서명, 인증서 및 스탬핑

 

디지털 인증서란 무엇입니까?

공개 키 인프라(PKI)는 공개 키를 관련 사용자(개인 키 소유자)와 바인딩하기 위해 디지털 증명서를 사용합니다. 디지털 증명서는 거래에서 사용자 간의 ID를 쉽게 확인할 수 있는 자격증명입니다. 여권이 한 국가의 시민으로 자신의 신원을 증명해 주듯, 디지털 증명서의 목적은 에코시스템 내에서 사용자의 ID를 설정하는 것입니다. 디지털 증명서는 암호화된 데이터가 전송되는 사용자를 식별하거나 정보 서명자의 ID를 확인하는 데 사용되므로 인증서의 진위성과 무결성을 보호하는 것은 시스템의 신뢰성을 유지하는 데 필수적입니다.

 

Certificate Authority란 무엇입니까?

Certificate Authority(CA)는 계층적 신뢰 체인을 설정하는 PKI(공개 키 인프라)의 핵심 구성 요소입니다. CA는 사용자의 ID를 인증하는 데 사용되는 디지털 자격증명을 발급합니다. CA는 PKI 및 PKI가 지원하는 서비스의 보안을 뒷받침하므로 정교한 표적 공격의 대상이 될 수 있습니다. 인증 기관에 대한 공격 위험을 완화하기 위해 물리적 및 논리적 제어뿐만 아니라 하드웨어 보안 모듈(HSM)과 같은 강화 메커니즘이 PKI의 무결성을 보장하는 데 필요하게 되었습니다.

 

코드 서명이란 무엇입니까?

공개 키 암호화에서 코드 서명은 조직이 소프트웨어 게시자의 ID를 확인하고 소프트웨어가 게시된 후 변경되지 않았음을 인증할 수 있도록 하는 인증서 기반 디지털 서명의 특정 용도에 해당합니다.

디지털 서명은 소프트웨어 게시자 및 사내 개발 팀이 Duqu 2.0과 같은 지능형 지속 공격(APT)을 포함한 사이버 보안 위험으로부터 최종 사용자를 보호할 수 있도록 입증된 암호화 프로세스를 제공합니다. 디지털 서명은 소프트웨어의 무결성 및 진위성을 보장합니다. 최종 사용자는 디지털 서명을 사용하여 게시자 ID를 확인하는 동시에 설치 패키지가 서명된 이후 변경되지 않았음을 검증할 수 있습니다. 모든 최신 운영 체제는 설치 중에 디지털 서명을 찾고 검증하며, 서명되지 않은 코드에 대해 경고하여 최종 사용자가 설치를 중단할 수 있도록 합니다.

 

디지털 서명이란 무엇입니까?

디지털 서명은 소프트웨어 게시자 및 사내 개발 팀이 고급 맬웨어 공격을 포함한 사이버 보안 위험으로부터 최종 사용자를 보호할 수 있도록 입증된 암호화 프로세스를 제공합니다. 디지털 서명은 최종 사용자가 게시자 ID를 확인하는 동시에 서명된 이후 코드나 문서가 변경되지 않았음을 확인할 수 있도록 하여 소프트웨어 및 문서의 무결성과 진위성을 보장합니다.

디지털 서명은 암호화 기술을 적용하여 기존 서명의 전자 버전을 뛰어넘어 보안과 투명성을 획기적으로 높였습니다. 두 가지 모두 신뢰와 법적 타당성을 확립하는 데 매우 중요합니다. 공개 키 암호화의 애플리케이션인 디지털 서명은 온라인 세금 신고서를 제출하는 시민부터 공급업체와 계약을 체결하는 조달 담당자, 전자 송장, 업데이트된 코드를 게시하는 소프트웨어 개발자에 이르기까지 다양한 상황에서 사용될 수 있습니다.

또한 디지털 서명은 저작권을 보호하고 라이선스를 촉진하여 비즈니스 무결성을 유지하고자 하는 조직에도 유용합니다. 예를 들어, Microsoft와 같은 회사는 서명을 사용하여 Microsoft와 제휴하지 않은 다른 회사에서 소프트웨어를 발급하지 못하게 막을 수 있습니다. 또한 구성 요소의 출처 및 공급망 무결성을 보장하는 데도 중요합니다. 공개 키 인프라(PKI)와 결합하면 소프트웨어 구성 요소가 제품 또는 시스템에 배포되기 전에 변조되거나 오염되지 않도록 하는 강력한 툴이 됩니다.

 

타임 스탬핑이란?

시점확인은 디지털 서명 관행에 대한 점점 더 유용한 보완책으로, 조직이 메시지, 문서, 거래 또는 소프트웨어와 같은 디지털 항목이 서명된 시기를 기록할 수 있게 해 줍니다. 일부 애플리케이션의 경우 주식 거래, 복권 발행 및 일부 법적 절차와 같은 디지털 서명의 타이밍이 매우 중요합니다. 애플리케이션에 시간이 내재되어 있지 않은 경우에도 시점확인은 디지털 증명서가 사용된 시점에 유효한지 여부를 입증하는 메커니즘을 제공하기 때문에 기록 유지 및 감사 프로세스에 유용합니다. 디지털 서명 솔루션의 중요성이 커짐에 따라 시점확인에 대한 수요도 증가하여 Microsoft Office와 같은 많은 소프트웨어 프로그램이 시점확인 기능을 지원합니다.

 

보안의 중요성

시점확인이 진정한 가치를 지니려면 시점확인이 안전해야 합니다.

 

안전하지 않은 타임 스탬핑으로 인한 위험

  • 전자 프로세스를 신뢰할 수 없어, 전자 기록을 백업하는 데 비용이 많이 드는 종이 추적으로 이어질 수 있습니다.
  • 공격자는 컴퓨터 시계 조작으로 소프트웨어 기반 시점확인 프로세스를 쉽게 손상시켜, 전체 서명 프로세스를 무효화할 수 있습니다.
  • 안전하지 않은 시점확인 또는 디지털 서명 프로세스는 조직이 규정 준수 문제와 법적 문제에 노출될 수 있습니다.
  • 개인 서명 키 및 인증서가 해지된 후에도 사용자는 키와 인증서에 계속 액세스할 수 있습니다. 시점확인이 없으면 조직은 인증서가 해지되기 전 또는 후에 서명이 생성되었는지 여부를 증명할 수 없습니다.