PKI에 대한 명확한 가이드

공개 키 인프라에는 디지털 증명서를 생성, 관리, 배포, 사용, 저장 및 해지하는 데 필요한 정책, 역할, 하드웨어, 소프트웨어 및 절차가 포함됩니다. 디지털 인증서는 여권이나 운전면허증과 마찬가지로 신원을 증명하고 특정 혜택을 제공합니다.

PKI의 목적은 전자 상거래, 인터넷 뱅킹, 기밀 이메일 등 다양한 네트워크 활동에 필요한 정보의 안전한 전자 전송을 용이하게 하는 것입니다. 이는 사용자와 기계가 인터넷을 통해 안전하게 데이터를 교환하고 상대방의 신원을 확인할 수 있는 시스템입니다.

예를 들어, 온라인 뱅킹 계좌에 로그인하면 PKI가 연결을 암호화하고 민감한 정보가 비공개로 안전하게 유지되도록 합니다. 이런 방식으로 귀하는 불법 웹사이트와 상호 작용하지 않는다는 확신을 가지고 안전하게 자격증명을 입력하고 계정에 액세스할 수 있습니다.

PKI의 구성 요소

공개 키 인프라는 단일 기술이 아니라 여러 필수 부분이 결합된 것입니다. 이들은 함께 대규모로 암호화를 관리하고, 데이터를 보호하고, 커뮤니케이션을 안전하게 보호하기 위한 기술과 프로세스를 제공합니다.

높은 수준에서 PKI에는 다음이 포함됩니다.

• PKI 키: 암호화를 활성화하는 키 쌍으로, 암호화는 지정된 수신자 외에는 아무도 데이터를 읽을 수 없도록 데이터를 숨기는 프로세스입니다. 크립토그래피에서는 각 공개 키는 개인 키와 쌍을 이룹니다. 공개 키는 자유롭고 공개적으로 배포되는 반면, 개인 키는 소유자에게 비밀로 유지됩니다.
• 디지털 인증서: 인증서 소지자의 신원을 정보를 암호화하고 서명하는 데 사용할 수 있는 키 쌍에 연결하는 전자 자격 증명입니다. 
• Certificate Authority(CA): 디지털 인증서를 발급하는 엔터티입니다. 
• 등록 기관(RA): 인증서 요청을 접수하고 이를 담당하는 개인이나 조직을 인증합니다.
• 인증서 리포지토리: 인증서가 저장되어 있고 검증을 위해 검색할 수 있는 안전한 위치입니다.
• 중앙 집중식 관리 소프트웨어: 조직이 크립토그래피 키와 디지털 인증서를 관리할 수 있는 대시보드입니다.
• 하드웨어 보안 모듈(HSM): 크립토그래피 작업을 수행하고 디지털 키를 저장/관리하기 위한 안전한 환경을 제공하는 물리적 장치입니다.

이러한 구성 요소 중 다수는 포괄적인 PKI 공급자를 통해 제공됩니다. 예를 들어, Entrust PKI는 기업에서 사람, 시스템, 리소스를 안전하게 연결하기 위해 사용하는 업계 최고의 솔루션입니다. 유연한 서비스로서 온프레미스, 클라우드 및 관리형 PKI 서비스로 제공됩니다.

PKI가 어떻게 작동하는지 알면 PKI가 왜 필수적인지, 그리고 조직에서 PKI의 역량을 어떻게 극대화할 수 있는지 이해하는 데 도움이 됩니다. 각각에 대해 좀 더 자세히 살펴보겠습니다.

크립토그래피 및 암호화

서로 관련이 있기는 하지만 이러한 용어는 서로 바꿔 쓸 수 없습니다. 크립토그래피는 코드를 통한 보안 커뮤니케이션 과학이고, 암호화는 수학적 알고리즘을 사용하여 이를 수행하는 크립토그래피의 하위 집합입니다. 두 방법 모두 민감한 정보를 난독화하여 권한이 없는 사용자가 읽을 수 없도록 만듭니다.

암호화 알고리즘은 두 가지 범주로 나뉩니다.

• 대칭 암호화: 이 방법은 동일한 크립토그래피 키를 사용하여 데이터를 암호화(보안)하고 암호 해독(잠금 해제)합니다. 간단하기는 하지만 모든 달걀을 한 바구니에 담는 것과 마찬가지입니다. 즉, 키를 손상시키는 사람은 누구나 키가 보호하는 것에 접근할 수 있습니다.
• 비대칭 암호화: 이와 대조적으로, 비대칭 암호화는 PKI 전반에 사용되므로 "공개 키 암호화"라고도 합니다. 이 방법은 수학적으로 연결된 키 쌍을 사용하여 암호화와 암호 해독을 별도로 처리합니다. 개인 키는 액세스를 허용하므로 보호된 메시지를 수신하는 엔터티만 알 수 있습니다.

예를 들어 John에게 기밀 메시지를 보내고 싶다고 가정해 보겠습니다. John의 공개 키를 사용하여 메시지를 암호화하는데, 이 키는 누구나 접근할 수 있습니다. 이렇게 하면 John이 안전하게 보관하는 그의 개인 키만 메시지를 해독할 수 있습니다. 이런 설정은 잠재적인 공격자를 포함한 다른 사람이 내용을 읽는 것을 방지합니다.

하지만 받으신 공개 키가 생각하시는 사람의 소유인지 어떻게 알 수 있을까요? 인증이 없으면 MITM(중간자) 공격의 희생자가 될 위험이 있습니다. 사기꾼이 공개 키를 사용해 통신을 가로채고 변경하여 데이터를 수집하는 등의 불법적인 목적을 달성하는 경우를 말합니다.

이것이 바로 디지털 인증서가 필요한 이유입니다.

디지털 인증서

디지털 인증서는 "공개 키 인증서"라고도 하며 공개 키 소유자를 식별하는 데 사용되는 전자 문서입니다. 이를 통해 수신자는 키가 합법적인 출처에서 왔는지 확인할 수 있으므로 MITM 공격의 위험이 완화됩니다. 

일반적으로 인증서에는 다음이 포함됩니다.

• 인증서 소지자 이름, 인증서 일련 번호, 만료 날짜와 같은 식별 가능한 정보
• 공개 키의 사본
• 진위성 증명을 위한 발급 CA의 디지털 서명

인증 기관

인증 기관 또는 Certificate Authority는 디지털 인증서를 만들고 발급하는 신뢰할 수 있는 제3자 기관입니다. 공공 CA의 경우 인증서 보유자의 신원을 조사하고 검증하는 일도 담당하므로 공개 키 인프라의 필수적인 부분이 됩니다.

모든 CA는 "인증서 해지 목록"을 유지 관리해야 합니다. 간단히 말해, 신뢰할 수 있는 CA에서 예정된 만료일 전에 해지한 모든 인증서를 문서화하고 더 이상 신뢰할 수 없는 인증서를 식별합니다.

대체로 CA에는 두 가지 유형이 있습니다.

• 루트 CA: PKI 계층에서 가장 신뢰받는 CA 유형입니다. 루트 CA의 인증서는 자체 서명되어 있습니다. 즉, 자체 디지털 서명으로 인증됩니다. 이러한 CA는 인증서를 생성, 서명하고 하위 CA나 최종 엔터티에 직접 발급하는 데 사용되므로 신뢰의 기반을 형성합니다.
• 하위 CA: 루트 CA 또는 체인 상위의 종속 기관에서 인증받은 조직입니다. 하위 CA가 발급한 인증서에는 루트 CA의 서명이 포함되어 있으므로 신뢰를 상속받습니다. 체인 내의 각 인증서는 다음 인증서의 진위성을 인증하고, 처음부터 끝까지 지속적이고 신뢰할 수 있는 신뢰 경로를 만드는 역할을 합니다.

CA는 어떻게 디지털 인증서를 만드나요? 기본적인 과정은 다음과 같습니다.

1. 키 생성: 사용자가 키 쌍을 생성합니다.
2. 인증서 요청: 사용자는 공개 키와 식별 정보를 포함하여 인증서 서명 요청(CSR)을 CA에 보냅니다.
3. 인증: CA는 종종 RA의 도움을 받아 사용자의 신원을 검증합니다. 
4. 인증서 발급: 인증이 완료되면 CA는 사용자의 공개 키와 기타 식별 정보가 포함된 디지털 인증서를 발급합니다. 이 인증서는 또한 CA의 개인 키로 서명되어 디지털 서명을 생성합니다.
5. 인증서 사용: 보안 커뮤니케이션을 할 때 발신자는 수신자의 공개 키를 사용하여 메시지를 암호화할 수 있습니다. 수신자는 메시지를 받으면 자신의 개인 키를 사용하여 메시지를 해독할 수 있습니다.

인증서 관리 시스템

인증서 관리 시스템은 인증서 수명주기의 모든 측면을 원활하게 처리하는 소프트웨어 솔루션입니다. 인증서 등록 및 발급부터 배포, 폐지, 갱신까지 자동화를 사용하여 프로세스를 간소화하고 암호화 자산이 적절하게 관리되도록 보장합니다.

예를 들어, 일부 솔루션은 모든 관련 활동에 대한 자세한 로그를 보관하여 규제 요구 사항과 내부 감사를 준수하는 데 도움이 됩니다. 단일 정보 소스를 통해 관리를 중앙화함으로써 조직은 인증서가 잘못 관리될 위험을 줄이고 데이터 보호를 개선합니다.

하드웨어 보안 모듈

마지막으로, HSM은 PKI 보안 아키텍처에서 핵심적인 역할을 합니다. 기본적으로, 이는 강화되고 변조 방지 환경에서 키를 생성, 저장 및 처리하여 암호화 프로세스를 보호하도록 설계된 물리적 장치입니다.

예를 들어 키 생성을 살펴보겠습니다. 하드웨어 보안 모듈은 암호화 시스템의 강도와 무결성을 유지하는 데 중요한 고품질 난수 생성기를 사용하여 키 쌍을 생성할 수 있습니다. 키가 일반 텍스트 형태로 장치를 떠나지 않으므로 잠재적인 취약점에 노출될 가능성이 최소화됩니다.

마찬가지로 HSM의 주요 기능 중 하나는 개인 키 저장입니다. 하드웨어 환경에 보관하면 허가되지 않은 기관에 의해 추출되거나 손상되는 것을 방지할 수 있습니다.

PKI가 중요한 이유를 이해하는 가장 좋은 방법은 PKI 사용 사례를 살펴보는 것입니다. 조직이 PKI를 활용하여 이점을 얻는 가장 중요한 방법은 다음과 같습니다.

1. 보안 커뮤니케이션

PKI는 이메일, 메시징 서비스 등 다양한 형태의 디지털 통신을 보호하는 데 있어 초석이 됩니다. 이러한 채널을 보호할 뿐만 아니라, 소비자, 파트너, 직원, 시민 등 관련자 모두에게 더 신뢰할 수 있는 채널을 만들어줍니다.

2. 인증 및 액세스 제어

PKI는 시스템, 네트워크 또는 온라인 서비스에 액세스하는 사용자에게 강력한 인증 메커니즘을 제공합니다. 인증서는 안전한 디지털 식별 수단으로 활용될 수 있으며, 검증된 사용자에게만 접근 권한을 부여합니다.

이러한 기능은 PKI를 제로 트러스트 보안 모델을 구현하는 조직에 특히 유용하게 만듭니다. 제로 트러스트는 "신뢰하지 말고 항상 확인하십시오"라는 원칙에 따라 운영되며, 이는 위치와 관계없이 리소스에 액세스하는 모든 사용자와 장치를 확인하기 위해 지속적인 인증이 필요합니다.

게다가 이런 접근 방식은 효과가 있습니다. Forrester 조사에 따르면, 제로 트러스트 보안은 사용자 경험을 개선하는 동시에 비즈니스 성과를 증폭시킬 수 있습니다.

3. 안전한 인터넷 검색

PKI의 많은 측면은 인터넷 검색 및 온라인 거래와 매우 관련이 있습니다. 브라우저는 SSL(Secure Sockets Layer) 및 TLS(Transport Layer Security) 프로토콜을 사용하여 디지털 인증서를 활용하여 웹사이트를 인증하고 암호화된 연결을 설정합니다. 더 간단히 말해서, 그들은 최종 사용자에게 신뢰할 수 있는 도메인에 접속하고 있다는 사실을 알립니다.

TLS/SSL 인증서는 웹 서버와 브라우저 간에 전송되는 모든 정보의 비공개성을 보장합니다. 인증서가 없는 웹사이트와 서버는 공격을 받기 쉽고, 중요한 데이터가 잘못된 사람의 손에 들어갈 위험이 있습니다.

4. 문서 서명 및 타임스탬프

PKI를 기반으로 하는 디지털 서명은 전자 문서의 진위성과 무결성을 확인합니다. 이는 독창성과 동의의 증명이 필요한 법적 서류, 계약서 및 기타 기록의 경우 필수적입니다.

가장 중요한 점은 문서 서명 인증서가 세 가지 주요 목적을 수행한다는 것입니다. 

• 진정성: 인증서는 인증서에 있는 공개 키에 해당하는 개인 키를 보유한 개인이나 단체가 문서에 서명했다는 것을 확인합니다.
• 무결성: 디지털 서명이 완료된 후에 문서를 변경하면 디지털 서명은 무효화됩니다. 이를 통해 서명자가 보내려고 의도한 내용 그대로 수정 없이 수신된 문서가 전달되도록 할 수 있습니다.
• 부인 방지: 서명자는 문서에 대한 서명의 진위성을 부인할 수 없습니다. 디지털 서명과 관련 인증서는 서명자의 신원과 서명 당시 문서 내용에 대한 동의를 강력하게 증명하기 때문입니다.

5. 코드 서명

소프트웨어 개발자는 코드 서명 인증서를 사용하여 스크립트를 인증합니다. 이렇게 하면 최종 사용자는 다운로드한 소프트웨어가 변경되지 않았는지 확인할 수 있습니다. 이는 악성 소프트웨어로부터 보호하고, 소프트웨어 무결성을 유지하며, 소비자 신뢰를 구축하는 데 도움이 됩니다.

6. IoT(사물인터넷)

연결된 기기가 급속히 늘어나면서, 기계의 수가 인간 사용자보다 많아지는 경향이 있습니다. 데이터를 수집, 저장하고 다른 기계로 전송하는 센서 등의 이러한 장치는 잠재적으로 사이버 위협에 취약합니다. 하지만 관리해야 할 것이 너무 많아 IoT 보안은 점점 더 어려워졌습니다.

PKI는 각 장치에 고유한 디지털 인증서를 제공함으로써 강력한 인증을 보장하고 통신하는 장치가 실제로 합법적인지 확인합니다. 이는 무단 접근 및 데이터 침해를 방지하는 데 중요합니다.

게다가 PKI는 장치 간 암호화된 통신을 용이하게 하여 민감한 데이터의 전송을 도청이나 변조로부터 보호합니다. 이러한 포괄적인 보안 접근 방식은 점점 더 복잡해지는 IoT 생태계에서 데이터의 무결성과 기밀성을 유지하는 데 필수적입니다.

PKI 구현을 최대한 활용하기 위한 몇 가지 모범 사례는 다음과 같습니다.

• 개인 키 저장소 사용: 물리적, 논리적으로 변조 및 무단 액세스로부터 보호하는 HSM을 사용하는 등 개인 키를 보호하기 위한 강력한 메커니즘을 구현합니다.
• 정기적인 키 교체 및 갱신 연습: 키와 인증서는 무기한으로 사용하면 안 됩니다. 키 노출과 관련된 위험을 완화하고 보안을 강화하기 위해 정기적인 키 교체 및 인증서 갱신 일정을 수립합니다. 또한 직원이 퇴사하거나 개인 키가 손상된 경우 등 필요한 경우 암호화 자산을 철회합니다.
• 강력한 인증 체계 구현: 다중 인증(MFA)을 통합하여 보안을 강화합니다. 특히 PKI 시스템에 액세스하고 인증서 발급이나 폐지와 같은 중요한 작업을 수행할 때 보안을 강화합니다.
• 중앙에서 관리하는 인증서 및 키: 발급부터 폐지, 만료까지 인증서 전체 수명주기를 관리하기 위한 도구와 프로세스를 구현합니다. 이러한 도구를 사용하여 PKI 정책 및 보안 표준을 준수할 수 있습니다.
• 키 백업 및 복구 정책 만들기: 중단이나 재해 발생 후 중요한 PKI 구성 요소를 빠르고 안전하게 복구할 수 있는지 확인하기 위해 백업 및 복구 절차를 수립하고 정기적으로 테스트합니다.
• 정책 및 절차를 최신 상태로 유지: PKI에는 인증 정책(CP)과 인증 실무 규정(CPS)이 필수적입니다. CP는 인증 기관이 발급하는 다양한 종류의 인증서와 해당 정책을 개략적으로 설명한 포괄적인 문서입니다. CPS는 CA가 이러한 정책을 기술적 능력으로 어떻게 구현하는지 자세히 설명합니다. 이러한 문서를 최신 상태로 유지하는 것은 보안, 신뢰 및 법률 준수를 유지하는 데 필수적입니다. 사이버 보안, 기술 및 규제 변화의 역동적인 환경에 맞춰 정기적으로 검토하고 개정해야 합니다.

포괄적인 PKI 솔루션만이 신뢰할 수 있는 네트워킹 환경을 구축하고 유지하는 동시에 사용자 친화적인 자동화된 투명한 시스템을 제공한다는 목표를 달성할 수 있습니다. 다행히 Entrust를 이용하면 성공하는 데 필요한 모든 것을 얻을 수 있습니다.

당사의 관리형 PKI 서비스는 변화하는 기업에서 사용자, 앱, 기기를 보호하기 위해 인증서 기반 ID를 구축합니다. 또한, 당사 전문가가 귀사를 대신하여 초기 설정, 구성, 지속적인 유지 관리 및 감사를 처리해 드립니다. 그 이유는 무엇일까요? 최상의 PKI 구현을 보장하십시오.