Certificate Authority란 무엇입니까?

공개 트러스트든 비공개 트러스트든 상관없이 CA(Certificate Authority)는 광범위한 사이버 보안 에코시스템의 필수 요소입니다. CA(Certificate Authority)의 정의와 CA의 작동 방식을 잘 모르십니까? 문제없습니다.

여기서는 비즈니스 요구사항에 가장 적합한 CA(Certificate Authority)를 선택하는 방법을 포함하여 CA에 대해 알아야 할 모든 내용을 살펴봅니다.

인증 기관이라고도 하는 CA(Certificate Authority)는 웹사이트, 이메일 주소, 회사 또는 개인의 디지털 신원을 확인하는 엔터티입니다. CA는 진위를 증명하는 방법을 제공하는 디지털 인증서라는 암호화 자산을 사용하여 신원을 확인합니다.

예를 들어, 웹 브라우저 제공업체는 해커나 악의적 행위자가 웹사이트를 운영하지 못하도록 보장하기 위해 CA와 협력하여 웹사이트를 인증합니다. CA(Certificate Authority)가 없다면 인터넷으로 안전하게 쇼핑을 하거나, 은행 업무를 보거나, 민감한 정보를 전송할 수 없을 것입니다. 'https' 접두사의 's'는 보안을 의미합니다. 따라서 신뢰할 수 있는 CA에서 웹사이트 소유자를 확인했음을 알 수 있습니다.

공공 CA와 사설 CA 비교: 차이점은 무엇입니까?

CA(Certificate Authority)에는 공공 CA와 사설 CA가 있습니다. 두 CA는 비슷한 기능을 하지만 이들 간에는 다음과 같은 중요한 차이점이 있습니다.

• 공공 CA: 공공 CA에는 일반 대중에게 서비스를 제공하는 엔터티가 포함됩니다. 이 그룹의 인증서는 전 세계적으로 인정되므로, 웹사이트, 온라인 거래 및 기타 디지털 사용 사례를 보호하는 데 적합합니다. 사용할 수 있는 공공 CA의 수는 한정적이지만, 공공 CA는 주요 웹 브라우저 제공업체에 대한 강력한 신뢰 루트를 제공합니다.
• 사설 CA: 사설 CA에는 기업의 내부 사용에 특화된 CA(Certificate Authority)가 포함됩니다. 즉, 사설 CA는 사설망 및 VPN, 사용자 인증, 코드 서명 등 내부 목적 및 사용 사례에 대해서만 인증서를 발급합니다. 더 나아가, 사설 CA는 해당 조직 내 사용자만 '신뢰'하며 외부 엔터티에 인증서를 발급하는 경우는 거의 없습니다. 이러한 이유로 사설 CA를 보통 '로컬 CA'라고도 합니다.

CA(Certificate Authority)를 신뢰할 수 있는 이유는 무엇입니까?

공공 CA는 CA/Browser Forum에 명시된 기준 요건을 충족해야 하는 엄격하게 검증된 엔터티입니다. CA(Certificate Authority)와 인터넷 브라우저 제공업체는 다양한 인증서의 관리 및 발급을 위한 더욱 엄격하고 획일적인 표준을 개발하기 위해 협력합니다.

이러한 기본 요건으로 인해 공공 CA는 대부분의 경우 전 세계적으로 인정되고 허용됩니다. 그러나 공공 CA는 내부 사용 사례를 지원할 수 없으며, 그렇기 때문에 사설 CA가 필요합니다. 각 사설 CA에는 CA의 용도와 인증서 발급에 사용되는 프로세스 및 제어 기능을 명시하는 정책이 있습니다. 결과적으로 신뢰할 수 있으며 고수준 보안 보장을 제공하는 것으로 간주됩니다.

디지털 인증서는 간단히 말해서 장치, 웹 서버, 사용자 또는 엔터티의 진위를 증명하는 방법입니다. 디지털 인증서는 신분증의 형태를 제공하고 특정 허가를 확인하는 등 운전면허증이나 여권과 유사한 목적을 수행합니다. 그러나 운전이나 입국 허가 대신 디지털 인증서는 다음과 같은 세 가지 주요 기능을 수행합니다.

1. 인증: 인증서는 웹 도메인 또는 조직과 같이 인증서를 발급받는 엔터티의 신원을 확인하는 자격증명 역할을 합니다.
2. 암호화: 사용자 이름, 비밀번호, 이메일 등 온라인으로 제출된 정보를 암호화하여 인터넷을 통한 통신을 보호합니다.
3. 서명: 인증서는 디지털 방식으로 서명된 문서가 제3자에 의해 변경되지 않고 무결성을 유지할 수 있도록 보장합니다.

이 모든 기능은 PKI(공개 키 인프라)를 통해 실현할 수 있습니다. 간단히 말해서, PKI는 암호화, 암호 해독 및 확인에 필요한 자산인 암호화 키를 생성하고 저장하는 데 필요한 모든 하드웨어, 소프트웨어, 절차 및 정책을 포괄합니다.

공개 키 인프라는 어떻게 작동합니까?

PKI에서는 모든 디지털 인증서가 특정 키 쌍에 연결됩니다. 바로, 공개 키와 개인 키입니다. 이러한 각 암호화 자산은 데이터를 암호화하고 암호를 해독하는 데 사용되는 긴 비트 문자열입니다. 모든 인증서는 개인 또는 엔터티마다 고유하며, 신원을 확인하는 여권 같은 역할을 합니다.

공개 키는 누구나 요청하면 자유롭게 사용할 수 있으며, 이를 사용하여 해당 엔터티에 민감한 정보를 보내기 전에 암호화할 수 있습니다. 그러나 이러한 정보는 공개 키 소유자만 알고 있는 개인 키로만 해독할 수 있습니다.

하지만 공개 키 발신자의 신원이 진짜인지 가짜인지 어떻게 알 수 있을까요? 간단히 말해 이것이 바로 인증서가 필요한 이유입니다. 인증서에는 공개 키뿐만 아니라 소유자, 발급 CA, 생성된 날짜 및 만료 날짜 데이터도 포함됩니다. 이 정보는 키가 실제로 악의적 행위자가 아닌 주장하는 엔터티의 소유인지 확인하는 데 도움이 됩니다.

인증서 관리란 무엇입니까?

인증서 관리는 프로비저닝부터 갱신, 취소에 이르는 수명주기 전반에서 디지털 인증서를 관리하는 프로세스입니다. 하지만 인증서 수가 늘어나고 있는 조직의 경우 인증서를 관리하기가 어려울 수 있습니다.

디지털 인증서 사용이 증가함에 따라 스프레드시트와 같은 수동 관리 프로세스는 지속해서 사용하기 어렵습니다. 많은 기업이 암호화 인벤토리 및 인증서 자산에 대한 완전한 가시성을 제공할 뿐만 아니라 꼭 필요한 자동화 계층도 제공하는 수명주기 관리 도구로 전환하고 있습니다.

개인정보보호 및 보안의 기반인 디지털 인증서는 온라인 상호 작용을 보호하는 데 필수적입니다. 대부분의 CA(Certificate Authority)는 다양한 사용 사례, 보장 수준, 규정 준수 요건 및 기타 응용 분야를 지원하는 광범위한 인증서 유형을 제공합니다. 여기에는 다음이 포함됩니다.

문서 서명 인증서

이름에서 알 수 있듯이 문서 서명 인증서는 전자 기록에 서명하는 데 사용됩니다. 더욱 중요한 점은, 이 인증서가 문서의 무결성을 보장하고 내용이 변조되지 않았는지 확인하며 서명자의 신원을 확인한다는 것입니다. 이 인증서는 조직이 부인 방지를 뒷받침하는 데 도움이 되므로, 법적 계약에 특히 유용합니다.

코드 서명 인증서

마찬가지로, 코드 서명 인증서를 사용하면 소프트웨어 개발자가 애플리케이션과 프로그램에 디지털 방식으로 서명할 수 있습니다. 이 인증서를 통해 최종 사용자는 수신한 코드가 변경되거나 조작되지 않았는지 확인할 수 있고, 사기, 맬웨어 및 도난으로부터 양 당사자를 보호할 수 있습니다.

TLS/SSL 인증서

아마도 가장 일반적인 두 가지 디지털 인증서 유형은 TLS와 SSL 인증서일 것입니다. TLS는 '전송 계층 보안'을 의미하고 SSL은 '보안 소켓 계층'을 의미합니다. 두 가지 모두 신원을 인증하고 암호화된 브라우저 연결을 확립하는 인터넷 보안 프로토콜입니다.

기술적으로 SSL 인증서는 구식이며, TLS 암호화가 그 자리를 대신하고 있습니다. 그러나 'SSL'은 여전히 전송 계층 보안과 관련하여 일반적으로 사용됩니다. 두 약어의 조합인 TLS/SSL을 자주 보게 되는 이유도 그래서입니다.

이 유형의 인증서는 일반적으로 웹사이트, 클라이언트 및 서버 인증에 사용됩니다. 이 광범위한 범주에는 다음을 포함하여 특별한 유형의 TLS/SSL 인증서가 있습니다.

• EV(Extended Validation) 인증서: EV SSL 인증서는 최고 수준의 보안을 보장하며, 확인 프로세스가 가장 엄격합니다. 웹사이트에 배포하면 방문자에게 자물쇠 아이콘, 조직 이름 및 HTTP 뒤에 'S'가 표시됩니다. 이 유형의 인증서는 일반적으로 데이터를 수집하거나, 로그인을 처리하거나, 온라인으로 결제하기 위해 ID 보증이 필요한 웹 애플리케이션에 사용됩니다.
• OV(Organization Validation) 인증서: OV SSL 인증서는 ID 보증 및 암호화 기능을 제공하며, 거래하는 동안 사용자 정보를 암호화하는 데 가장 적합합니다. 대다수 소비자용 웹사이트는 세션 중에 전달된 정보를 기밀로 유지할 수 있도록 OV SSL Certificate를 배포해야 할 법적 의무가 있습니다.
• DV(Domain Validation) 인증서: DV SSL 인증서는 도메인 제어 기능만 제공하며, EV 또는 OV 인증서보다 신원 확인 요건이 더 적습니다. 이 인증서는 대개 블로그, 사용자 커뮤니티 또는 정보 제공 사이트처럼 위험도가 낮은 애플리케이션에 사용됩니다. 따라서 DV Certificate는 비용이 낮고 간편하게 획득할 수 있습니다.
• Wildcard SSL 인증서: Wildcard SSL 인증서는 OV(Organization Validation) 수준으로 확인되며, 기본 도메인과 관련된 여러 하위 도메인을 보호하는 데 사용할 수 있는 비용 효율적인 솔루션입니다. 개별 인증서를 여러 개 구입하는 것보다 비용이 적게 들 뿐만 아니라, 사용자가 인증서 서명 요청을 둘 이상 제출하거나 여러 URL에서 여러 TLS/SSL 인증서에 대한 만료 날짜를 관리할 필요가 없어 훨씬 간편합니다.
• UC(Unified Communications) SSL 인증서: 이 인증서는 EV(Extended Validation) 또는 OV(Organization Validation) 수준으로 확인됩니다. 여러 인증서를 통합하는 효율적인 방법은 SAN(주체 대체 이름)을 활용하여 비용을 절감하는 것입니다. UC SSL Certificate는 신뢰할 수 있는 ID를 설정하고 사이트 방문에 대해 방문자에게 경고하는 브라우저 알림을 제거합니다.

신뢰할 수 있는 CA(Certificate Authority)에서 신뢰할 수 있는 TLS/SSL 인증서를 발급받는 것은 다음과 같은 이유로 매우 중요합니다.

• 규정 준수 요건의 증가: 유럽에서 시행되는 개인정보보호 규정(GDPR)이 전 세계적으로 채택되고 있습니다. 개인정보보호 규정을 위반하는 조직은 과중한 벌금이나 막대한 수익 손실에 직면하게 됩니다.
• 검색 엔진의 가시성 상실: 검색 엔진은 부정적인 보안 지표를 삽입하고 검색 엔진 결과에서 사이트를 제거하여 보안을 위협하는 웹사이트를 단속하고 있습니다.
• 강화된 데이터 보안: 비밀번호, 신용 카드 번호, 금융 거래 및 기타 가치가 높은 데이터를 보호하는 일은 매우 중요합니다.
• 신뢰할 수 있는 ID에 주력: CA(Certificate Authority)는 조직의 신원을 확인하고, 해당 회사가 그 도메인에 대한 제어 권한을 갖고 있는지 확인하며, 인증서 요청자가 해당 엔터티에 고용되어 있는지를 확인합니다.

이 프로세스는 신청자가 인증서 서명 요청(CSR)과 함께 한 쌍의 암호화 자산(공개 키와 개인 키)을 생성할 때 시작됩니다. 간단히 말해, CSR은 인증서에 포함할 공개 키와 기타 관련 정보가 들어 있는 인코딩된 파일입니다.

여기에는 해당 도메인 이름, 조직 및 연락처 정보가 포함될 수 있지만, 포함되는 정보는 궁극적으로 유효성 검사 수준과 의도된 사용 사례에 따라 달라집니다. 그러나 개인 키는 항상 비밀로 유지되며, CA를 비롯한 누구에게도 공개되어서는 안 됩니다.

다음으로 신청자는 인증서 서명 요청을 발급 CA로 보냅니다. 그러면 발급 CA는 CSR에 포함된 정보가 올바른지 독립적으로 확인합니다. 정보가 올바른 경우 CA는 자체 개인 키로 인증서에 디지털 서명을 한 후 다시 전송합니다. 이 과정에서 신뢰 계층이 추가됩니다.

마지막으로, 누군가가 웹 브라우저를 통해 신청자의 웹사이트를 방문하는 경우와 같이 공개 키를 이용하여 디지털 인증서를 인증할 수 있습니다. 그리고 브라우저는 발급 CA에서 서명한 이후 인증서가 변경되거나 변조되지 않았음을 확인해 줍니다.

트러스트 체인은 인증서가 발급 CA의 유효성을 확인하는 데 사용하는 계층 구조입니다. 이 모델에서 인증서는 체인의 상위에 존재하는 다른 인증서를 통해 발급 및 서명됩니다. 따라서 인증서의 진위를 확인하려는 사람은 누구나 '루트 인증서'라고 알려진 CA 원본을 역추적할 수 있습니다.

전반적으로 이 프로세스는 다음과 같이 세 부분으로 구성됩니다.

1. 트러스트 앵커는 원래 CA를 말합니다. 트러스트 앵커의 루트 인증서는 일반적으로 대부분의 브라우저의 '트러스트 저장소'에 사전 다운로드됩니다.
2. 트리와 같이 루트 인증서에서 분기되는 하나 이상의 중간 인증서가 있습니다. 이 인증서는 신뢰할 수 있는 CA(Certificate Authority)와 최종 엔터티 사이에 버퍼를 제공합니다.
3. 최종 엔터티 인증서는 웹사이트, 기업 또는 개인의 신원을 검증합니다. 트러스트 체인은 CA가 특히 보안, 개인정보보호 및 확장성과 관련된 규정 준수 표준을 준수하도록 보장합니다.

모든 CA가 조직의 특정 사용 사례를 보호하도록 설계되지 않았으며 보호할 수 있는 것은 아닙니다. 어떤 CA는 조직의 IT 인프라와 연동되지 않을 수도 있고, 또 어떤 CA에는 조직이 원하는 서비스가 없을 수도 있습니다. CA(Certificate Authority)를 선택할 때 염두에 두어야 할 주요 고려 사항은 다음과 같습니다.

• CA가 기업을 적절하게 보호합니까?
• CA가 CA(Certificate Authority) Browser Forum의 모범 사례를 따릅니까?
• CA가 유연한 라이선싱 및 가격 정책을 제공합니까?
• CA가 조직의 성장에 발맞춰 현재와 미래의 요구사항을 충족할 수 있습니까?
• CA가 CASC(Certificate Authority Security Council)에 적극적으로 참여합니까?

디지털 인증서를 Entrust에 맡기십시오

수많은 조직이 공용 및 개인 인증서와 관련하여 Entrust를 선택하는 데는 이유가 있습니다. Entrust는 전 세계적으로 인정받는 CA(Certificate Authority)로서, 인증서 발급 및 관리 분야에서 수십 년의 경험을 보유하고 있습니다. 또한, 다른 CA에서 발급한 인증서를 포함하여 모든 공용 및 개인 인증서를 관리할 수 있는 단일 창구를 제공합니다. 

또한 CASC(Certificate Authority Security Council) 및 CA/Browser Forum의 창립 회원으로서, 항상 업계 표준의 선두에 있습니다. Entrust의 광범위한 디지털 인증서 및 솔루션 포트폴리오를 이용하면 점점 늘어나는 혁신 제품 및 서비스를 원활하게 이용할 수 있습니다.

Entrust의 수상 경력에 빛나는 인증서 플랫폼을 통해 다음과 같은 이점을 얻을 수 있습니다.

• 독보적인 지원
• 범용 브라우저 호환성
• 무제한 재발급
• 무제한 서버 라이선스 128~256비트 암호화