PKI란?

PKI란 무엇인가요?

PKI(공개 키 인프라)는 데이터를 암호화 및 서명할 수 있는 프로세스, 기술, 정책 시스템입니다. 사용자, 장치 또는 서비스의 ID를 인증하는 디지털 인증서를 발급할 수 있습니다. 해당 인증서는 VPN(가상 사설망), 내부 Wi-Fi, Wiki 페이지 및 MFA를 지원하는 기타 서비스와 같은 공용 웹 페이지 및 비공개 시스템 모두에 대한 보안 연결을 생성합니다. 궁금한 점이 있습니까?

자주 묻는 질문

PKI란 무엇인가요?

PKI(공개 키 인프라)는 데이터를 암호화 및/또는 서명할 수 있는 프로세스, 기술, 정책 시스템입니다. PKI를 사용하면 사용자, 장치 또는 서비스의 ID를 인증하는 디지털 인증서를 발급할 수 있습니다. 해당 인증서는 공용 웹 페이지 및 비공개 내부 서비스 모두에서 작동합니다(예: VPN, Wiki, Wi-Fi 등과 연결되는 장치 인증).

조직에서 PKI를 사용해야 하는 이유는 무엇인가요?

PKI(공개 키 인프라)를 사용하면 네트워크 보안 수준을 크게 향상할 수 있습니다. 이를 가능하게 하는 세 가지 주요 장점:

• 인증: 인증된 사용자 및 장치만 서버에 액세스할 수 있도록 ID의 유효성을 검사합니다.
• 암호화: 인증서를 사용하여 암호화된 세션을 생성하면 정보를 비공개로 전송할 수 있습니다.
• 데이터 무결성: 장치 및 서버와 주고받는 메시지 또는 데이터가 변경되지 않도록 합니다.

PKI는 어떻게 사용되나요?

PKI의 일반적인 사용 사례에는 다음이 포함되지만 이에 국한되지는 않습니다.

• 웹 페이지 보안
• 파일 암호화
• S/MIME를 사용하여 이메일 인증 및 암호화
• 무선 네트워크에 연결하는 노드 인증
• VPN에 대한 연결 인증
• TLS 상호 인증을 사용하여 회사 데이터를 포함하는 사이트 및 서비스에 대한 연결 인증

종단 간 암호화란 무엇인가요?

종단 간 암호화란 귀하의 장치에서 메시지가 암호화되고 수신자의 장치에서 복호화된 경우를 말합니다. 즉, 제삼자가 민감한 데이터를 가로챌 수 없습니다.

CA란 무엇인가요?

CA(인증 기관)이란 디지털 인증서를 신청하는 조직의 ID를 검증하는 신뢰할 수 있는 제삼자를 말합니다. 조직의 ID를 검증한 후 CA에서 인증서를 발급하고 조직의 ID를 공개 키에 바인딩합니다. 디지털 인증서는 CA 루트 인증서에 연결되어 있으므로 신뢰할 수 있습니다.

디지털 인증서란 무엇인가요?

디지털 인증서는 보유자의 ID를 보증합니다. 운전 면허증과 마찬가지로 인증서는 신뢰할 수 있는 제삼자에 의해 발급되었으며 위조할 수 없고 식별 정보가 포함되어 있습니다.

공개 키와 개인 키란 무엇이며 이 둘은 어떻게 관련되어 있나요?

공개 키와 개인 키는 정보를 암호화 및 복호화하는 데 사용됩니다. 개인 키를 통해서만 공개 키로 암호화한 정보를 복호화할 수 있습니다. 이 키 쌍을 비대칭 암호화라고 합니다(동일하지 않은 키를 사용하여 암호화가 이루어지기 때문). 두 키는 수학적인 관련이 있지만 다른 키를 사용하여 한 키를 확인하는 것은 불가능합니다.

공개 루트와 비공개 루트란 무엇인가요?

루트 인증서는 ID를 공개 키에 바인딩할 때 서명을 제공합니다. 이를 통해 인증서가 유효한지, 신뢰해야 하는지 여부를 식별할 수 있습니다.

DigiCert에서는 공개 PKI 및 비공개 PKI에 대한 솔루션을 제공하나요?

짧게 답하자면 제공합니다. DigiCert는 플랫폼 및 REST API와 함께 공개 PKI 및 비공개 PKI에 대한 솔루션을 제공하므로 인증서 관리를 자동화하고 PKI 워크플로를 사용자 정의할 수 있습니다. 귀하는 공용 SSL 인증서를 구매하기 위해 상용 CA를 통해서만 작업했을 수 있습니다. 이것을 유일한 기준으로 삼을 경우 사설 인증서의 비용이 공용 인증서와 비슷하다고 생각할 수 있지만 사실은 그렇지 않습니다. DigiCert를 통해 사설 디지털 인증서를 발급하는 데 드는 비용은 공용 인증서보다 훨씬 적습니다.

보안 엔지니어 및 관리자는 호스팅되는 비공개 PKI가 특정 인증서 프로필로 제한한다고 잘못 생각하는 경우가 있습니다. 이들은 CA/브라우저 포럼에서 승인한 인증서 프로필에만 액세스할 수 있다고 생각합니다. 그러나 DigiCert에서는 필요한 모든 인증서 프로필을 제공할 수 있습니다. 해당 인증서는 SSL/TLS 인증서 프로필일 필요가 없으며 X.509일 필요도 없습니다.

MPKI란 무엇인가요?

MPKI(관리형 PKI)는 CA에서 제공하는 솔루션으로, 인증서 프로세스를 자동화하고 PKI 워크플로를 사용자 정의할 수 있습니다. 조직에서 대량의 인증서가 필요한 상황에 도달하면 인증서 관리를 단순화하는 MPKI 솔루션의 장점을 누릴 수 있습니다.

내부 CA를 설정해야 하나요(구축)? 아니면 호스팅된 CA를 사용해야 하나요(구매)?

내부 CA를 사용하면 내부 서비스(예: VPN, WiFi, Wiki 등)를 보호할 수 있습니다. 조직에서는 보통 Microsoft CA를 사용하여 이 작업을 수행합니다. 그러나 내부 CA를 구축하고 유지하는 데는 비용이 많이 들고 시간이 많이 소요될 수 있습니다. 결정을 내리기 전에 각 비용을 신중하게 고려하는 것이 좋습니다. 많은 CA에서는 내부 PKI 구축과 관련된 일부 하드웨어 비용, 소프트웨어 비용, 인건비를 절감할 수 있는 호스팅된 솔루션을 제공합니다.

인증서 정책이란 무엇인가요?

CP(인증서 정책)이란 PKI의 다양한 행위자와 해당 역할 및 의무를 식별하기 위해 작성된 문서입니다. CP는 인증서 사용 방법, 인증서 이름 선택 방법, 키 생성 방법 등과 같은 관행을 지정합니다. 연결된 CP는 일반적으로 X.509 인증서의 필드에 지정됩니다. CP에 대한 자세한 정보는 최신 참조 문서(RFC 3647)를 참조하십시오. https://tools.ietf.org/html/rfc3647

키 저장소란 무엇이며 어떻게 다뤄야 하나요?

키 아카이브라고도 하는 키 저장소는 분실했을 경우에 대비하여 개인 키를 안전하게 저장합니다. FIPS 규격을 충족하고 보안을 최고 수준으로 유지하려면 HSM(하드웨어 보안 모듈)을 사용하여 키를 저장하는 것이 좋습니다.

HSM이란 무엇인가요?

HSM은 키 저장소를 안전하게 보호하기 위한 암호화 하드웨어 기반 옵션입니다. 일반적으로 HSMS는 물리적으로 온-프레미스에 있으며 유지 관리하기 위해서는 내부 리소스가 필요합니다. 이것은 비용 집약적일 수 있지만 더 저렴한 옵션이 존재합니다. 예를 들어 Microsoft Azure 주요 자격 증명 모음는 Microsoft의 클라우드 HSM에서 안전한 키 저장소를 제공합니다. 소규모 조직이거나 자체 HSM을 구매하고 유지 관리할 리소스가 없는 경우 Microsoft Azure 주요 자격 증명 모음을 실행 가능한 솔루션으로 사용할 수 있습니다. DigiCert를 비롯한 일부 공용 CA는 Microsoft Azure와의 통합 기능을 제공합니다.

PKI 구축을 시작하려면 어떻게 해야 하나요?

시작하려면 작업 중인 기술과 해당 요건을 고려하여 환경을 평가해야 합니다. 다음의 다섯 단계부터 시작하는 것이 좋습니다.

• 타협 불가능한 네트워크 보안 위험 식별
• PKI를 완화할 수 있는 네트워크 보안 위험 파악
• 공개 및 비공개 PKI의 적절한 조합 개발
• 구축할 것인지(내부 CA) 구매할 것인지(호스팅된 CA) 결정
• 장치로 인증서를 전달하는 것을 자동화하는 방법 결정

도움이 필요한 경우 enterprise@digicert.com으로 이메일을 보내 당사의 PKI 아키텍트에게 문의하십시오.