Office 2013 디지털 서명 설정 계획

적용 대상: Office 2013

마지막으로 수정된 항목: 2016-12-16

요약: Excel 2013, PowerPoint 2013 및 Word 2013 문서에서 XAdES 디지털 서명을 지원하는 방법을 설명합니다.

대상: IT 전문가

사용자는 종이 문서에 자필로 서명할 때처럼 여러 가지 이유로 Office 2013Excel, PowerPoint 또는 Word 문서에 디지털 방식으로 서명할 수 있습니다. 디지털 서명은 암호화 알고리즘을 사용하여 문서, 전자 메일 메시지, 매크로 등 디지털 정보 작성자의 ID를 인증하는 데 사용됩니다.

디지털 서명은 디지털 인증서를 기반으로 합니다. 디지털 인증서는 ID를 확인하는 수단이며 CA(인증 기관)라고 하는 신뢰할 수 있는 타사에서 발급합니다. 디지털 인증서는 인쇄된 신분증과 사용법이 비슷합니다. 예를 들어 정부 기관이나 회사처럼 신뢰할 수 있는 타사에서 운전 면허증, 여권, 직원 ID 카드 등의 신분증을 발급합니다. 다른 사람은 기본적으로 신분증을 제시하는 사람이 신분증 속의 인물과 일치한다고 생각합니다.

이 문서에서는 Office 2013에 새로 도입된 디지털 서명 레지스트리 키를 다룹니다.

이 문서의 내용

• 디지털 서명에 대한 정보 및 Office 2013에서 사용되는 방식에 대한 소개

• Office 2013에 사용할 디지털 인증서 유형 선택

• Office 2013 문서에서 디지털 서명 수준 계획

디지털 서명에 대한 정보 및 Office 2013에서 사용되는 방식에 대한 소개

Digital 디지털 서명은 다음과 같은 인증 방법을 설정하도록 도와 줍니다.

• 신뢰성   디지털 서명과 그 기본 디지털 인증서를 사용하면 서명자의 신분을 믿을 수 있습니다. 인쇄된 문서를 위조하는 것처럼 다른 사람이 특정 문서의 송신자로 가장하는 것을 방지할 수 있습니다.

• 무결성   디지털 서명을 사용하면 콘텐츠가 디지털 서명된 후 무단으로 변경되지 않았음을 보증할 수 있습니다. 이는 문서 송신자 모르게 문서를 가로채서 무단으로 변경하는 것을 방지하는 데 도움이 됩니다.

• 부인 방지   디지털 서명을 사용하면 모든 관계자에게 서명된 콘텐츠의 출처를 증명할 수 있습니다. "부인"이란 서명자가 서명된 콘텐츠와의 모든 관계를 부정하는 것을 말합니다. 디지털 서명은 서명자의 주장에 관계없이 문서 송신자가 문서를 송신한 사람이 틀림 없다는 것을 증명하는 데 도움이 됩니다. 서명자는 자신의 디지털 키를 부인하지 않고는 해당 문서의 서명을 부인할 수 없습니다. 따라서 해당 키를 사용하여 서명한 다른 문서도 부인할 수 없습니다.

Office 2013의 디지털 서명 요구 사항

이러한 조건을 설정하려면 콘텐츠 작성자가 다음 기준을 만족하는 서명을 만들어서 콘텐츠를 디지털 서명해야 합니다.

• 디지털 서명이 유효합니다. 운영 체제에서 신뢰하는 CA가 해당 서명의 기반이 되는 디지털 인증서에 서명해야 합니다.

• 디지털 서명과 연결된 인증서가 만료되거나 서명 당시 인증서가 유효했음을 알리는 타임스탬프를 포함하지 않습니다.

• 디지털 서명과 연결된 인증서가 해지되지 않습니다.

• 서명하는 사람 또는 조직(게시자라고 함)을 받는 사람이 신뢰할 수 있습니다.

Word 2013, Excel 2013 및 PowerPoint 2013은 이러한 조건을 감지하여 디지털 서명에 문제가 있으면 사용자에게 알립니다. 문제가 있는 인증서에 대한 정보는 Office 2013 응용 프로그램에 표시되는 인증서 작업 창에서 간편하게 확인할 수 있습니다. Office 2013 응용 프로그램을 사용하여 같은 문서에 디지털 서명을 여러 개 추가할 수 있습니다.

Office 2013 비즈니스 환경의 디지털 서명

다음은 비즈니스 환경에서 문서에 디지털 서명을 사용하는 방법을 보여 주는 시나리오입니다.

1. 한 직원이 Excel 2013을 사용하여 경비 보고서를 작성한 후 서명란 3개를 만듭니다. 하나는 본인 서명란, 또 하나는 관리자 서명란, 마지막은 회계 부서 서명란입니다. 서명은 다음 역할을 수행합니다.

   • 직원이 문서를 보낸 사람인지 확인

   • 관리자와 회계 부서로 전송되는 동안 문서가 전혀 변경되지 않았음을 표시

   • 관리자와 회계 부서에서 문서를 받아서 검토했음을 증명하는 증거

2. 관리자는 문서를 받아서 서명을 추가합니다. 이는 관리자가 문서를 검토한 후 승인했음을 확인하는 절차입니다. 그런 후 관리자가 회계 부서에 문서를 전달하여 결제를 요청합니다.

3. 회계 부서 책임자가 문서를 받아서 서명합니다. 이는 문서를 받았음을 확인하는 절차입니다.

이 예를 통해 Office 2013 문서 하나에 서명을 여러 개 추가할 수 있다는 것을 알 수 있습니다. 디지털 서명 외에도 문서 서명자는 문서에 본인의 실제 서명 그래픽을 추가하거나 태블릿 PC를 사용하여 문서 서명란에 실제로 서명할 수 있습니다.

Office 2013 이전 버전의 Office 문서와 호환성 문제

Office 2013은 Office 2010 및 Office 2007과 마찬가지로 디지털 서명에 XML-DSig 형식을 사용합니다. 뿐만 아니라 Office 2013은 XAdES(XML Advanced Electronic Signatures)를 지원합니다. XAdES는 XML-DSig의 계층화된 확장 모음으로, 이전 수준을 기반으로 보다 안정적인 디지털 서명을 제공하도록 개선되었습니다. Office 2013에서 지원되는 XAdES에 대한 자세한 내용은 이 문서 후반부의 Office 2013 문서의 디지털 서명 수준 계획을 참조하세요. XAdES에 대한 자세한 내용은 XAdES(XML Advanced Electronic Signatures) 사양을 참조하세요.

Office 2013에서 만든 디지털 서명은 2007 Office System 이전 버전의 Office와 호환되지 않는다는 점에 주의해야 합니다. 예를 들어 Office 2013, Office 2010 또는 Office 2007 응용 프로그램을 사용하여 문서를 서명하고 Office 호환 기능 팩이 설치된 Office 2003 응용 프로그램을 사용하여 해당 문서를 열면 문서가 상위 버전의 Office에서 서명되었으며 디지털 서명이 손실되었다는 메시지가 표시됩니다.

다음 그림은 Office 2007 이전 버전에서 문서를 열면 표시되는 경고입니다.

Office 2003 또는 이전 버전에서 서명된 문서에 대한 디지털 서명 경고.

뿐만 아니라 Office 2013에서 디지털 서명에 XAdES를 사용할 경우 그룹 정책 설정 매니페스트에 XAdES 참조 개체 포함 안 함을 구성하고 사용으로 설정하지 않으면 디지털 서명이 Office 2010 또는 2007 Office System과 호환되지 않습니다. 디지털 서명 그룹 정책 설정에 대한 자세한 내용은 이 문서 후반부의 Office 2013의 서명 설정 계획을 참조하십시오.

Office 2013에서 만든 디지털 서명이 Office 2003 및 이전 버전과 호환되기를 원한다면 그룹 정책 설정 이전 형식 서명을 구성하고 사용으로 설정하십시오. 이 그룹 정책 설정은 User Configuration\Administrative Templates\Microsoft Office 2013\Signing아래에 있습니다. 이 설정을 사용으로 변경하면 Office 2013 응용 프로그램에서는 사용자가 Office 2013에서 만든 Office 97-2003 이진 문서에 디지털 서명을 적용할 때 Office 2003 이진 형식을 사용합니다. 자세한 내용은 Office 2013 관리 템플릿 파일(ADMX/ADML) 및 Office 사용자 지정 도구을 참조하십시오.

Office 2013의 디지털 인증서 유형 선택

Digital 디지털 인증서는 자체 서명된 것일 수도 있고, Active Directory 인증서 서비스를 실행하는 Windows Server 2012나 Windows Server 2008 컴퓨터 같은 조직의 CA 또는 VeriSign이나 Thawte 같은 공용 CA에서 발급한 것일 수도 있습니다. 자체 서명된 인증서는 조직에 PKI(공개 키 인프라)를 설정하는 것을 원하지 않고 상업용 인증서를 구입할 마음이 없는 소규모 회사 또는 개인이 주로 사용합니다.

자체 서명된 인증서의 가장 큰 문제점은 개인적으로 잘 아는 사람과 문서를 교환하고 문서의 실제 송신자가 본인이라는 것을 확신할 수 있을 때에만 유용하다는 점입니다. 자체 서명된 인증서를 사용하면 인증서의 신뢰성을 검사하는 타사가 없습니다. 서명된 문서를 받는 각 개인이 인증서를 신뢰할 것인지 여부를 직접 결정해야 합니다.

대규모 조직에서는 두 가지 방법으로 디지털 인증서를 얻을 수 있습니다. 첫 번째는 조직 또는 회사 PKI를 사용하여 만든 인증서이고 두 번째는 상업용 인증서입니다. 서명된 문서를 조직 내 직원들만 공유하기를 원하는 조직에서는 비용을 줄일 수 있는 회사 PKI를 선호합니다. 서명된 문서를 조직 외부 사람과 공유하려는 조직에서는 상업용 인증서를 선호합니다.

조직 또는 회사 PKI를 사용하여 만든 인증서

조직에서는 자체적으로 PKI를 만들 수 있습니다. 이 경우 회사에서는 회사 전체의 컴퓨터 및 사용자에 대해 디지털 인증서를 만들 수 있는 CA(인증 기관)를 하나 이상 설정할 수 있습니다. AD DS(Active Directory 디렉터리 서비스)와 결합할 경우 회사에서는 모든 조직 또는 회사에서 관리하는 컴퓨터에 조직 또는 회사 CA 체인이 설치되고 사용자와 컴퓨터에 문서 서명 및 암호화를 위한 디지털 인증서가 자동으로 할당되도록 관리해 주는 PKI 솔루션을 만들 수 있습니다. 이렇게 하면 회사 내 모든 직원은 같은 회사의 다른 직원에게 받은 디지털 인증서를 자동으로 신뢰(따라서 디지털 서명도 유효)할 수 있습니다.

자세한 내용은 Active Directory 인증서 서비스를 참조하세요.

상업용 인증서

디지털 인증서를 전문적으로 판매하는 회사에서 상업용 인증서를 구입할 수 있습니다. 상업용 인증서의 주요 장점은 상업용 인증서 공급업체의 루트 CA 인증서가 조직의 Windows 운영 체제에 자동으로 설치된다는 점입니다. 이렇게 인증서가 설치된 컴퓨터는 자동으로 CA를 신뢰하게 됩니다. 조직 또는 회사 PKI 솔루션과는 다르게, 상업용 인증서를 사용하면 서명된 문서를 조직 외부 사람과 공유할 수 있습니다.

상업용 인증서는 세 가지가 있습니다.

• 클래스 1   클래스 1 인증서는 유효한 전자 메일 주소를 갖고 있는 개인에게 발급됩니다. 클래스 1 인증서는 신분 증명 수단이 필요 없는 비영리 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합한 인증서입니다.

• 클래스 2   클래스 2 인증서는 개인 및 장치에 발급됩니다. Class 2 개별 인증서는 유효성 검사 데이터베이스를 기반으로 하는 신분 증명 수단이 충분한 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합한 인증서입니다. 클래스 2 장치 인증서는 장치 인증(메시지, 소프트웨어 및 콘텐츠 무결성) 및 기밀 암호화에 적합한 인증서입니다.

• 클래스 3   클래스 3 인증서는 개인, 조직, 서버, 장치, CA 및 RA(루트 인증 기관) 관리자에게 발급됩니다. 클래스 3 개별 인증서는 신분 증명 수잔이 확실해야 하는 트랙잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합한 인증서입니다. 클래스 3 서버 인증서는 서버 인증(메시지, 소프트웨어 및 콘텐츠 무결성) 및 기밀 암호화에 적합한 인증서입니다.

상업용 인증서에 대한 자세한 내용은 디지털 ID를 참조하세요.

Office 2013 문서의 디지털 서명 수준 계획

사용자는 Excel 2013, PowerPoint 2013 및 Word 2013을 사용하여 문서를 디지털 서명할 수 있습니다. 뿐만 아니라 Excel 2013, InfoPath 2013 또는 Word 2013을 사용하여 서명란이나 서명 스탬프를 추가할 수 있습니다. 디지털 인증서는 있지만 서명란 또는 스탬프가 없는 문서를 디지털 서명하면 보이지 않는 디지털 서명이 생성된다고 알려져 있습니다. 보이는 디지털 서명과 보이지 않는 디지털 서명 모두 디지털 인증서를 사용하여 문서에 서명합니다. 보이는 디지털 서명란을 사용했을 때 문서의 그래픽이 다르다는 차이가 있습니다. 디지털 서명을 추가하는 방법에 대한 자세한 내용은 Office 파일에서 디지털 서명 추가 또는 제거를 참조하세요.

디지털 서명 생성 시 자체 서명된 인증서와 CA에서 서명한 인증서 중 어떤 것을 사용하든 Office 2013에서는 기본적으로 XAdES-EPES 디지털 서명을 만듭니다.

다음 표는 XML-DSig 디지털 서명 표준을 기반으로 하고 Office 2013에서 사용할 수 있는 XAdES 디지털 서명 수준을 정리한 것입니다. 각 수준은 이전 수준을 기반으로 하며 이전 수준의 모든 기능을 갖고 있습니다. 예를 들어 XAdES-X는 새로운 기능이 도입된 것은 물론이고 XAdES-EPES, XAdES-T 및 XAdES-C의 모든 기능을 갖고 있습니다.

Office 2013의 XAdES 디지털 서명 수준

Office 2013의 타임스탬프가 지정된 디지털 서명 계획

사용자가 디지털 서명에 타임스탬프를 추가하면 해당 디지털 서명의 수명이 연장됩니다. 예를 들어 해지된 인증서가 하나 있는데 이 인증서는 이전에 디지털 서명을 만드는 데 사용되었습니다. 이 디지털 서명에는 신뢰할 수 있는 타임스탬프 서버의 타임스탬프가 들어 있고 인증서가 해지되기 전에 타임스탬프가 발생했습니다. 이 경우 디지털 서명은 여전히 유효한 것으로 간주될 수 있습니다. 타임스탬프 기능을 디지털 서명과 함께 사용하려면 다음 작업을 완료해야 합니다.

• RFC 3161을 준수하는 타임스탬프 서버 설정

• 그룹 정책 설정 서버 이름 지정을 사용하여 네트워크 상에서 타임스탬프 서버의 위치를 입력합니다.

다음 그룹 정책 설정을 하나 이상 구성하여 타임스탬프 매개 변수를 추가로 구성할 수도 있습니다.

• 타임스탬프 해시 알고리즘 구성

• 타임스탬프 서버 시간 제한 설정

타임스탬프 해시 알고리즘 구성을 구성하여 사용하지 않으면 SHA1의 기본값이 사용됩니다. 타임스탬프 서버 시간 제한 설정을 구성하여 사용하지 않으면 Office 2013에서는 타임스탬프 서버가 요청에 응답할 때까지 5초 동안 기다립니다.

Office 2013의 서명 설정 계획

타임스탬프 관련 설정을 구성하는 그룹 정책 설정 외에도 조직에서 디지털 서명을 구성 및 제어하는 방법을 구성하는 다른 그룹 정책 설정이 있습니다. 이러한 그룹 정책 설정은 **software\policies\microsoft\office\15.0\common\signatures!**에 있습니다.

디지털 서명 그룹 정책 구성 설정

다음은 디지털 서명과 관련된 추가 그룹 정책 설정이며 **\software\policies\microsoft\office\15.0\common\signatures!**에 있습니다.

• 기본 이미지 디렉터리 설정

• EKU 필터링

• 이전 형식 서명

• Office 서명 공급자 표시 안 함

• 외부 서명 서비스 명령 표시 안 함

각 그룹 정책 설정에 대한 자세한 내용은 Office 2013의 관리 템플릿 파일과 함께 제공되는 도움말 파일을 참조하십시오.

디지털 서명에 적용되는 레지스트리 설정

다음은 디지털 서명과 디지털 서명 암호화에 사용되는 인증서에 대한 Windows 레지스트리 설정을 보여 주는 표입니다. 이러한 레지스트리 설정은 HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures에 있습니다. 상응하는 그룹 정책은 없습니다.

디지털 서명 레지스트리 설정

참고 항목

Office 2013 보안 가이드

XAdES(XML Advanced Electronic Signatures)
Office 2013 관리 템플릿 파일(ADMX/ADML) 및 Office 사용자 지정 도구
Active Directory 인증서 서비스
디지털 ID
Office 파일에서 디지털 서명 추가 또는 제거