Office 2010의 디지털 서명 설정 계획

디지털 서명의 역할

디지털 서명은 다음과 같은 인증 척도를 확인하는 데 유용합니다.

• 신뢰성   디지털 서명과 기본 디지털 인증서는 서명자의 신원을 보증해 줍니다. 따라서 인쇄된 문서를 위조할 때처럼 다른 사람이 특정 문서의 원래 작성자로 가장하는 것을 방지할 수 있습니다.

• 무결성   디지털 서명은 서명 이후 문서 내용이 변경 또는 변조되지 않았음을 보증해 줍니다. 따라서 문서가 원래 작성자 모르게 가로채이거나 변경되지 않도록 할 수 있습니다.

• 부인 방지   디지털 서명은 서명된 콘텐츠의 출처를 공개적으로 증명해 줍니다. "부인"이란 서명자가 서명된 콘텐츠와의 관련성을 부정하는 것을 의미합니다. 디지털 서명을 사용하면 서명자의 주장과 관계없이 문서의 작성자가 다른 사람이 아닌 실제 작성자임을 증명할 수 있습니다. 서명자가 해당 문서의 서명을 부인하기 위해서는 디지털 키를 부정해야 하며 이 경우 해당 키로 서명된 다른 문서도 부인됩니다.

디지털 서명을 위한 요구 사항

이러한 조건을 확인하려면 콘텐츠 작성자는 다음 조건을 충족하는 서명을 사용하여 콘텐츠에 디지털 서명해야 합니다.

• 디지털 서명이 유효해야 합니다. 디지털 서명의 기초가 되는 디지털 인증서에는 운영 체제에서 신뢰하는 CA의 서명이 필요합니다.

• 디지털 서명에 연결된 인증서가 만료되지 않은 상태이거나 인증서에 해당 인증서가 서명 시 유효했음을 나타내는 타임스탬프가 포함되어 있어야 합니다.

• 디지털 서명에 연결된 인증서가 해지되지 않은 상태여야 합니다.

• 받는 사람이 게시자(서명 당사자인 개인 또는 조직)를 신뢰할 수 있어야 합니다.

Word 2010, Excel 2010 및 PowerPoint 2010에서는 이러한 조건을 자동으로 확인하고 디지털 서명에 문제가 있어 보이면 경고 메시지를 표시합니다. 문제를 일으킬 수 있는 인증서에 대한 정보는 Office 2010 응용 프로그램에 나타나는 인증서 작업창에서 손쉽게 볼 수 있습니다. Office 2010 응용 프로그램에서는 동일한 문서에 여러 개의 디지털 서명을 추가할 수 있습니다.

비즈니스 환경에서의 디지털 서명

다음 시나리오에서는 비즈니스 환경에서 문서의 디지털 서명을 사용하는 방법을 보여 줍니다.

1. 직원이 Excel 2010을 사용하여 비용 보고서를 만듭니다. 그런 다음 직원 개인용, 상급자용 및 회계 부서용으로 세 개의 서명란을 만듭니다. 이러한 서명란은 해당 직원이 문서 작성자이고, 문서가 상급자에게 제출될 때와 회계 부서에 제출될 때 변경된 내용이 없으며, 상급자와 회계 부서 모두 해당 문서를 받아 검토했다는 사실을 증명하는 데 사용됩니다.

2. 상급자는 문서를 받아 검토하고 승인한 다음 이를 확인해 주는 디지털 서명을 문서에 추가합니다. 그런 다음 지불을 위해 해당 문서를 회계 부서에 전달합니다.

3. 회계 부서의 담당자는 문서를 받은 후 해당 문서를 받았음을 확인해 주는 서명을 추가합니다.

이 예제에서는 하나의 Office 2010 문서에 여러 개의 서명을 추가할 수 있음을 보여 줍니다. 문서의 서명자는 디지털 서명 외에도 실제 서명 그래픽을 추가하거나, Tablet PC를 사용하여 문서의 서명란에 실제로 서명할 수도 있습니다. 부서에서 사용할 수 있으며 특정 부서의 구성원이 문서를 받았음을 나타내 주는 "고무 도장" 기능도 있습니다.

호환성 문제

Office 2010에서는 2007 Office System처럼 디지털 서명에 XML-DSig 형식을 사용합니다. 또한 Office 2010은 XAdES(XML Advanced Electronic Signatures)에 대한 지원이 추가되었습니다. XAdES는 XML-DSig에 대한 계층형 확장 집합으로, 이전 수준을 기반으로 보다 안정적인 디지털 서명을 제공합니다. Office 2010에서 지원되는 XAdES 수준에 대한 자세한 내용은 이 문서 뒷부분에서 디지털 서명 사용을 참조하십시오. XAdES의 세부 정보에 대한 자세한 내용은 XAdES(XML Advanced Electronic Signatures)(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x412)(영문일 수 있음)의 사양을 참조하십시오.

Office 2010에서 만들어진 디지털 서명은 2007 Office System 이전 버전의 Microsoft Office와 호환되지 않습니다. 예를 들어 Office 2010 또는 2007 Office System의 응용 프로그램을 사용하여 문서에 서명한 후 Office 호환 기능 팩이 설치된 Microsoft Office 2003의 응용 프로그램을 사용하여 문서를 열 경우 해당 문서가 최신 버전의 Microsoft Office에서 서명되었으며 문서를 열면 디지털 서명을 잃는다는 메시지가 표시됩니다.

다음 그림에서는 문서를 이전 버전의 Office에서 열 때 디지털 서명이 제거되었음을 알리는 경고 메시지를 보여 줍니다.

Office 2010에서 디지털 서명에 XAdES를 사용하는 경우 디지털 서명이 2007 Office System과 호환되도록 하려면 그룹 정책 설정 매니페스트에 XAdES 참조 개체 포함 안 함을 구성하고 이를 사용 안 함으로 설정해야 합니다. 디지털 서명 그룹 정책 설정에 대한 자세한 내용은 이 문서 뒷부분에서 디지털 서명 구성을 참조하십시오.

Office 2010에서 만들어진 디지털 서명이 Office 2003 이전 버전과 호환되도록 해야 하는 경우 그룹 정책 설정 이전 형식 서명을 구성하고 이를 사용으로 설정하면 됩니다. 이 그룹 정책 설정은 사용자 구성\관리 템플릿\(ADM\ADMX)\Microsoft Office 2010\서명에 있습니다. 이 설정을 사용으로 설정하면 Office 2010 응용 프로그램에서는 Office 2003 바이너리 형식을 사용하여 Office 2010에서 만들어진 Office 97–2003 바이너리 문서에 디지털 서명을 적용합니다.

회사 PKI를 사용하여 만든 인증서

조직에서는 조직 고유의 PKI를 만들 수 있습니다. 이 경우 회사에서는 회사 전체의 컴퓨터와 사용자에 대한 디지털 인증서를 만들 수 있는 CA를 하나 이상 지정합니다. Active Directory 디렉터리 서비스를 함께 사용할 경우 회사에서는 사내의 모든 관리되는 컴퓨터에 회사 CA 체인이 설치되고 모든 사용자와 컴퓨터에 문서 서명 및 암호화를 위한 디지털 인증서가 자동으로 할당되도록 완전한 PKI 솔루션을 만들 수 있습니다. 이렇게 하면 회사 내 모든 직원이 다른 직원의 디지털 인증서 및 유효한 디지털 서명을 자동으로 신뢰할 수 있게 됩니다.

자세한 내용은 Active Directory 인증서 서비스(https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x412)(영문일 수 있음)를 참조하십시오.

상업용 인증서

상업용 인증서는 디지털 인증서 판매를 주업으로 하는 회사에서 구입할 수 있습니다. 상업용 인증서를 사용할 때의 주된 장점은 상업용 인증서 공급업체의 루트 CA 인증서가 Windows 운영 체제에 자동으로 설치되므로 해당 컴퓨터에서 이러한 CA를 자동으로 신뢰할 수 있다는 것입니다. 회사 PKI 솔루션과 달리 상업용 인증서는 조직에 속하지 않은 사용자와도 서명된 문서를 공유할 수 있게 해 줍니다.

상업용 인증서에는 다음과 같은 세 가지 종류가 있습니다.

• 클래스 1   클래스 1 인증서는 유효한 전자 메일 주소가 있는 개인에게 발급됩니다. 클래스 1 인증서는 신원 확인이 필요하지 않은 비상업적 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합합니다.

• 클래스 2   클래스 2 인증서는 개인 및 장치에 발급됩니다. 클래스 2 개인 인증서는 유효성 검사 데이터베이스의 정보를 기초로 한 신원 확인만으로도 충분한 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합하며, 클래스 2 장치 인증서는 장치 인증, 메시지, 소프트웨어 및 콘텐츠 무결성, 기밀 암호화에 적합합니다.

• 클래스 3   클래스 3 인증서는 개인, 조직, 서버, 장치, CA 및 RA(루트 기관)의 관리자에게 발급됩니다. 클래스 3 개인 인증서는 신원 확인이 반드시 필요한 트랜잭션의 디지털 서명, 암호화 및 액세스 제어에 적합하며, 클래스 3 서버 인증서는 서버 인증, 메시지, 소프트웨어 및 콘텐츠 무결성, 기밀 암호화에 적합합니다.

상업용 인증서에 대한 자세한 내용은 디지털 ID – Office 마켓플레이스(https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x412)를 참조하십시오.

타임스태프 디지털 서명

Office 2010에는 디지털 서명에 타임스탬프를 추가하는 기능이 있어 디지털 서명의 수명을 늘리는 데 도움이 됩니다. 예를 들어 신뢰할 수 있는 타임스탬프 서버의 타임스탬프가 포함된 디지털 서명을 만드는 과정에 해지된 인증서를 사용한 적이 있는 경우 타임스탬프가 인증서를 해지하기 전에 발생했다면 해당 디지털 서명은 여전히 유효한 것으로 고려할 수 있습니다. 타임스탬프 기능을 디지털 서명과 함께 사용하려면 다음을 완료해야 합니다.

• RFC 3161과 호환되는 타임스탬프 서버 설정

• 그룹 정책 설정 서버 이름 지정을 사용하여 네트워크에서 타임스탬프 서버의 위치를 입력합니다.

또한 다음 그룹 정책 설정 중 하나 이상을 구성하여 추가 타임스태프 매개 변수를 구성할 수도 있습니다.

• 타임스탬프 해시 알고리즘 구성

• 타임스탬프 서버 시간 제한 설정

타임스탬프 해시 알고리즘 구성을 구성 및 사용하도록 설정하지 않는 경우에는 기본값인 SHA1이 사용됩니다. 타임스탬프 서버 시간 제한 설정을 구성 및 사용하도록 설정하지 않는 경우 Office 2010에서 타임스탬프 서버가 요청에 응답할 때까지 대기하는 기본 시간은 5초입니다.

디지털 서명 구성

타임스탬프 관련 설정을 구성하기 위한 그룹 정책 설정 외에 조직에서 디지털 서명을 구성 및 제어하는 방식을 구성하기 위한 다른 그룹 정책 설정도 있습니다. 다음 표에는 이러한 설정의 이름과 설명이 나와 있습니다.

그룹 정책 설정과 관련된 추가 디지털 서명은 다음과 같습니다.

• 키 사용 필터링

• 기본 이미지 디렉터리 설정

• EKU 필터링

• 이전 형식 서명

• Office 서명 공급자 표시 안 함

• 외부 서명 서비스 메뉴 항목 표시 안 함

각 그룹 정책 설정에 대한 자세한 내용은 Office 2010의 관리 템플릿 파일에 포함된 도움말 파일을 참조하십시오. 관리 템플릿 파일에 대한 자세한 내용은 Office 2010의 그룹 정책 개요를 참조하십시오.