PKI 및 디지털 인증서:
오늘날의 과제

공용 키 암호 기술은 사용자, 네트워크, 데이터 및 중요 업무 시스템을 보호하는 방법으로 널리 사용되고 있습니다. 그 용도가 데이터를 암호화하여 개인 정보를 보호하는 것이든, 문서 및 메시지를 디지털 서명하여 무결성과 신뢰성을 입증하는 것이든, 사용자 및 시스템을 인증하고 액세스를 제어하는 것이든, 이러한 공용 키 운영은 현재의 운영 체제, 상용 보안 제품, 사용자 지정 구축 시스템에 필수적입니다. 전자 상거래, 인터넷 뱅킹, 인터넷 게임, 스마트폰, 클라우드 컴퓨팅은 모두 디지털 인증서를 사용해 사용자, 연결된 장치, 웹 서비스, 업무용 응용 프로그램의 디지털 ID를 나타냅니다.

자세한 내용

각 인증서는 암호화된 키 한 쌍에 기초하는데 이 키는 해당되는 사용자 또는 조직에 긴밀하게 연계된 매우 강력하고 고유한 자격 증명을 형성하며, 암호화 또는 서명과 같은 보안 작업을 수행하는 데 사용됩니다. CA(인증서 발급 기관)가 담당하는 일은 디지털 인증서를 발급하고 이러한 인증서가 본래 용도에 맞는 신뢰 수준인지 확인하는 다양한 절차 단계를 수행하는 것입니다. CA는 하나 또는 다수의 응용 프로그램을 보강하고 몇 개의 인증서에서 수백만 개의 인증서까지 지원하는 PKI(공용 키 인프라)의 핵심을 구성합니다. 인증서와 해당 인증서의 보안 기능을 활용하고자 하는 조직은 자체 PKI를 구축하거나 외부 서비스 제공업체로부터 인증서를 구매할 수 있습니다. 후자의 경우 여러 조직 또는 도메인에서 인증서와 ID를 공유하고 신뢰하는 형태에 가장 적합합니다. 내부 PKI를 배포하려는 조직은 특정 필요에 맞는 보안 모델을 자유롭게 정의할 수 있지만 PKI를 정의하고, 유지 관리하고, 보안하는 데 수많은 과제가 따릅니다.

  • PKI는 신뢰의 기초이기 때문에 PKI를 배포하는 일에는 기술 그 이상이 필요하다는 것입니다. 또한 조직은 인적 프로세스를 주의 깊게 설계하여 적절한 확인 지점 및 균형을 부여해야 합니다. 준수를 입증해야 하는 필요가 점점 커짐에 따라 조직은 정식으로 문서화하고 인증 감사를 받은 프로세스가 필요할 것입니다.
  • 조직은 모든 인증서 필요에 단일 PKI를 사용할 것인지, 개별 응용 프로그램 및 사용 사례에 맞게 조정되어 있으며 적절한 신뢰 모델을 제시하는 별도의 PKI를 사용할 것인지 결정해야 합니다. 자체 PKI를 구축하지 않고 외부 PKI 서비스를 사용하면 이 그림이 더 복잡해질 수 있습니다.
  • 유감스럽게도 PKI는 유형에 관계없이 명백한 공격 취약점이 존재합니다. CA가 침해당하면 악의적인 용도로 디지털 인증서가 발급될 수 있고 전체 시스템의 신뢰에 의문이 제기될 수 있습니다.
  • PKI에 대한 논의는 인증서 발급 프로세스에 초점이 맞춰지는 경향이 있는데, 인증서 검증 및 해지를 지원하는 관련 프로세스가 시스템 성능 및 전체 수용력에 더 큰 영향을 미치는 경우가 많을 것입니다.

섹션 숨기기

PKI 및 디지털 인증서와 관련된 위험 요소

  • CA 서명 사설 키 또는 루트 키가 도난당하면 가짜 인증서가 발급되고 침해 의혹이 제기되어 기존에 발급된 인증서를 일부 또는 전부 재발급해야 하는 상황에 처할 수 있습니다.
  • 서명 키 제어가 미흡하면 키 자체가 손상되지 않았더라도 CA가 오용될 수 있습니다.
  • 온라인 인증서 검증 프로세스와 관련된 키의 도난 또는 오용은 해지 프로세스가 해지된 인증서의 악용 수단으로 전락하는 원인이 될 수 있습니다.
  • 발급 및 검증 확인과 관련된 서명 활동의 성능 측면에 유의하지 않은 채 새 응용 프로그램을 작동하면 업무에 중대한 영향이 미칠 수 있습니다.

PKI 및 디지털 인증서: Thales e-Security 솔루션

Thales e-Security의 제품 및 서비스를 사용하면 PKI의 무결성, 성능 및 관리 용이성을 기할 수 있습니다. 인증서 발급 및 서명 키 사전 관리 프로세스를 보안하면 분실 또는 도난을 방지하여 디지털 보안의 기초를 견고하게 할 수 있습니다. nShield HSM(하드웨어 보안 모듈)을 PKI에 추가하면 조직에서 가장 중요한 키 및 업무 프로세스를 보안하는 용도인 별도 인증 및 조작 방지 장치를 배포하게 되는 것이며 이는 널리 인정된 PKI 모범 사례입니다. 마이크로 소프트와 같은 탁월한 PKI 소프트웨어 솔루션 제공 업체는 "(CA 키 또는 다른 고 부가가치 키의 강력한 보호를 제공하기 위해 HSM을 사용하여 당신은 당신의 PKI를 보호하기 위해 구현할 수있는 강력한 컨트롤 중 하나입니다한다는 지침을 발표했다 공개 키 인프라 보안 "마이크로 소프트 IT, 정보 보안 및 위험 관리 6 월 발행 11 , 2014 ).

Thales는 주요 PKI 공급업체와 함께 상호운용성 테스트를 수행하며 종합적 백서통합 가이드를 발간하여 조직이 키 보안 고려 사항을 이해하고 배포를 촉진하며 위험을 최소화할 수 있도록 합니다. Thales의 제품, 전문 지식 및 서비스를 활용하면 기업 전반에서 PKI를 자신 있게 운영할 수 있습니다.

장점:

  • 모든 고급 보장형 키 관리 및 인증서 발급 프로세스에 쉽게 배포할 수 있고 별도 인증이 있는 보안을 활용할 수 있습니다.
  • CPU 집약 서명 작업을 가속하기 위한 암호화 처리를 분담하여 성능을 증대하고 응용 프로그램과 업무 프로세스를 확장할 수 있습니다.  
  • 위험한 수동 키 관리 프로세스를 이용할 필요가 없습니다.
  • 매우 강화된 키 관리 정책을 통해 준수를 실천하고 법정 및 감사 요청에 응답하는 작업을 간소화할 수 있습니다.
  • 광범위한 HSM 설치 공간 및 성능 등급 중에서 대기업 PKI, 지역별 또는 응용 프로그램별 CA 등 다양한 배포 시나리오에 적합한 것을 선택할 수 있습니다.