내보내기(0) 인쇄
모두 확장

Office 2013 디지털 서명 설정 계획

 

적용 대상: Office 2013

마지막으로 수정된 항목: 2014-06-05

요약: Excel 2013, PowerPoint 2013 및 Word 2013 문서에서 XAdES 디지털 서명을 지원하는 방법을 설명합니다.

대상: IT 전문가

사용자는 종이 문서에 자필로 서명할 때처럼 여러 가지 이유로 Office 2013 Excel, PowerPoint 또는 Word 문서에 디지털 방식으로 서명할 수 있습니다. 디지털 서명은 암호화 알고리즘을 사용하여 문서, 전자 메일 메시지, 매크로 등 디지털 정보 작성자의 ID를 인증하는 데 사용됩니다.

디지털 서명은 디지털 인증서를 기반으로 합니다. 디지털 인증서는 ID를 확인하는 수단이며 CA(인증 기관)라고 하는 신뢰할 수 있는 타사에서 발급합니다. 디지털 인증서는 인쇄된 신분증과 사용법이 비슷합니다. 예를 들어 정부 기관이나 회사처럼 신뢰할 수 있는 타사에서 운전 면허증, 여권, 직원 ID 카드 등의 신분증을 발급합니다. 다른 사람은 기본적으로 신분증을 제시하는 사람이 신분증 속의 인물과 일치한다고 생각합니다.

이 문서에서는 Office 2013에 새로 도입된 디지털 서명 레지스트리 키를 다룹니다.

중요중요:
이 문서는 Office 2013 보안 콘텐츠 로드맵의 일부입니다. 이 로드맵을 Office 2013 보안 평가를 위한 문서, 다운로드, 포스터 및 비디오의 시작 지점으로 활용하십시오.
데스크톱에서 Office 2013의 디지털 서명을 설정하는 데 도움이 필요합니까? 그렇다면 데스크톱에서 Office 2013의 보안을 강화하는 방법을 설명하는 다음 문서가 도움이 될 것입니다.

이 문서의 내용

Digital 디지털 서명은 다음과 같은 인증 방법을 설정하도록 도와 줍니다.

  • 신뢰성   디지털 서명과 그 기본 디지털 인증서를 사용하면 서명자의 신분을 믿을 수 있습니다. 인쇄된 문서를 위조하는 것처럼 다른 사람이 특정 문서의 송신자로 가장하는 것을 방지할 수 있습니다.

  • 무결성   디지털 서명을 사용하면 콘텐츠가 디지털 서명된 후 무단으로 변경되지 않았음을 보증할 수 있습니다. 이는 문서 송신자 모르게 문서를 가로채서 무단으로 변경하는 것을 방지하는 데 도움이 됩니다.

  • 부인 방지   디지털 서명을 사용하면 모든 관계자에게 서명된 콘텐츠의 출처를 증명할 수 있습니다. "부인"이란 서명자가 서명된 콘텐츠와의 모든 관계를 부정하는 것을 말합니다. 디지털 서명은 서명자의 주장에 관계없이 문서 송신자가 문서를 송신한 사람이 틀림 없다는 것을 증명하는 데 도움이 됩니다. 서명자는 자신의 디지털 키를 부인하지 않고는 해당 문서의 서명을 부인할 수 없습니다. 따라서 해당 키를 사용하여 서명한 다른 문서도 부인할 수 없습니다.

이러한 조건을 설정하려면 콘텐츠 작성자가 다음 기준을 만족하는 서명을 만들어서 콘텐츠를 디지털 서명해야 합니다.

  • 디지털 서명이 유효합니다. 운영 체제에서 신뢰하는 CA가 해당 서명의 기반이 되는 디지털 인증서에 서명해야 합니다.

  • 디지털 서명과 연결된 인증서가 만료되거나 서명 당시 인증서가 유효했음을 알리는 타임스탬프를 포함하지 않습니다.

  • 디지털 서명과 연결된 인증서가 해지되지 않습니다.

  • 서명하는 사람 또는 조직(게시자라고 함)을 받는 사람이 신뢰할 수 있습니다.

Word 2013, Excel 2013 및 PowerPoint 2013은 이러한 조건을 감지하여 디지털 서명에 문제가 있으면 사용자에게 알립니다. 문제가 있는 인증서에 대한 정보는 Office 2013 응용 프로그램에 표시되는 인증서 작업 창에서 간편하게 확인할 수 있습니다. Office 2013 응용 프로그램을 사용하여 같은 문서에 디지털 서명을 여러 개 추가할 수 있습니다.

다음은 비즈니스 환경에서 문서에 디지털 서명을 사용하는 방법을 보여 주는 시나리오입니다.

  1. 한 직원이 Excel 2013을 사용하여 경비 보고서를 작성한 후 서명란 3개를 만듭니다. 하나는 본인 서명란, 또 하나는 관리자 서명란, 마지막은 회계 부서 서명란입니다. 서명은 다음 역할을 수행합니다.

    • 직원이 문서를 보낸 사람인지 확인

    • 관리자와 회계 부서로 전송되는 동안 문서가 전혀 변경되지 않았음을 표시

    • 관리자와 회계 부서에서 문서를 받아서 검토했음을 증명하는 증거

  2. 관리자는 문서를 받아서 서명을 추가합니다. 이는 관리자가 문서를 검토한 후 승인했음을 확인하는 절차입니다. 그런 후 관리자가 회계 부서에 문서를 전달하여 결제를 요청합니다.

  3. 회계 부서 책임자가 문서를 받아서 서명합니다. 이는 문서를 받았음을 확인하는 절차입니다.

이 예를 통해 Office 2013 문서 하나에 서명을 여러 개 추가할 수 있다는 것을 알 수 있습니다. 디지털 서명 외에도 문서 서명자는 문서에 본인의 실제 서명 그래픽을 추가하거나 태블릿 PC를 사용하여 문서 서명란에 실제로 서명할 수 있습니다.

Office 2013은 Office 2010 및 Office 2007과 마찬가지로 디지털 서명에 XML-DSig 형식을 사용합니다. 뿐만 아니라 Office 2013은 XAdES(XML Advanced Electronic Signatures)를 지원합니다. XAdES는 XML-DSig의 계층화된 확장 모음으로, 이전 수준을 기반으로 보다 안정적인 디지털 서명을 제공하도록 개선되었습니다. Office 2013에서 지원되는 XAdES에 대한 자세한 내용은 이 문서 후반부의 Office 2013 문서의 디지털 서명 수준 계획을 참조하십시오. XAdES에 대한 자세한 내용은 XAdES(XML Advanced Electronic Signatures) 사양을 참조하십시오.

Office 2013에서 만든 디지털 서명은 2007 Office System 이전 버전의 Office와 호환되지 않는다는 점에 주의해야 합니다. 예를 들어 Office 2013, Office 2010 또는 Office 2007 응용 프로그램을 사용하여 문서를 서명하고 Office 호환 기능 팩이 설치된 Office 2003 응용 프로그램을 사용하여 해당 문서를 열면 문서가 상위 버전의 Office에서 서명되었으며 디지털 서명이 손실되었다는 메시지가 표시됩니다.

다음 그림은 Office 2007 이전 버전에서 문서를 열면 표시되는 경고입니다.

Office 2003 또는 이전 버전에서 서명된 문서에 대한 디지털 서명 경고.

그림 1 호환성 문제


뿐만 아니라 Office 2013에서 디지털 서명에 XAdES를 사용할 경우 그룹 정책 설정 매니페스트에 XAdES 참조 개체 포함 안 함을 구성하고 사용으로 설정하지 않으면 디지털 서명이 Office 2010 또는 2007 Office System과 호환되지 않습니다. 디지털 서명 그룹 정책 설정에 대한 자세한 내용은 이 문서 후반부의 Office 2013의 서명 설정 계획을 참조하십시오.

Office 2013에서 만든 디지털 서명이 Office 2003 및 이전 버전과 호환되기를 원한다면 그룹 정책 설정 이전 형식 서명을 구성하고 사용으로 설정하십시오. 이 그룹 정책 설정은 User Configuration\Administrative Templates\Microsoft Office 2013\Signing아래에 있습니다. 이 설정을 사용으로 변경하면 Office 2013 응용 프로그램에서는 사용자가 Office 2013에서 만든 Office 97-2003 이진 문서에 디지털 서명을 적용할 때 Office 2003 이진 형식을 사용합니다. 자세한 내용은 Office 2013 관리 템플릿 파일(ADMX/ADML) 및 Office 사용자 지정 도구을 참조하십시오.

Digital 디지털 인증서는 자체 서명된 것일 수도 있고, Active Directory 인증서 서비스를 실행하는 Windows Server 2012나 Windows Server 2008 컴퓨터 같은 조직의 CA 또는 VeriSign이나 Thawte 같은 공용 CA에서 발급한 것일 수도 있습니다. 자체 서명된 인증서는 조직에 PKI(공개 키 인프라)를 설정하는 것을 원하지 않고 상업용 인증서를 구입할 마음이 없는 소규모 회사 또는 개인이 주로 사용합니다.

자체 서명된 인증서의 가장 큰 문제점은 개인적으로 잘 아는 사람과 문서를 교환하고 문서의 실제 송신자가 본인이라는 것을 확신할 수 있을 때에만 유용하다는 점입니다. 자체 서명된 인증서를 사용하면 인증서의 신뢰성을 검사하는 타사가 없습니다. 서명된 문서를 받는 각 개인이 인증서를 신뢰할 것인지 여부를 직접 결정해야 합니다.

대규모 조직에서는 두 가지 방법으로 디지털 인증서를 얻을 수 있습니다. 첫 번째는 조직 또는 회사 PKI를 사용하여 만든 인증서이고 두 번째는 상업용 인증서입니다. 서명된 문서를 조직 내 직원들만 공유하기를 원하는 조직에서는 비용을 줄일 수 있는 회사 PKI를 선호합니다. 서명된 문서를 조직 외부 사람과 공유하려는 조직에서는 상업용 인증서를 선호합니다.

조직에서는 자체적으로 PKI를 만들 수 있습니다. 이 경우 회사에서는 회사 전체의 컴퓨터 및 사용자에 대해 디지털 인증서를 만들 수 있는 CA(인증 기관)를 하나 이상 설정할 수 있습니다. AD DS(Active Directory 디렉터리 서비스)와 결합할 경우 회사에서는 모든 조직 또는 회사에서 관리하는 컴퓨터에 조직 또는 회사 CA 체인이 설치되고 사용자와 컴퓨터에 문서 서명 및 암호화를 위한 디지털 인증서가 자동으로 할당되도록 관리해 주는 PKI 솔루션을 만들 수 있습니다. 이렇게 하면 회사 내 모든 직원은 같은 회사의 다른 직원에게 받은 디지털 인증서를 자동으로 신뢰(따라서 디지털 서명도 유효)할 수 있습니다.

자세한 내용은 Active Directory 인증서 서비스를 참조하십시오.

디지털 인증서를 전문적으로 판매하는 회사에서 상업용 인증서를 구입할 수 있습니다. 상업용 인증서의 주요 장점은 상업용 인증서 공급업체의 루트 CA 인증서가 조직의 Windows 운영 체제에 자동으로 설치된다는 점입니다. 이렇게 인증서가 설치된 컴퓨터는 자동으로 CA를 신뢰하게 됩니다. 조직 또는 회사 PKI 솔루션과는 다르게, 상업용 인증서를 사용하면 서명된 문서를 조직 외부 사람과 공유할 수 있습니다.

상업용 인증서는 세 가지가 있습니다.

  • 클래스 1   클래스 1 인증서는 유효한 전자 메일 주소를 갖고 있는 개인에게 발급됩니다. 클래스 1 인증서는 신분 증명 수단이 필요 없는 비영리 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합한 인증서입니다.

  • 클래스 2   클래스 2 인증서는 개인 및 장치에 발급됩니다. Class 2 개별 인증서는 유효성 검사 데이터베이스를 기반으로 하는 신분 증명 수단이 충분한 트랜잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합한 인증서입니다. 클래스 2 장치 인증서는 장치 인증(메시지, 소프트웨어 및 콘텐츠 무결성) 및 기밀 암호화에 적합한 인증서입니다.

  • 클래스 3   클래스 3 인증서는 개인, 조직, 서버, 장치, CA 및 RA(루트 인증 기관) 관리자에게 발급됩니다. 클래스 3 개별 인증서는 신분 증명 수잔이 확실해야 하는 트랙잭션의 디지털 서명, 암호화 및 전자 액세스 제어에 적합한 인증서입니다. 클래스 3 서버 인증서는 서버 인증(메시지, 소프트웨어 및 콘텐츠 무결성) 및 기밀 암호화에 적합한 인증서입니다.

상업용 인증서에 대한 자세한 내용은 디지털 ID를 참조하십시오.

사용자는 Excel 2013, PowerPoint 2013 및 Word 2013을 사용하여 문서를 디지털 서명할 수 있습니다. 뿐만 아니라 Excel 2013, InfoPath 2013 또는 Word 2013을 사용하여 서명란이나 서명 스탬프를 추가할 수 있습니다. 디지털 인증서는 있지만 서명란 또는 스탬프가 없는 문서를 디지털 서명하면 보이지 않는 디지털 서명이 생성된다고 알려져 있습니다. 보이는 디지털 서명과 보이지 않는 디지털 서명 모두 디지털 인증서를 사용하여 문서를 서명합니다. 보이는 디지털 서명란을 사용했을 때 문서의 그래픽이 다르다는 차이가 있습니다. 디지털 서명을 추가하는 방법에 대한 자세한 내용은 Office 파일에서 디지털 서명 추가 또는 제거를 참조하십시오.

디지털 서명 생성 시 자체 서명된 인증서와 CA에서 서명한 인증서 중 어떤 것을 사용하든 Office 2013에서는 기본적으로 XAdES-EPES 디지털 서명을 만듭니다.

다음 표는 XML-DSig 디지털 서명 표준을 기반으로 하고 Office 2013에서 사용할 수 있는 XAdES 디지털 서명 수준을 정리한 것입니다. 각 수준은 이전 수준을 기반으로 하며 이전 수준의 모든 기능을 갖고 있습니다. 예를 들어 XAdES-X는 새로운 기능이 도입된 것은 물론이고 XAdES-EPES, XAdES-T 및 XAdES-C의 모든 기능을 갖고 있습니다.

Office 2013의 XAdES 디지털 서명 수준

서명 수준 설명

XAdES-EPES(Base)

XML-DSig 서명에 서명 인증서에 대한 정보를 추가합니다. Office 2013 서명의 기본 수준입니다.

XAdES-T(Timestamp)

인증서가 만료되지 않도록 서명의 XML-DSig 및 XAdES-EPES 섹션에 타임스탬프를 추가합니다.

XAdES-C(Complete)

인증서 체인 및 해지 상태 정보에 참조를 추가합니다.

XAdES-X(Extended)

XML-DSig SignatureValue 요소와 서명의 –T 및 –C 섹션에 타임스탬프를 추가합니다. 추가 타임스탬프는 추가 데이터가 부인되는 것을 방지합니다.

XAdES-X-L(Extended Long Term)

인증서 서버가 중단되더라도 인증서를 검사할 수 있도록 서명 외에도 실제 인증서 및 인증서 해지 정보를 저장합니다.

사용자가 디지털 서명에 타임스탬프를 추가하면 해당 디지털 서명의 수명이 연장됩니다. 예를 들어 해지된 인증서가 하나 있는데 이 인증서는 이전에 디지털 서명을 만드는 데 사용되었습니다. 이 디지털 서명에는 신뢰할 수 있는 타임스탬프 서버의 타임스탬프가 들어 있고 인증서가 해지되기 전에 타임스탬프가 발생했습니다. 이 경우 디지털 서명은 여전히 유효한 것으로 간주될 수 있습니다. 타임스탬프 기능을 디지털 서명과 함께 사용하려면 다음 작업을 완료해야 합니다.

  • RFC 3161을 준수하는 타임스탬프 서버 설정

  • 그룹 정책 설정 서버 이름 지정을 사용하여 네트워크 상에서 타임스탬프 서버의 위치를 입력합니다.

다음 그룹 정책 설정을 하나 이상 구성하여 타임스탬프 매개 변수를 추가로 구성할 수도 있습니다.

  • 타임스탬프 해시 알고리즘 구성

  • 타임스탬프 서버 시간 제한 설정

타임스탬프 해시 알고리즘 구성을 구성하여 사용하지 않으면 SHA1의 기본값이 사용됩니다. 타임스탬프 서버 시간 제한 설정을 구성하여 사용하지 않으면 Office 2013에서는 타임스탬프 서버가 요청에 응답할 때까지 5초 동안 기다립니다.

타임스탬프 관련 설정을 구성하는 그룹 정책 설정 외에도 조직에서 디지털 서명을 구성 및 제어하는 방법을 구성하는 다른 그룹 정책 설정이 있습니다. 이러한 그룹 정책 설정은 software\policies\microsoft\office\15.0\common\signatures!에 있습니다.

디지털 서명 그룹 정책 구성 설정

그룹 정책 설정 설명

서명 생성 시 OCSP 필요

이 정책 설정을 통해 디지털 서명을 생성할 때 Office 2013에서 체인의 모든 디지털 서명에 대한 OCSP(온라인 인증서 상태 프로토콜) 해지 데이터를 필요로 하는지 여부를 결정할 수 있습니다.

디지털 서명 생성에 대한 최소 XAdES 수준 지정

이 정책 설정을 통해 Office 2013 응용 프로그램이 XAdES 디지털 서명을 만들기 위해 도달해야 하는 최소 XAdES 수준을 지정할 수 있습니다. Office 2013 응용 프로그램이 최소 XAdES 수준에 도달하지 못하면 Office 응용 프로그램이 서명을 만들지 않습니다.

디지털 서명의 XAdES 부분 확인

이 정책 설정을 통해 문서의 디지털 서명을 검사할 때 Office 2013에서 디지털 서명의 XAdES 부분을 확인하는지 여부를 지정할 수 있습니다.

서명의 유효성을 검사할 때 만료된 인증서 허용 안 함

이 정책 설정을 통해 디지털 서명을 검사할 때 Office 2013 응용 프로그램이 만료된 디지털 서명을 허용할지 여부를 구성할 수 있습니다.

매니페스트에 XAdES 참조 개체 포함 안 함

이 정책 설정을 통해 XAdES 참조 개체가 매니페스트에 표시될지 여부를 결정할 수 있습니다. 2007 Office System에서 XAdES가 포함된 Office 2013 서명을 읽을 수 있게 하려면 이 설정을 사용으로 구성해야 합니다. 그렇지 않으면 2007 Office System에서는 XAdES 콘텐츠가 포함된 서명을 유효하지 않은 것으로 간주합니다.

디지털 서명 해시 알고리즘 선택

이 정책을 통해 Office 2013 응용 프로그램에서 디지털 서명을 확인할 때 사용하는 해시 알고리즘을 구성할 수 있습니다.

서명 확인 수준 설정

이 정책을 통해 Office 2013 응용 프로그램에서 디지털 서명을 검사할 때 사용하는 확인 수준을 설정할 수 있습니다.

서명 생성에 대해 요청된 XAdES 수준

이 정책을 통해 디지털 서명을 만들 때 필요한 또는 원하는 XAdES 수준을 지정할 수 있습니다.

다음은 디지털 서명과 관련된 추가 그룹 정책 설정이며 \software\policies\microsoft\office\15.0\common\signatures!에 있습니다.

  • 기본 이미지 디렉터리 설정

  • EKU 필터링

  • 이전 형식 서명

  • Office 서명 공급자 표시 안 함

  • 외부 서명 서비스 명령 표시 안 함

각 그룹 정책 설정에 대한 자세한 내용은 Office 2013의 관리 템플릿 파일과 함께 제공되는 도움말 파일을 참조하십시오.

참고참고:
정책 설정에 대한 최신 정보는Excel 통합 문서 Office2013GroupPolicyAndOCTSettings_Reference.xls를 참조하십시오. Office 2013 관리 템플릿 파일(ADMX/ADML) 및 Office 사용자 지정 도구 다운로드 페이지의 이 다운로드의 파일 섹션에서 찾을 수 있습니다.

다음은 디지털 서명과 디지털 서명 암호화에 사용되는 인증서에 대한 Windows 레지스트리 설정을 보여 주는 표입니다. 이러한 레지스트리 설정은 HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures에 있습니다. 상응하는 그룹 정책은 없습니다.

디지털 서명 레지스트리 설정

레지스트리 항목 유형 설명

FilterIssuer

WZ

비어 있음

사용 가능한 인증서 모음을 이름에 FilterIssuer 값이 있는 인증서로 제한합니다.

MinSigningDSABits

DWORD

비어 있음

Office에서 DSA 디지털 서명을 만들 수 있는 최소 비트 수를 지정합니다.

InvalidDSABits

DWORD

비어 있음

DSA 디지털 서명에서 읽을 최대 비트 수를 지정합니다. InvalidDSABits 값을 초과하는 비트는 무시됩니다.

InvalidHashAlg

WZ

비어 있음

조직에서 이전 버전의 Office(예: Office 2007, Office 2010)로 디지털 서명을 만드는 데 사용한 이전 해시 알고리즘 중 더 이상 사용하지 않을 해시를 지정합니다. 여기서 해시를 지정할 경우 디지털 서명 유효성 검사에 해당 해시를 사용하는 모든 문서 또는 전자 메일의 유효성 검사가 실패하게 됩니다.

InvalidRSABits

DWORD

비어 있음

RSA 디지털 서명에서 읽을 최대 비트 수를 지정합니다. InvalidRSABits 값을 초과하는 비트는 무시됩니다.

LegacyDSABits

DWORD

비어 있음

Office 2007 또는 Office 2010을 사용하는 문서나 전자 메일에 대해 생성된 디지털 서명을 참조하고 해시 알고리즘은 LegacyHashAlg 레지스트리 키 설정에서 지정된 기존 DSA 디지털 서명에서 처리할 최소 비트 수를 지정합니다.

LegacyHashAlg

WZ

MD5

조직에서 이전 버전의 Office(예: Office 2007, Office 2010)로 디지털 서명을 만드는 데 사용한 해시 알고리즘 중 디지털 서명된 기존 문서 및 전자 메일의 유효성 검사에 사용할 해시를 지정합니다.

LegacyRSABits

DWORD

비어 있음

Office 2007 또는 Office 2010을 사용하는 문서나 전자 메일에 대해 생성된 디지털 서명을 참조하고 해시 알고리즘은 LegacyHashAlg 레지스트리 키 설정에서 지정된 기존 RSA 디지털 서명에서 처리할 최소 비트 수를 지정합니다.

MinSigningRSABits

DWORD

비어 있음

Office 2013에서 디지털 서명을 만드는 데 사용할 최소 비트 수를 지정합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2014 Microsoft