내보내기(0) 인쇄
모두 확장

Office 2010의 디지털 서명 설정 계획

업데이트 날짜: 2010년 7월 8일

Microsoft Excel 2010, Microsoft PowerPoint 2010 및 Microsoft Word 2010을 사용하여 문서를 디지털 서명할 수 있습니다. 또한 Excel 2010, Microsoft InfoPath 2010 및 Word 2010을 사용하여 서명란 또는 서명 스탬프를 추가할 수도 있습니다. Microsoft Office 2010에는 XML-DSig 표준에 대한 확장 집합인 XAdES(XML Advanced Electronic Signatures)에 대한 지원이 포함되어 있는데, 이는 2007 Microsoft Office 시스템에서 처음 지원되었습니다.

이 문서의 내용:

디지털 서명

문서에 디지털 서명하는 이유는 실제 서류에 수기로 서명하는 이유와 비슷합니다. 디지털 서명은 암호화 알고리즘을 사용하여 문서, 전자 메일 메시지 및 매크로 같은 디지털 정보를 만든 사람의 신원을 인증하는 데 사용됩니다.

디지털 서명은 디지털 인증서를 기반으로 합니다. 디지털 인증서는 CA(인증 기관)라고 하는 신뢰할 수 있는 제3자가 발급한 신원 확인서로, 표준 신분 증명서를 사용할 때와 비슷한 역할을 합니다. 예를 들어 관공서나 고용주 같은 신뢰할 수 있는 제3자가 운전 면허증, 여권, 직원 ID 카드 등의 신분 증명서를 발급하면 다른 사람들은 이 신분 증명서를 근거로 증명서 소유자의 신분을 확인합니다.

디지털 서명의 역할

디지털 서명은 다음과 같은 인증 척도를 확인하는 데 유용합니다.

  • 신뢰성   디지털 서명과 기본 디지털 인증서는 서명자의 신원을 보증해 줍니다. 따라서 인쇄된 문서를 위조할 때처럼 다른 사람이 특정 문서의 원래 작성자로 가장하는 것을 방지할 수 있습니다.

  • 무결성   디지털 서명은 서명 이후 문서 내용이 변경 또는 변조되지 않았음을 보증해 줍니다. 따라서 문서가 원래 작성자 모르게 가로채이거나 변경되지 않도록 할 수 있습니다.

  • 부인 방지   디지털 서명은 서명된 콘텐츠의 출처를 공개적으로 증명해 줍니다. "부인"이란 서명자가 서명된 콘텐츠와의 관련성을 부정하는 것을 의미합니다. 디지털 서명을 사용하면 서명자의 주장과 관계없이 문서의 작성자가 다른 사람이 아닌 실제 작성자임을 증명할 수 있습니다. 서명자가 해당 문서의 서명을 부인하기 위해서는 디지털 키를 부정해야 하며 이 경우 해당 키로 서명된 다른 문서도 부인됩니다.

디지털 서명을 위한 요구 사항

이러한 조건을 확인하려면 콘텐츠 작성자는 다음 조건을 충족하는 서명을 사용하여 콘텐츠에 디지털 서명해야 합니다.

  • 디지털 서명이 유효해야 합니다. 디지털 서명의 기초가 되는 디지털 인증서에는 운영 체제에서 신뢰하는 CA의 서명이 필요합니다.

  • 디지털 서명에 연결된 인증서가 만료되지 않은 상태이거나 인증서에 해당 인증서가 서명 시 유효했음을 나타내는 타임스탬프가 포함되어 있어야 합니다.

  • 디지털 서명에 연결된 인증서가 해지되지 않은 상태여야 합니다.

  • 받는 사람이 게시자(서명 당사자인 개인 또는 조직)를 신뢰할 수 있어야 합니다.

Word 2010, Excel 2010 및 PowerPoint 2010에서는 이러한 조건을 자동으로 확인하고 디지털 서명에 문제가 있어 보이면 경고 메시지를 표시합니다. 문제를 일으킬 수 있는 인증서에 대한 정보는 Office 2010 응용 프로그램에 나타나는 인증서 작업창에서 손쉽게 볼 수 있습니다. Office 2010 응용 프로그램에서는 동일한 문서에 여러 개의 디지털 서명을 추가할 수 있습니다.

비즈니스 환경에서의 디지털 서명

다음 시나리오에서는 비즈니스 환경에서 문서의 디지털 서명을 사용하는 방법을 보여 줍니다.

  1. 직원이 Excel 2010을 사용하여 비용 보고서를 만듭니다. 그런 다음 직원 개인용, 상급자용 및 회계 부서용으로 세 개의 서명란을 만듭니다. 이러한 서명란은 해당 직원이 문서 작성자이고, 문서가 상급자에게 제출될 때와 회계 부서에 제출될 때 변경된 내용이 없으며, 상급자와 회계 부서 모두 해당 문서를 받아 검토했다는 사실을 증명하는 데 사용됩니다.

  2. 상급자는 문서를 받아 검토하고 승인한 다음 이를 확인해 주는 디지털 서명을 문서에 추가합니다. 그런 다음 지불을 위해 해당 문서를 회계 부서에 전달합니다.

  3. 회계 부서의 담당자는 문서를 받은 후 해당 문서를 받았음을 확인해 주는 서명을 추가합니다.

이 예제에서는 하나의 Office 2010 문서에 여러 개의 서명을 추가할 수 있음을 보여 줍니다. 문서의 서명자는 디지털 서명 외에도 실제 서명 그래픽을 추가하거나, Tablet PC를 사용하여 문서의 서명란에 실제로 서명할 수도 있습니다. 부서에서 사용할 수 있으며 특정 부서의 구성원이 문서를 받았음을 나타내 주는 "고무 도장" 기능도 있습니다.

호환성 문제

Office 2010에서는 2007 Office System처럼 디지털 서명에 XML-DSig 형식을 사용합니다. 또한 Office 2010은 XAdES(XML Advanced Electronic Signatures)에 대한 지원이 추가되었습니다. XAdES는 XML-DSig에 대한 계층형 확장 집합으로, 이전 수준을 기반으로 보다 안정적인 디지털 서명을 제공합니다. Office 2010에서 지원되는 XAdES 수준에 대한 자세한 내용은 이 문서 뒷부분에서 디지털 서명 사용을 참조하십시오. XAdES의 세부 정보에 대한 자세한 내용은 XAdES(XML Advanced Electronic Signatures)(영문일 수 있음)(http://go.microsoft.com/fwlink/?linkid=186631&clcid=0x412)(영문일 수 있음)의 사양을 참조하십시오.

Office 2010에서 만들어진 디지털 서명은 2007 Office System 이전 버전의 Microsoft Office와 호환되지 않습니다. 예를 들어 Office 2010 또는 2007 Office System의 응용 프로그램을 사용하여 문서에 서명한 후 Office 호환 기능 팩이 설치된 Microsoft Office 2003의 응용 프로그램을 사용하여 문서를 열 경우 해당 문서가 최신 버전의 Microsoft Office에서 서명되었으며 문서를 열면 디지털 서명을 잃는다는 메시지가 표시됩니다.

다음 그림에서는 문서를 이전 버전의 Office에서 열 때 디지털 서명이 제거되었음을 알리는 경고 메시지를 보여 줍니다.

그림 1 호환성 문제

Office 2010에서 디지털 서명에 XAdES를 사용하는 경우 디지털 서명이 2007 Office System과 호환되도록 하려면 그룹 정책 설정 매니페스트에 XAdES 참조 개체 포함 안 함을 구성하고 이를 사용 안 함으로 설정해야 합니다. 디지털 서명 그룹 정책 설정에 대한 자세한 내용은 이 문서 뒷부분에서 디지털 서명 구성을 참조하십시오.

Office 2010에서 만들어진 디지털 서명이 Office 2003 이전 버전과 호환되도록 해야 하는 경우 그룹 정책 설정 이전 형식 서명을 구성하고 이를 사용으로 설정하면 됩니다. 이 그룹 정책 설정은 사용자 구성\관리 템플릿\(ADM\ADMX)\Microsoft Office 2010\서명에 있습니다. 이 설정을 사용으로 설정하면 Office 2010 응용 프로그램에서는 Office 2003 바이너리 형식을 사용하여 Office 2010에서 만들어진 Office 97–2003 바이너리 문서에 디지털 서명을 적용합니다.

디지털 인증서: 자체 서명 인증서 또는 CA 발급 인증서

디지털 인증서는 Active Directory 인증서 서비스를 실행하는 Windows Server 2008 컴퓨터와 같은 조직의 CA나 VeriSign 또는 Thawte 같은 공용 CA에서 발급할 수 있습니다. 자체 서명된 인증서는 일반적으로 조직의 PKI(공개 키 인프라)를 설정하지도 않고 상업용 인증서를 구매하지도 않으려는 개인 및 소규모 기업이 사용합니다.

자체 서명된 인증서를 사용할 때의 주된 단점은 문서를 교환하는 상대방이 사용자와 개인적으로 친분이 있으며 사용자가 문서를 실제로 보낸 사람임을 확신하는 경우에만 유용하다는 것입니다. 자체 서명된 인증서를 사용할 경우에는 인증서의 신뢰성을 확인해 주는 제3자가 없으므로 서명된 문서를 받는 각 사용자가 스스로 인증서의 신뢰 여부를 결정해야 합니다.

보다 큰 조직의 경우 회사 PKI를 사용하여 만든 인증서와 상업용 인증서 같은 디지털 인증서를 얻기 위한 두 가지 방법을 사용할 수 있습니다. 조직의 직원들 간에만 서명된 문서를 공유하려는 조직에서는 비용 부담이 적은 회사 PKI를 선호할 수 있습니다. 반면 조직의 외부에 있는 사람과 서명된 문서를 공유하려는 조직에서는 상업용 인증서를 선호할 수 있습니다.

회사 PKI를 사용하여 만든 인증서

조직에서는 조직 고유의 PKI를 만들 수 있습니다. 이 경우 회사에서는 회사 전체의 컴퓨터와 사용자에 대한 디지털 인증서를 만들 수 있는 CA를 하나 이상 지정합니다. Active Directory 디렉터리 서비스를 함께 사용할 경우 회사에서는 사내의 모든 관리되는 컴퓨터에 회사 CA 체인이 설치되고 모든 사용자와 컴퓨터에 문서 서명 및 암호화를 위한 디지털 인증서가 자동으로 할당되도록 완전한 PKI 솔루션을 만들 수 있습니다. 이렇게 하면 회사 내 모든 직원이 다른 직원의 디지털 인증서 및 유효한 디지털 서명을 자동으로 신뢰할 수 있게 됩니다.

자세한 내용은 Active Directory 인증서 서비스(http://go.microsoft.com/fwlink/?linkid=119113&clcid=0x412)(영문일 수 있음)를 참조하십시오.

상업용 인증서

상업용 인증서는 디지털 인증서 판매를 주업으로 하는 회사에서 구입할 수 있습니다. 상업용 인증서를 사용할 때의 주된 장점은 상업용 인증서 공급업체의 루트 CA 인증서가 Windows 운영 체제에 자동으로 설치되므로 해당 컴퓨터에서 이러한 CA를 자동으로 신뢰할 수 있다는 것입니다. 회사 PKI 솔루션과 달리 상업용 인증서는 조직에 속하지 않은 사용자와도 서명된 문서를 공유할 수 있게 해 줍니다.

상업용 인증서에는 다음과 같은 세 가지 종류가 있습니다.

  • 클래스 1   클래스 1 인증서는 유효한 전자 메일 주소가 있는 개인에게 발급됩니다. 클래스 1 인증서는 신원 확인이 필요하지 않은 비상업적 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합합니다.

  • 클래스 2   클래스 2 인증서는 개인 및 장치에 발급됩니다. 클래스 2 개인 인증서는 유효성 검사 데이터베이스의 정보를 기초로 한 신원 확인만으로도 충분한 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합하며, 클래스 2 장치 인증서는 장치 인증, 메시지, 소프트웨어 및 콘텐츠 무결성, 기밀 암호화에 적합합니다.

  • 클래스 3   클래스 3 인증서는 개인, 조직, 서버, 장치, CA 및 RA(루트 기관)의 관리자에게 발급됩니다. 클래스 3 개인 인증서는 신원 확인이 반드시 필요한 트랜잭션의 디지털 서명, 암호화 및 액세스 제어에 적합하며, 클래스 3 서버 인증서는 서버 인증, 메시지, 소프트웨어 및 콘텐츠 무결성, 기밀 암호화에 적합합니다.

상업용 인증서에 대한 자세한 내용은 디지털 ID – Office 마켓플레이스(http://go.microsoft.com/fwlink/?linkid=119114&clcid=0x412)를 참조하십시오.

디지털 서명 사용

Microsoft Excel 2010, Microsoft PowerPoint 2010 및 Microsoft Word 2010을 사용하여 문서를 디지털 서명할 수 있습니다. 또한 Excel 2010, Microsoft InfoPath 2010 및 Word 2010을 사용하여 서명란 또는 서명 스탬프를 추가할 수도 있습니다. 디지털 인증서는 있지만 서명란 또는 서명 스탬프가 없는 문서를 디지털 서명하는 것을 보이지 않는 디지털 서명을 만든다고 합니다. 보이는 디지털 서명과 보이지 않는 디지털 서명은 모두 문서에 서명하는 데 디지털 인증서를 사용합니다. 차이점은 보이는 디지털 서명란이 사용되는 경우 문서 내의 그래픽 표시가 다른 부분에 있습니다. 디지털 서명을 추가하는 방법에 대한 자세한 내용은 Office 파일에서 디지털 서명 추가 또는 제거(http://go.microsoft.com/fwlink/?linkid=187659&clcid=0x412)를 참조하십시오.

기본적으로 Office 2010에서는 디지털 서명을 만드는 동안 자체 서명 인증서가 사용되든 CA 발급 인증서가 사용되든 관계없이 XAdES-EPES 디지털 서명을 사용합니다.

다음 표에는 Office 2010에서 사용할 수 있는 XML-DSig 디지털 서명 표준 기반의 XAdES 디지털 서명 수준이 나와 있습니다. 각 수준은 이전 수준을 기반으로 하며 이전 수준의 모든 기능을 포함합니다. 예를 들어 XAdES-X에는 XAdES-X에 도입된 새로운 기능 외에도 XAdES-EPES, XAdES-T 및 XAdES-C의 모든 기능이 포함되어 있습니다.

서명 수준 설명

XAdES-EPES(기본)

서명 인증서에 대한 정보를 XML-DSig 서명에 추가합니다. 이는 Office 2010 서명에 대한 기본값입니다.

XAdES-T(타임스탬프)

서명의 XML-DSig 및 XAdES-EPES 섹션에 인증서 만료에 대비하는 데 도움이 되는 타임스탬프를 추가합니다.

XAdES-C(전체)

인증 체인 및 해지 상태 정보에 참조를 추가합니다.

XAdES-X(연장된 기간)

XML-DSig SignatureValue 요소와 서명의 –T 및 –C 섹션에 타임스탬프를 추가합니다. 이 추가 타임스탬프는 추가 데이터가 부인되지 않도록 보호합니다.

XAdES-X-L(장기간)

실제 인증서 및 인증서 해지 정보를 서명과 함께 저장합니다. 이를 통해 인증서 서버를 더 이상 사용할 수 없는 경우에도 인증서의 유효성을 검사할 수 있습니다.

타임스태프 디지털 서명

Office 2010에는 디지털 서명에 타임스탬프를 추가하는 기능이 있어 디지털 서명의 수명을 늘리는 데 도움이 됩니다. 예를 들어 신뢰할 수 있는 타임스탬프 서버의 타임스탬프가 포함된 디지털 서명을 만드는 과정에 해지된 인증서를 사용한 적이 있는 경우 타임스탬프가 인증서를 해지하기 전에 발생했다면 해당 디지털 서명은 여전히 유효한 것으로 고려할 수 있습니다. 타임스탬프 기능을 디지털 서명과 함께 사용하려면 다음을 완료해야 합니다.

  • RFC 3161과 호환되는 타임스탬프 서버 설정

  • 그룹 정책 설정 서버 이름 지정을 사용하여 네트워크에서 타임스탬프 서버의 위치를 입력합니다.

또한 다음 그룹 정책 설정 중 하나 이상을 구성하여 추가 타임스태프 매개 변수를 구성할 수도 있습니다.

  • 타임스탬프 해시 알고리즘 구성

  • 타임스탬프 서버 시간 제한 설정

타임스탬프 해시 알고리즘 구성을 구성 및 사용하도록 설정하지 않는 경우에는 기본값인 SHA1이 사용됩니다. 타임스탬프 서버 시간 제한 설정을 구성 및 사용하도록 설정하지 않는 경우 Office 2010에서 타임스탬프 서버가 요청에 응답할 때까지 대기하는 기본 시간은 5초입니다.

디지털 서명 구성

타임스탬프 관련 설정을 구성하기 위한 그룹 정책 설정 외에 조직에서 디지털 서명을 구성 및 제어하는 방식을 구성하기 위한 다른 그룹 정책 설정도 있습니다. 다음 표에는 이러한 설정의 이름과 설명이 나와 있습니다.

설정 설명

서명 생성 시 OCSP 필요

이 정책 설정을 통해 Office 2010에서 디지털 서명을 생성할 때 체인에 속한 모든 디지털 인증서의 OCSP(온라인 인증서 상태 프로토콜) 해지 데이터가 필요한지 여부를 결정할 수 있습니다.

디지털 서명 생성에 대한 최소 XAdES 수준 지정

이 정책 설정을 통해 Office 2010 응용 프로그램에서 XAdES 디지털 서명을 만들기 위해 도달해야 하는 최소 XAdES 수준을 지정할 수 있습니다. 최소 XAdES 수준에 도달할 수 없으면 Office 응용 프로그램에서 서명을 만들지 않습니다.

디지털 서명의 XAdES 부분 확인

이 정책 설정을 통해 Office 2010에서 문서에 대한 디지털 서명의 유효성을 검사할 때 디지털 서명의 XAdES 부분을 확인할지 여부를 지정할 수 있습니다.

서명의 유효성을 검사할 때 만료된 인증서 허용 안 함

이 정책 설정을 통해 Office 2010 응용 프로그램에서 디지털 서명의 유효성을 검사할 때 만료된 디지털 인증서를 수락할지 여부를 구성할 수 있습니다.

매니페스트에 XAdES 참조 개체 포함 안 함

이 정책 설정을 통해 매니페스트에 XAdES 참조 개체가 나타나는지 여부를 결정할 수 있습니다. 2007 Office System에서 XAdES 콘텐츠가 포함된 Office 2010 서명을 읽을 수 있도록 하려면 이 설정을 사용 안 함으로 구성해야 합니다. 그렇지 않으면 2007 Office System에서 XAdES 콘텐츠가 포함된 서명을 유효하지 않은 것으로 간주합니다.

디지털 서명 해시 알고리즘 선택

이 정책 설정을 통해 Office 2010 응용 프로그램에서 디지털 서명을 확인하는 데 사용할 해시 알고리즘을 구성할 수 있습니다.

서명 확인 수준 설정

이 정책 설정을 통해 Office 2010 응용 프로그램에서 디지털 서명의 유효성을 검사할 때 사용하는 확인 수준을 설정할 수 있습니다.

서명 생성에 대해 요청된 XAdES 수준

이 정책 설정을 통해 디지털 서명을 만들 때 요청되거나 필요한 XAdES 수준을 지정할 수 있습니다.

그룹 정책 설정과 관련된 추가 디지털 서명은 다음과 같습니다.

  • 키 사용 필터링

  • 기본 이미지 디렉터리 설정

  • EKU 필터링

  • 이전 형식 서명

  • Office 서명 공급자 표시 안 함

  • 외부 서명 서비스 메뉴 항목 표시 안 함

각 그룹 정책 설정에 대한 자세한 내용은 Office 2010의 관리 템플릿 파일에 포함된 도움말 파일을 참조하십시오. 관리 템플릿 파일에 대한 자세한 내용은 Office 2010의 그룹 정책 개요를 참조하십시오.

Cc545900.note(ko-kr,office.14).gif참고:

정책 설정에 대한 최신 정보는 Microsoft Excel 2010 통합 문서인 Office2010GroupPolicyAndOCTSettings_Reference.xls를 참조하십시오. 이 문서는 Office 2010 관리 템플릿 파일(ADM, ADMX, ADML) 및 Office 사용자 지정 도구(영문일 수 있음)(http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x412)(영문일 수 있음) 다운로드 페이지의 이 다운로드에 포함된 파일 섹션에서 사용할 수 있습니다.

변경 내용

날짜 설명

2010년 7월 8일

2010/07/05

2012/05/16

초기 게시

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft