Exchange Online에서 메시지 서명 및 암호화를 위한 S/MIME
S/MIME(보안/다목적 인터넷 메일 확장)는 디지털 서명 및 암호화된 메시지를 보내기 위한 널리 허용되는 프로토콜입니다. Exchange Online S/MIME는 전자 메일 메시지에 대해 다음 서비스를 제공합니다.
- 암호화: 전자 메일 메시지의 콘텐츠를 보호합니다.
- 디지털 서명: 전자 메일 메시지 보낸 사람의 ID를 확인합니다.
이 문서의 나머지 부분에는 일반적으로 S/MIME 및 이러한 서비스의 작동 방식에 대해 설명합니다.
Exchange Online S/MIME를 구성하려면 다음 topics 참조하세요.
iOS 및 Android용 Outlook의 S/MIME
S/MIME 디지털 서명
디지털 서명은 S/MIME에서 더 일반적으로 사용되는 서비스입니다. 이름에서 알 수 있듯이 디지털 서명은 종이 문서의 전통적인 법적 서명에 대응하는 디지털 서명입니다. 법적 서명과 마찬가지로 디지털 서명은 다음과 같은 보안 기능을 제공합니다.
인증: 서명은 ID의 유효성을 검사하는 역할을 합니다. 해당 엔터티를 다른 모든 엔터티와 차별화하고 고유성을 증명하는 수단을 제공하여 "Who are you"에 대한 답을 확인합니다. SMTP 전자 메일에는 인증이 없으므로 메시지를 보낸 사람을 알 수 있는 방법이 없습니다. 디지털 서명의 인증은 받는 사람이 메시지를 보냈다고 주장하는 사람 또는 organization 메시지를 보낸 것을 알 수 있도록 하여 이 문제를 해결합니다.
비준수: 서명의 고유성을 통해 서명 소유자가 서명을 파기할 수 없게 됩니다. 이 기능을 비구제라고 합니다. 따라서 서명이 제공하는 인증은 비준수 적용 수단을 제공합니다. 비준수의 개념은 종이 계약의 맥락에서 가장 익숙합니다: 서명된 계약은 법적 구속력이 있는 문서이며 인증된 서명을 파기하는 것은 불가능합니다. 디지털 서명은 동일한 기능을 제공하며, 일부 영역에서는 종이 서명과 유사하게 법적 구속력이 있는 것으로 인식됩니다. SMTP 전자 메일은 인증 수단을 제공하지 않으므로 비준수 기능을 제공할 수 없습니다. 보낸 사용자가 SMTP 전자 메일 메시지의 소유권을 쉽게 거부합니다.
데이터 무결성: 디지털 서명이 제공하는 추가 보안 서비스는 데이터 무결성입니다. 데이터 무결성은 디지털 서명을 가능하게 하는 특정 작업의 결과입니다. 데이터 무결성 서비스를 사용하면 디지털 서명된 전자 메일 메시지의 수신자가 디지털 서명의 유효성을 검사할 때 수신되는 전자 메일 메시지가 실제로 서명 및 전송된 것과 동일한 메시지이며 전송 중에 변경되지 않았음을 보장합니다. 서명된 후 전송 중인 메시지를 변경하면 서명이 무효화됩니다. 이러한 방식으로 디지털 서명은 종이 문서가 서명된 후 변경될 수 있기 때문에 종이의 서명이 불가능할 수 있음을 보장합니다.
중요
디지털 서명은 데이터 무결성을 제공하지만 기밀성을 제공하지는 않습니다. 디지털 서명만 있는 메시지는 SMTP 메시지와 같은 명확한 텍스트로 전송되며 다른 사용자가 읽을 수 있습니다. 메시지가 불투명하게 서명된 경우 메시지가 base64로 인코딩되었지만 여전히 텍스트가 명확하기 때문에 난독 처리 수준이 달성됩니다. 전자 메일 메시지의 내용을 보호하려면 암호화를 사용해야 합니다.
S/MIME 암호화
메시지 암호화는 정보 공개에 대한 솔루션을 제공합니다. SMTP 기반 인터넷 전자 메일은 메시지를 보호하지 않습니다. SMTP 인터넷 전자 메일 메시지는 SMTP가 이동하는 것을 보거나 저장된 위치에서 보는 사람이 읽을 수 있습니다. 이러한 문제는 암호화를 사용하여 S/MIME에서 해결됩니다. 암호화는 정보를 읽고 이해할 수 있는 형태로 다시 변경될 때까지 읽거나 이해할 수 없도록 정보를 변경하는 방법입니다. 메시지 암호화는 다음과 같은 두 가지 특정 보안 서비스를 제공합니다.
기밀성: 메시지 암호화는 전자 메일 메시지의 내용을 보호하는 역할을 합니다. 의도한 수신자만 콘텐츠를 볼 수 있으며, 콘텐츠는 기밀로 유지되며 메시지를 받거나 볼 수 있는 다른 사람이 알 수 없습니다. 암호화는 메시지가 전송 중이고 스토리지에 있는 동안 기밀성을 제공합니다.
데이터 무결성: 디지털 서명과 마찬가지로 메시지 암호화는 암호화를 가능하게 하는 특정 작업의 결과로 데이터 무결성 서비스를 제공합니다.
중요
메시지 암호화는 기밀성을 제공하지만 어떤 방식으로든 메시지 발신자를 인증하지는 않습니다. 서명되지 않은 암호화된 메시지는 암호화되지 않은 메시지처럼 보낸 사람 가장에 취약합니다. 비구제는 인증의 직접적인 결과이므로 메시지 암호화도 비구제도를 제공하지 않습니다. 암호화는 데이터 무결성을 제공하지만 암호화된 메시지는 메시지를 보낸 후 변경되지 않았음을 표시할 수 있습니다. 메시지를 보낸 사람에 대한 정보는 제공되지 않습니다. 보낸 사람의 ID를 증명하려면 메시지가 디지털 서명을 사용해야 합니다.
관련 메시지 암호화 기술
다른 암호화 기술은 함께 작동하여 미사용 및 전송 중인 메시지를 보호합니다. S/MIME는 다음 목록의 기술과 동시에 작동할 수 있지만 종속되지는 않습니다.
- SSL(Secure Sockets Layer)을 대체하는 TLS(전송 계층 보안):
- 스누핑 및 도청을 방지하기 위해 이메일 서버 간의 터널 또는 경로를 암호화합니다.
- 전자 메일 클라이언트와 전자 메일 서버 간의 연결을 암호화합니다.
- BitLocker: 클라이언트 컴퓨터 및 서버의 하드 드라이브에서 데이터를 암호화합니다. 권한이 없는 당사자가 액세스 권한을 얻는 경우 드라이브의 데이터를 읽을 수 없습니다.
Microsoft Purview 메시지 암호화 S/MIME에 대한 직접적인 경쟁자이며 S/MIME보다 다음과 같은 이점이 있습니다.
- 관리자가 organization 내부 또는 외부의 모든 사람에게 전송되는 메시지를 암호화하도록 구성된 정책 기반 암호화 서비스입니다. 반면 사용자는 보내는 메시지에 S/MIME를 적용할지 여부를 결정해야 합니다.
- Azure RMS(Azure Rights Management)를 기반으로 하며 공개 키 인프라를 사용하지 않는 온라인 서비스입니다. 반면 S/MIME에는 인증서 및 인증서 게시 인프라가 필요합니다.
- Microsoft Purview 메시지 암호화 추가 기능을 제공합니다. 예를 들어 organization 브랜드로 메시지를 사용자 지정할 수 있습니다.