Office 2016에서 디지털 서명 사용

요약: Excel, PowerPoint 및 Word 문서에서 XML XAdES(Advanced Electronic Signatures)를 지원하는 방법을 설명합니다. 또한 배포에 적합한 인증서를 선택하는 방법을 결정합니다.

사용자는 문서 문서에 필기 서명을 배치할 수 있는 여러 가지 이유로 Excel, PowerPoint 또는 Word 문서에 디지털 서명합니다. 디지털 서명은 작성자의 ID를 인증하는 데 도움이 됩니다. 문서, 전자 메일 메시지 및 매크로를 비롯한 디지털 정보의 작성자를 확인합니다. 이 프로세스는 암호화 알고리즘을 사용합니다.

CA(인증 기관)는 ID 검증 도구 역할을 하는 디지털 인증서를 발급합니다. 이러한 인증서는 디지털 서명의 기초를 형성합니다. 디지털 인증서는 인쇄된 신분증과 사용법이 비슷합니다. 예를 들어 정부 기관 또는 고용주는 운전 면허증, 여권 및 직원 ID 카드와 같은 ID 문서를 발급합니다. 다른 사람들은 그 문서에 의존하여 자신이 주장하는 사람이 누구인지 확인합니다.

이 문서에는 Office 2016의 새로운 디지털 서명 레지스트리 키가 포함되어 있습니다.

디지털 서명 소개 및 Office에서 디지털 서명 사용 방법

Digital 디지털 서명은 다음과 같은 인증 방법을 설정하도록 도와 줍니다.

• 진위 디지털 서명 및 해당 기본 디지털 인증서는 서명자가 자신이 주장하는 사람인지 확인하는 데 도움이 됩니다. 인쇄된 문서를 위조하는 것처럼 다른 사람이 특정 문서의 송신자로 가장하는 것을 방지할 수 있습니다.

• 무결성 디지털 서명은 디지털 서명 후에 콘텐츠가 변경되거나 변조되지 않도록 합니다. 이 디지털 서명은 문서 생성자에 대한 지식 없이 문서가 가로채고 변경되지 않도록 방지합니다.

• 부인하지 않는 경우 디지털 서명은 모든 당사자에게 서명된 콘텐츠의 출처를 증명하는 데 도움이 됩니다. "거부"는 서명자가 서명된 콘텐츠와의 연결을 거부하는 것을 의미합니다. 디지털 서명은 서명자의 클레임에 관계없이 문서의 작성자가 다른 사람이 아니라 진정한 발신자임을 증명하는 데 도움이 됩니다. 서명자는 해당 키로 서명된 다른 문서에 영향을 주는 디지털 키를 부인하지 않고도 해당 문서에 대한 서명을 거부할 수 없습니다.

Office 2016의 디지털 서명 요구 사항

이러한 조건을 설정하려면 콘텐츠 작성자가 다음 기준을 만족하는 서명을 만들어서 콘텐츠를 디지털 서명해야 합니다.

• 디지털 서명이 유효합니다. 운영 체제는 디지털 서명을 뒷받침하는 디지털 인증서에 서명하는 CA(인증 기관)를 신뢰해야 합니다.

• 디지털 서명과 연결된 인증서가 만료되지 않았거나 서명 시 인증서가 유효했음을 나타내는 타임스탬프를 포함합니다.

• 디지털 서명과 연결된 인증서는 해지되지 않습니다.

• 받는 사람은 서명자 또는 organization(게시자라고 함)를 신뢰합니다.

Word 2016, Excel 2016 및 PowerPoint 2016 이러한 기준을 검색하고 디지털 서명에 문제가 있는 경우 사용자에게 경고합니다. 문제가 있는 인증서에 대한 정보는 Office 2016 애플리케이션에 표시되는 인증서 작업창에서 쉽게 볼 수 있습니다. Office 2016 애플리케이션을 사용하면 동일한 문서에 여러 디지털 서명을 추가할 수 있습니다.

Office 2016 비즈니스 환경의 디지털 서명

다음은 비즈니스 환경에서 문서에 디지털 서명을 사용하는 방법을 보여 주는 시나리오입니다.

1. 직원이 Excel 2016 사용하여 경비 보고서를 만듭니다. 그런 다음 직원은 세 개의 서명 줄을 만듭니다. 하나는 스스로, 하나는 관리자용이고, 다른 하나는 회계 부서용입니다. 서명은 다음 역할을 수행합니다.

   • 직원이 문서를 보낸 사람인지 확인

   • 는 관리자 및 회계 부서로 이동할 때 문서에서 변경이 발생하지 않음을 나타냅니다.

   • 관리자와 회계 부서가 문서를 받고 검토했다는 증거가 있음을 보여 줍니다.

2. 관리자는 문서를 받고 디지털 서명을 문서에 추가하여 문서를 검토하고 승인했는지 확인합니다. 그런 다음 결제를 위해 회계 부서에 전달됩니다.

3. 회계 부서 책임자가 문서를 받아서 서명합니다. 이는 문서를 받았음을 확인하는 절차입니다.

이 예제에서는 단일 Office 2016 문서에 여러 서명을 추가하는 기능을 보여 줍니다. 디지털 서명 외에도 문서의 서명자는 실제 서명의 그래픽을 추가하거나 태블릿 PC를 사용하여 실제로 문서의 서명 줄에 서명을 작성할 수 있습니다.

Office 2016 이전 Office 문서와의 호환성 문제

Office 2016은 Office 2013, Office 2010 및 Office 2007과 마찬가지로 디지털 서명에 XML-DSig 형식을 사용합니다. 또한 Office 2016에서는 XAdES(XML Advanced Electronic Signatures)를 지원합니다. XAdES는 XML-DSig의 계층화된 확장 모음으로, 이전 수준을 기반으로 보다 안정적인 디지털 서명을 제공하도록 개선되었습니다. Office 2016에서 지원되는 XAdES 수준에 대한 자세한 내용은 이 문서의 뒷부분에 있는 Office 2016 문서에서 디지털 서명 수준 계획을 참조하세요. XAdES의 세부 정보에 대한 자세한 내용은 XML XAdES(Advanced Electronic Signatures)에 대한 사양을 참조하세요.

Office 2016에서 만든 디지털 서명은 2007 Office 시스템 이전 버전의 Office와 호환되지 않습니다. 예를 들어 Office 2016, Office 2013, Office 2010 또는 Office 2007에서 응용 프로그램을 사용하여 서명된 문서를 생각해 보세요. 사용자가 Office 호환성 팩을 사용하여 Office 2003에서 이 문서를 열면 시스템에서 이를 알 수 있습니다. 문서가 최신 버전의 Office에서 서명되었음을 알 수 있습니다. 결과적으로 디지털 서명이 손실됩니다.

다음 그림은 Office 2007 이전 버전에서 문서를 열면 표시되는 경고입니다.

Office 2003 또는 이전 버전에서 서명된 문서에 대한 디지털 서명 경고.

Office 2016에서 디지털 서명에 XAdES를 사용하는 경우 그룹 정책 설정을 구성하지 않으면 디지털 서명이 Office 2010 또는 2007 Office 시스템과 호환되지 않습니다. 매니페스트에 XAdES 참조 개체를 포함하지 말고사용하도록 설정합니다. 디지털 서명 그룹 정책 설정에 대한 자세한 내용은 이 문서의 뒷부분에 있는 Office 2016에 대한 서명 설정 계획을 참조하세요.

Office 2016에서 만든 디지털 서명이 Office 2003 및 이전 버전과 호환되도록 하려면 그룹 정책 설정인 레거시 형식 서명을 구성하고 사용으로 설정할 수 있습니다. 이 그룹 정책 설정은 사용자 구성\정책\관리 템플릿\Microsoft Office 2016\Signing 아래에 있습니다. 이 설정을 사용으로 변경하면 Office 2016 애플리케이션은 Office 2003 이진 형식을 사용하여 Office 2016에서 만든 Office 97-2003 이진 문서에 디지털 서명을 적용합니다.

Office 2016용 디지털 인증서 유형 선택

CA(인증 기관)는 디지털 인증서를 발급하거나 자체 서명할 수 있습니다. organization 프로세스에는 Active Directory 인증서 서비스를 실행하는 Windows Server 2012 컴퓨터가 포함될 수 있습니다. 또는 VeriSign 또는 Thawte와 같은 공용 CA가 발급할 수 있습니다. 자체 서명된 인증서는 일반적으로 개인 및 중소기업에서 사용됩니다. 조직에 대한 PKI(공개 키 인프라)를 설정하거나 상업용 인증서를 구입하지 않으려는 경우 이 옵션을 선택합니다.

자체 서명된 인증서의 주요 단점은 제한된 유틸리티에 있습니다. 개인적으로 아는 사람들과 문서를 교환할 때만 효과적입니다. 또한 개인은 사용자가 문서의 실제 작성자임을 확신해야 합니다. 자체 서명된 인증서를 사용하는 경우 인증서의 외부 유효성 검사 인증이 없습니다. 서명된 문서를 받는 각 사용자는 인증서를 신뢰할지 여부를 수동으로 결정해야 합니다.

대규모 조직의 경우 디지털 인증서를 가져오기 위한 두 가지 기본 방법인 organization 또는 회사 PKI 및 상용 인증서를 사용하여 만든 인증서를 사용할 수 있습니다. 조직의 직원들 간에만 서명된 문서를 공유하려는 조직에서는 비용 부담이 적은 회사 PKI를 선호할 수 있습니다. 서명된 문서를 organization 외부 사용자와 공유하려는 조직은 상업용 인증서를 사용하는 것을 선호할 수 있습니다.

조직 또는 회사 PKI를 사용하여 만든 인증서

조직은 자체 PKI를 만들 수 있습니다. 이 경우 회사에서는 회사 전체의 컴퓨터 및 사용자에 대해 디지털 인증서를 만들 수 있는 CA(인증 기관)를 하나 이상 설정할 수 있습니다. 회사에서 AD DS(Active Directory Directory Services)를 시스템과 결합하면 완전한 PKI 솔루션을 설정할 수 있습니다. 이 통합을 통해 모든 organization 또는 회사 관리형 컴퓨터에 필요한 CA 체인이 설치됩니다. 또한 시스템에서는 사용자와 컴퓨터 모두에 디지털 인증서를 자동으로 할당할 수 있습니다. 이러한 인증서는 문서 서명 및 암호화에 매우 중요합니다. 이 프로세스를 통해 회사의 모든 직원은 동일한 회사의 다른 직원의 디지털 인증서(및 유효한 디지털 서명)를 자동으로 신뢰할 수 있습니다.

상업용 인증서

디지털 인증서를 전문적으로 판매하는 회사에서 상업용 인증서를 구입할 수 있습니다. 상업용 인증서를 사용하는 기본 이점은 상업용 인증서 공급업체의 루트 CA 인증서가 organization Windows 운영 체제에 자동으로 설치된다는 것입니다. 이렇게 인증서가 설치된 컴퓨터는 자동으로 CA를 신뢰하게 됩니다. organization 또는 회사 PKI 솔루션과 달리 상업용 인증서를 사용하면 서명된 문서를 organization 속하지 않은 사용자와 공유할 수 있습니다.

상업용 인증서는 세 가지가 있습니다.

• 클래스 1 클래스 1 인증서는 유효한 전자 메일 주소를 가진 사용자에게 발급됩니다. 클래스 1 인증서는 ID 증명이 필요하지 않은 비상업적 트랜잭션에 대한 디지털 서명, 암호화 및 전자 액세스 제어에 적합합니다.

• 클래스 2 클래스 2 인증서는 사용자 및 디바이스에 발급됩니다. 클래스 2 개별 인증서는 유효성 검사 데이터베이스의 정보를 기반으로 하는 ID 증명이 충분한 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합합니다. 클래스 2 장치 인증서는 장치 인증(메시지, 소프트웨어 및 콘텐츠 무결성) 및 기밀 암호화에 적합한 인증서입니다.

• 클래스 3 클래스 3 인증서는 CA 및 RU(루트 기관)의 사용자, 조직, 서버, 디바이스 및 관리자에게 발급됩니다. 클래스 3 개별 인증서는 ID 증명이 보장되어야 하는 트랜잭션의 디지털 서명, 암호화 및 액세스 제어에 적합합니다. 클래스 3 서버 인증서는 서버 인증(메시지, 소프트웨어 및 콘텐츠 무결성) 및 기밀 암호화에 적합한 인증서입니다.

상용 인증서에 대한 자세한 내용은 디지털 ID 또는 디지털 서명 서비스 찾기를 참조하세요.

Office 2016 문서에서 디지털 서명 수준 계획

사용자는 Excel 2016, PowerPoint 2016 및 Word 2016 사용하여 문서에 디지털 서명할 수 있습니다. Excel 2016, InfoPath 2016 또는 Word 2016 사용하여 서명 선 또는 서명 스탬프를 추가할 수도 있습니다. 디지털 인증서가 있지만 서명 줄이나 스탬프가 없는 문서에 디지털 서명은 보이지 않는 디지털 서명을 만드는 것으로 알려져 있습니다. 보이는 디지털 서명과 보이지 않는 디지털 서명 모두 디지털 인증서를 사용하여 문서에 서명합니다. 보이는 디지털 서명란을 사용했을 때 문서의 그래픽이 다르다는 차이가 있습니다. 디지털 서명을 추가하는 방법에 대한 자세한 내용은 Office 파일에서 디지털 서명 추가 또는 제거를 참조하세요.

기본적으로 Office 2016은 디지털 서명을 만드는 동안 자체 서명된 인증서 또는 CA에서 서명한 인증서를 사용하는 경우 XAdES-EPES 디지털 서명을 만듭니다.

XML-DSig 디지털 서명 표준을 기반으로 하고 Office 2016에서 사용할 수 있는 XAdES 디지털 서명 수준은 다음 표에 나와 있습니다. 각 수준은 이전 수준을 기반으로 하며 이전 수준의 모든 기능을 갖고 있습니다. 예를 들어 XAdES-X는 새로운 기능이 도입된 것은 물론이고 XAdES-EPES, XAdES-T 및 XAdES-C의 모든 기능을 갖고 있습니다.

Office 2016의 XAdES 디지털 서명 수준

Office 2016에서 타임스탬핑된 디지털 서명 계획

사용자가 디지털 서명에 타임스탬프를 추가하면 해당 디지털 서명의 수명을 연장하는 데 도움이 됩니다. 예를 들어 디지털 서명을 만드는 데 사용된 해지된 인증서가 있는 시나리오를 고려해 보세요. 이러한 경우 신뢰할 수 있는 타임스탬프를 서버에서 타임스탬프를 포함해야 합니다. 핵심 요소는 타임스탬프를 타이밍으로 지정하는 것입니다. 인증서가 해지되기 전에 적용된 경우 디지털 서명은 여전히 유효한 것으로 간주될 수 있습니다. 디지털 서명과 함께 타임스탬프를 사용하려면 다음 작업을 완료해야 합니다.

• RFC 3161을 준수하는 타임스탬프를 설정합니다.

• 그룹 정책 설정 서버 이름 지정을 사용하여 네트워크 상에서 타임스탬프 서버의 위치를 입력합니다.

다음 그룹 정책 설정 중 하나 이상을 구성하여 다른 타임스탬프를 구성할 수도 있습니다.

• 타임스탬프 해시 알고리즘 구성

• 타임스탬프 서버 시간 제한 설정

타임스탬핑 해시 알고리즘 구성 및 구성을 사용하지 않는 경우 SHA1의 기본값이 사용됩니다. 타임 스탬프 서버 시간 제한 설정을 구성하고 사용하도록 설정하지 않으면 Office 2016은 타임스탬프를 사용하는 서버가 요청에 응답할 때까지 5초 동안 대기합니다.

Office 2016에 대한 서명 설정 계획

그룹 정책 타임스탬핑 관련 설정을 구성하기 위한 설정을 제공합니다. 또한 organization 내에서 디지털 서명을 관리하고 제어하는 설정을 제공합니다. 설정 이름 및 설명은 다음 표에 나와 있습니다.

디지털 서명 그룹 정책 구성 설정

다음 그룹 정책 설정은 디지털 서명과 관련이 있습니다.

• 기본 이미지 디렉터리 설정

• EKU 필터링

• 이전 형식 서명

• Office 서명 공급자 표시 안 함

• 외부 서명 서비스 명령 표시 안 함

디지털 서명에 적용되는 레지스트리 설정

다음은 디지털 서명과 디지털 서명 암호화에 사용되는 인증서에 대한 Windows 레지스트리 설정을 보여 주는 표입니다. 이러한 레지스트리 설정은 HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures 있습니다. 해당 그룹 정책 없습니다.

디지털 서명 레지스트리 설정

관련 문서

XML XAdES(Advanced Electronic Signatures)

Office용 그룹 정책 관리 템플릿 파일(ADMX/ADML)

디지털 ID 또는 디지털 서명 서비스 찾기

Office 파일에서 디지털 서명 추가 또는 제거