 2018년 8월최종적으로표준화추진취소가확정되었다. 국내에서는 IoT 환경에적합한암호화기술확보를목적으로 2014년에개발된고속경량블록암호 LEA(Lightweight Encryption Algorithm)[7] 를 2016년미국에이어경량블록암호표준으로제안하였다. LEA는 SW에서의최적속도를위해매우간단한구조 ( 덧셈, 비트순환, XOR 만으로연산 ) 를채택하였다 ([ 그림 2] 참조 ). LEA는 2015년룩셈부르크대학개발경량암호성능측정프레임워크 FELICS[8] 를활용한구현경진대회에서 128비트블록암호부분 1위를차지하는등경량소프트웨어환경에서의성능우수성이검증되었다. 특히, 현재가장널리사용되는국제표준블록암호 AES 대비 1.5배이상의속도를제공한다. [ 그림 2] 경량고속블록암호 LEA 정보통신기획평가원 11

주간기술동향 2019. 9. 25. [ 표 9] LEA 의 ISO/IEC 표준화추진현황 시기 추진현황 2016년 10월, UAE 회의 LEA 표준화제안및사전연구단계 (study period) 시작 2017년 4월, 뉴질랜드회의 문서작성단계 (Working Draft: WD) 시작 2017년 10월, 독일회의 위원회검토단계 (Committee Draft: CD) 시작 2018년 4월, 중국회의 표준초안단계 (DIS, draft international standard) 시작 2019년 4월이스라엘회의 표준승인단계 (FDIS, final draft international standard) 시작 2019년 10월 ~11월 표준화완료예정, LEA가포함된 ISO/IEC 29192-2:2019 출판예정 LEA와 SIMON/SPECK은유사한구조를가지고있으며, 모두 IoT 환경에서우수한성능을가지고있다. 하지만 LEA의경우안전한설계로인한견고한안전성, AES 개발기관이자유럽에서암호관련 R&D를선도하고있는벨기에루벤대학등제 3자에의한객관적안전성평가, 철저한표준화준비로큰이견없이 2019년말 ISO/IEC 경량블록암호표준으로제정될예정이다 ([ 표 9] 참조 ). 한편, ISO/IEC 일반블록암호표준에는우리나라블록암호 SEED와 HIGHT가포함되어있다 [1]. 하지만 SEED와 HIGHT는국제표준 AES 대비낮은성능으로인하여암호제품의국제경쟁력확보에는한계가있다. 반면, LEA는우수한 SW 성능으로, 국내에서는 SW 중심의보안제품이대부분을차지하고있는만큼그활용도도크다고할수있다. V. 결론 본고에서는차세대표준암호기술동향을살펴보았다. 구체적으로최근가장이슈가되고있는양자컴퓨팅에안전한공개키암호, 양자키분배기술, 경량암호기술의표준화동향을살펴보았다. 양자컴퓨터의위협에대응하기위해양자컴퓨팅에취약한기존공개키암호를 PQC로대체하기위한개발및표준화가활발히진행중이다. 하지만아직양자알고리즘에대한이해가부족하여앞으로개발및안정화에많은시간이걸릴것으로예상되며, 많은변화를동반할것으로예상된다. 12 www.iitp.kr

기획시리즈 차세대보안 양자적특성을이용한양자키분배에대한표준화도꾸준히진행중이다. 비록키분배라는한정적인기능밖에제공하지못하지만, 물리적으로완벽히안전한키분배를달성할수있기에많은관심을받고있다. 하지만아직키분배가능거리, 구현과정에서발생할수있는각종오류및공격에대한연구가더필요하다. 마지막으로초연결시대에필요한경량암호역시표준화가활발히진행중이다. 특히, 암호화에가장기본이되는블록암호분야의연구및표준화에많은역량이집중되고있다. 우리나라는체계적인준비과정을거쳐국내개발경량고속블록암호 LEA를 ISO/IEC 국제표준으로추진중에있으며, 2019년말에경량블록암호표준으로등록될예정이다. 앞으로도암호기술의표준화에대한수요는증가할것으로보이며, 우리나라도그에발맞추어지속적인연구 / 개발및표준화를위한노력이필요하다. [ 참고문헌 ] [1] Information technology Security techniques Encryption algorithms Part 3: Block ciphers, ISO/IEC 18033-3:2010, 2010. [2] Information technology Security techniques Lightweight cryptography, ISO/IEC 29192. [3] Information technology Security techniques Lightweight cryptography Part 2: Block ciphers, ISO/IEC 29192-2:2012, 2012. [4] ISO/IEC JTC 1/SC 27/WG 2 SD8 Post-Quantum Cryptography, 2019. [5] R. Beaulieu, D. Shors, J. Smith, S. Treatman-Clark, B. Weeks, L. Wingers, The simon and speck families of lightweight block ciphers, Cryptology eprint Archive, 2013/404, 2013. [6] C.H. Bennett, G. Brassard, Quamtum cryptogrphay: public key distribution and coin tossing, IEEE International conference on computers, systems & signal processing, 1984, pp.175-179. [7] D. Hong, J.K. Lee, D.C. Kim, D. Kwon, G.H. Ryu, D. Lee, LEA: A 128-bit Block Cipher for Fast Encryption on Common Processors, WISA 2013, Lecture Notes in Computer Science, volume 8267, 2014, pp.3-27. [8] FELICS(Fair Evaluation of Lightweight Cryptographic Systems), https://www.cryptolux.org/index.php/felics. 정보통신기획평가원 13