Office 2016에서 파일 암호 제거 또는 다시 설정

요약: Office 2016 DocRecrypt 도구를 사용하여 암호로 보호된 OOXML 형식의 Word, Excel 및 PowerPoint 파일에서 잠금을 해제하는 방법에 대해 설명합니다.

그룹 정책을 사용하여 인증서를 암호로 보호된 문서에 연결하는 레지스트리 변경 내용을 적용합니다. 이 인증서 정보는 파일 헤더에 포함되어 있습니다. 나중에 암호를 잊어버릴 경우 DocRecrypt 명령줄 도구와 개인 키를 사용하여 파일의 잠금을 해제하고, 필요한 경우 새 암호를 할당합니다.

참고

  • Office 2016의 개인 복사본에 있는 암호에 대한 정보를 원하는 경우 암호로 문서 보호 또는 Excel 파일 보호를 참조하세요.
  • organization 내의 Office 2016 파일에서 암호를 제거하거나 재설정하려는 IT 전문가인 경우(예: 직원이 organization 떠났고 암호를 모르는 경우) 올바른 위치에 있으므로 계속 읽으세요. |

개요: DocRecrypt 도구를 사용하여 Office 2016에서 파일 암호 제거 또는 다시 설정

사용자가 Word, Excel 또는 PowerPoint 문서를 암호로 보호하려고 하거나 보호해야 하는 이유는 여러 가지가 있습니다. 예를 들면

  • 즉각적인 organization 있는 여러 사람이 그룹 예산으로 작업하기를 원하지만, 완료될 때까지 해당 숫자가 더 큰 organization 표시되기를 원하지 않습니다.

  • 컨설턴트가 함께 일하는 고객은 서비스 수준 계약을 통해 중요한 각자의 데이터를 본인이 직접 관리할 수 없을 때 보호해 줄 것을 요청합니다.

  • 교사는 Word 만든 시험이 손상될 수 없도록 하고자 합니다.

  • 미디어 전문가와 해당 분야의 주요 연구원들에게 프레젠테이션을 진행하는 과학자들은 주요 발표 전에 그들의 돌파구가 대중에게 유출되지 않도록 하고 싶어합니다.

이전에는 파일 암호를 처음 만든 사람이 암호를 잊어버리거나 조직을 떠나면 파일을 복구할 수 없도록 렌더링되었습니다. IT 관리자는 Office 2016 및 에스크로 키를 사용하여 사용자의 파일 잠금을 해제할 수 있습니다. 이 키는 회사 또는 organization 프라이빗 키 인증서 저장소에서 제공됩니다. 잠금을 해제한 후 관리자는 암호 보호를 제거하거나 파일에 대한 새 암호를 설정할 수 있습니다. IT 관리자는 회사 또는 organization 프라이빗 키 인증서 저장소에서 생성되는 에스크로 키의 키 관리자입니다. 수동으로 만들거나 그룹 정책 스크립트를 통해 만들 수 있는 레지스트리 키 설정을 사용하여 공개 키 정보를 클라이언트 컴퓨터에 자동으로 1회 적용할 수 있습니다. 나중에 사용자가 암호로 보호된 WordExcel 또는 PowerPoint 파일을 만들면 이 공개 키가 파일 헤더에 포함됩니다. 이후 IT 전문가는 Office DocRecrypt 도구를 사용하여 해당 파일에 첨부된 암호를 제거한 다음 필요한 경우 새 암호를 사용하여 파일을 보호할 수 있습니다. IT 전문가는 암호를 제거하려면 다음 이 모두 있어야 합니다.

  • 새로운 Office DocRecrypt 도구

  • 공개 키가 포함되어 있는 Word, Excel 또는 PowerPoint 파일

  • 인증서와 연결된 공개 키 및 개인 키에 대한 사용 권한과 액세스 권한

개인 키를 안전하게 유지

이 기능은 프라이빗 키를 처리하고 배포하기 위한 회사 프로세스를 제어하지 않습니다. 또한 키를 저장할 위치, 암호 재설정 요청에 필요한 권한 또는 복원 후 파일의 위치를 정의하지 않습니다. organization 표준 및 프로세스는 이러한 결정을 안내해야 합니다.

암호로 보호된 파일에 대해 높은 수준의 보안을 유지하려면 다음 정책을 채택하는 것이 좋습니다.

  • 클라이언트 컴퓨터에 개인 키를 적용하지 않도록 합니다. 이 권장 사항이 가장 중요합니다.

  • 에스크로 키와 공개 키를 생성하는 데 사용된 개인 키 및 인증서가 있는 인증서 저장소를 잠그도록 합니다.

  • 어떤 개인도 PKI(공개 키 인프라) 서비스를 위반하지 못하도록 합니다. 또한 조직의 여러 사용자에게 인증서 관리 역할을 분산시키는 것이 좋습니다.

이러한 권장 사항을 일관되게 따르지 않으면 모든 새 암호로 보호된 파일의 보안이 손상될 수 있습니다. 회사나 조직은 개인 키 및 인증서의 오프사이트 저장소 등을 포함하는 잘 정의된 AD CS(Active Directory 인증서 서비스) 관리 모델과 CA(인증 기관) 인프라 전략을 미리 보유하고 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하세요.

참고

DocRecrypt에 이용되는 인증서는 사용자 인증을 목표로 하는 정규 사용자 인증서일 수 있습니다. 인증서의 주요 목표는 문서를 암호화할 수 있도록 하는 데 있습니다.

올바른 인증서를 찾는 방법

많은 프라이빗 키 인증서가 IT 컴퓨터에 있을 수 있으므로 올바른 인증서를 검색하는 방법을 궁금해할 수 있습니다. 인증서 관리자(certmgr.msc)에서 Office 2016 DocRecrypt 도구는 논리적 저장소를 검색한 다음 현재 사용자 저장소를 검색합니다. 이러한 각 저장소에서 도구는 먼저 Windows 시스템 적용 PIN이 필요하지 않은 인증서를 검색합니다. 그런 다음 필요한 인증서를 검색합니다.

특수 고려 사항

Office XML 파일만 열기 Office DocRecrypt 도구는 Office Open XML 형식 문서(예: docx, pptx, xlsx 파일)에서만 작동합니다.

이전에 암호화한 파일Office DocRecrypt 도구를 사용하여 인증서 및 에스크로 키를 배포하기 전에 암호로 보호되었던 파일을 복구할 수는 없습니다. 인증서 및 에스크로 키를 배포한 후 사용자는 이전에 보호된 Office 2016 파일을 열고 저장할 수 있습니다. 이 작업은 파일에 에스크로 키를 추가합니다. 이 시점부터 Office DocRecrypt 도구를 사용하여 파일의 암호를 제거하거나 다시 설정할 수 있습니다.

Word, Excel 및 PowerPoint 파일을 보호하는 다른 방법 Word, Excel 및 PowerPoint 파일을 보호하는 다른 방법은 문서, 통합 문서 또는 프레젠테이션에서 보호 추가 또는 제거를 참조하세요.

사용자는 이러한 보호 방법을 독립적으로 적용할 수 있습니다. IT 관리자가 암호를 제거하면 다른 모든 보호 설정이 그대로 유지됩니다. 암호를 제거해도 다른 설정에는 영향을 주지 않습니다.

파일의 암호를 제거하는 기능에 영향을 줄 수 있는 몇 가지 요인이 있습니다. 자세한 내용과 권고 사항은 다음 표를 참조하세요.

파일에서 암호를 제거할 때 고려할 사항

문제 권고 사항
파일이 읽기 전용으로 표시되어 있거나 숨겨져 있습니다.
Office DocRecrypt 도구는 읽기 전용 또는 숨겨진 파일에서 작동하지 않습니다. 그러나 설정을 제거하고 파일의 암호를 해독한 다음 검색하고 나서 다시 읽기 전용 또는 숨김으로 설정할 수는 있습니다.
파일이 여러 위치에 저장되어 있습니다.
Office DocRecrypt 도구는 참조하는 파일의 특정 인스턴스에 한해서만 암호 보호 기능을 제거합니다. 그러나 RAID 또는 기타 하드 디스크 구성에서 참조된 파일의 암호 보호 기능도 제거해야 합니다.
파일이 공유 통합 문서에 있습니다.
Office DocRecrypt 도구는 포함된 파일이 포함된 공동 작성 파일에서 작동하지 않습니다.
파일이 디지털 방식으로 서명되어 있습니다.
디지털 방식으로 서명된 파일에서 암호 보호 기능을 제거해도 디지털 서명의 유효성은 저하되지 않습니다.
파일이 하이픈("-")으로 시작됩니다.
Office DocRecrypt 도구를 사용하여 검색하려는 파일의 이름에 하이픈이 포함되어 있으면 파일 이름을 큰따옴표로 묶습니다.
요청자에게 파일을 열 수 있는 사용 권한이 없습니다.
IT 관리자는 암호가 제거되거나 변경된 후 파일의 암호를 해독하도록 요청하는 사람이 해당 콘텐츠에 액세스할 수 있는 권한이 있는지 확인합니다. 이와 마찬가지로 암호로 보호된 파일에 연결된 액세스 제어 목록이 있으면 암호 해독 프로세스가 진행되는 동안 연결이 제거됩니다. 이후에 이 연결을 복구해야 합니다.
파일 또는 대상 위치가 읽기 전용입니다.
암호로 보호된 파일과 대상 위치가 모두 읽기/쓰기 상태인지 확인합니다.
인증서가 해지되거나 만료되었습니다.
IT 부서는 개인 키 인증서가 유효하고 최신 상태인지 확인해야 합니다. 또한 Office DocRecrypt 도구는 프라이빗 키 인증서 해지 상태 대해 검사 않습니다.
암호로 보호된 파일이 클라우드에 있습니다.
암호를 해독하려면 먼저 파일을 하드 디스크 또는 읽기/쓰기 UNC 공유 위치에 복사해야 합니다.

암호 보호 기능을 제거하기 위한 클라이언트 컴퓨터 설정

IT 부서에서 암호로 보호된 Word, PowerPoint 또는 Excel 파일에서 암호를 제거할 수 있도록 하려면, 조직에 Office 2016을 배포할 때 먼저 인증서 공개 키를 적용한 다음 클라이언트 컴퓨터에서 몇 가지 레지스트리 항목을 설정해야 합니다. 이 작업은 다음의 두 가지 방법으로 수행할 수 있습니다.

  • 첫 번째는 그룹 정책 관리 템플릿을 사용하는 방법으로, 클라이언트 컴퓨터가 여러 대 있거나 엔터프라이즈 클라이언트 컴퓨터가 있을 때 가장 적합합니다.

  • 두 번째는 클라이언트 컴퓨터의 레지스트리를 수동으로 변경하는 방법으로, 컴퓨터가 한 대 있거나 일부 클라이언트 컴퓨터가 있을 때 가장 적합합니다.

그룹 정책 개체를 사용하여 암호로 보호하려는 클라이언트 컴퓨터를 여러 대 설정하려면

  1. Microsoft 다운로드 센터에서 그룹 정책 관리 템플릿(ADMX/ADML) 파일을 다운로드합니다.

  2. 로컬 그룹 정책 편집기에서 템플릿을 열고 에스크로 키 설정으로 이동합니다. 사용자 구성 분기를 연 다음 관리 템플릿, Microsoft Office 2016, 보안 설정에스크로 인증서 를 차례로 선택합니다.

    에스크로 키 #n 등으로 각각 이름이 지정된 에스크로 키를 20개 구성할 수 있습니다.

  3. 에스크로 키를 선택한 다음 바로 가기 메뉴(마우스 오른쪽 단추 클릭)에서 편집 을 선택하여 에스크로 키를 구성합니다.

    에스크로 키 #n 대화 상자가 나타납니다.

  4. 이 키를 설정하고 사용하려면 사용 단추를 선택합니다. 나중에 이 키를 사용하지 않도록 설정하려면 에스크로 키 #n 대화 상자로 돌아가서 사용 안 함 단추를 선택합니다.

  5. 인증서 해시 상자에 "지문"이라고도 하는 인증서 고유 식별자로 사용되는 인증서 해시를 입력합니다. 예를 들어 인증서 지문이 9131517191121d94d143117fc126213c1781d21c인 경우 인증서 해시 값을 해당 숫자로 설정합니다. 좀 더 쉽게 읽을 수 있도록 하려면 이 해시에 공백을 포함하면 됩니다.

  6. 필요한 경우 주석을 입력하여 이 특정 인증서에 대한 자세한 내용을 제공합니다. 이 단계는 선택 사항입니다.

  7. 확인을 선택합니다.

새 레지스트리 설정을 사용하여 암호로 보호하려는 클라이언트 컴퓨터를 한 대 설정하려면

Word, PowerPoint 또는 Excel 파일에서 암호를 제거하려면 암호 보호 파일에서 사용할 수 있도록 할 공개 키 인증서를 지정하는 레지스트리 키를 만들어야 합니다.

참고

레지스트리 키를 생성하는 방법에 대한 특정 지침은 레지스트리 편집기(regedit.exe) 도움말 메뉴에서 확인할 수 있는 도움말을 참조하세요.

  • 레지스트리 편집기에서 다음 레지스트리 경로의 클라이언트 컴퓨터 레지스트리에 키를 만듭니다.

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts

    수동으로 또는 .reg 배치 파일을 사용하여 이 새로운 키를 만듭니다. regedit.exe를 사용하여 .reg 파일을 만들려면 .reg 파일 만들기를 참조하세요.

    클라이언트 컴퓨터 레지스트리에 키 만들기

Registry 요소 설명
키 이름
이름이 EscrowCerts여야 합니다.
데이터 형식

상위 항목
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\
  • 1단계에서 만든 새 키에 다음 표에 나와 있는 공개 키 인증서 정보를 추가합니다. 암호 보호 파일에서 사용할 수 있도록 할 각 공개 키 인증서의 항목을 하나씩 만듭니다.

    공개 키 인증서 정보 추가

Registry 요소 설명
키 이름
공개 키 인증서를 설명하는 고유한 사용자 정의 이름입니다. EscrowCert01, EscrowCert02 등을 예로 들 수 있습니다.
형식
STRING

Windows 인증서 대화 상자에서 "지문"이라고도 하는 인증서 고유 식별자로 사용되는 해시입니다. 예를 들어 인증서 지문이 9131517191121d94d143117fc126213c1781d21c이면 이 값을 해당 숫자로 설정합니다. 좀 더 쉽게 읽을 수 있도록 하려면 이 해시에 공백을 포함하면 됩니다.
  • 레지스트리 항목이 제대로 추가된 경우 인증서를 클라이언트 컴퓨터에 적용합니다. 공개 키 인증서는 현재 사용자 또는 논리적, 개인 저장소의 인증서에 있는 Windows 인증서 관리자(certmgr.msc)에 저장되어야 합니다. 그룹 정책을 통해 클라이언트 컴퓨터에 공개 키 인증서를 적용하는 방법에 대한 자세한 내용은 그룹 정책을 사용하여 클라이언트 컴퓨터에 인증서 배포를 참조하세요.

    중요

    IT 관리자는 이 프로세스에 사용된 인증서가 유효한지, 만료되지는 않았는지 확인해야 합니다.

사용자가 Office 2016Word, PowerPoint 또는 Excel에서 만든 파일을 암호로 보호하기로 결정하면 해당 공개 키 정보가 파일 헤더에 저장됩니다. 관리자는 나중에 암호 보호 기능을 제거하라는 요청을 받을 경우 이 공개 키 및 일치하는 개인 키를 사용할 수 있습니다.

키 및 DocRecrypt 도구가 있는 IT 관리자 컴퓨터 설정

IT 관리자 컴퓨터에는 레지스트리에 키와 하위 키가 있을 필요가 없으며 공개 키 인증서의 복사본도 필요하지 않습니다. 그러나 IT 관리자 컴퓨터에는 다음이 있어야 합니다.

  • 일치하는 개인 키/인증서 쌍

  • Office DocRecrypt 도구

키 및 DocRecrypt 도구가 있는 IT 컴퓨터를 설정하려면

  1. 인증서 가져오기 마법사를 사용하여 Windows 인증서 관리자에서 인증서에 일치하는 개인 키를 가져옵니다.

  2. Office DocRecrypt 도구를 다운로드하고 설치합니다. 이 도구는 Microsoft 다운로드 센터에서 사용할 수 있습니다.

  • 64비트 컴퓨터에 Office DocRecrypt 도구를 설치하면 다음 위치에 설치됩니다.

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT
  • 32비트 컴퓨터에 Office DocRecrypt 도구를 설치하면 다음 위치에 설치됩니다.

    • %programfiles%\Microsoft Office\DOCRECRYPT

작업이 완료되었습니다. 모든 조각이 준비되어 있으며 다음에 사용자가 요청할 때 Word, Excel 또는 PowerPoint 파일에서 암호를 제거할 준비가 된 것입니다.

Office DocRecrypt 도구 사용

현재 IT 관리자 컴퓨터에 설치되어 있는 DocRecrypt 도구를 사용하여 파일 암호를 제거하고 새 암호를 할당합니다.

DocRecrypt 도구를 사용하려면

다음 지침에 따라 명령줄에서 DocRecrypt 도구를 사용합니다. 배치 파일이나 스크립트에서 자동으로 DocRecrypt 명령을 실행할 수도 있습니다.

  • Office DocRecrypt 도구 명령줄로 이동한 후 다음 구문을 사용하여 엽니다.

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    아래 표에는 DocRecrypt 도구 옵션이 설명되어 있습니다.

    DocRecrypt 도구 옵션

매개 변수 설명
-p <new_password>
(선택 사항) 입력 파일에 할당된 새 암호이거나 출력 파일 이름이 제공된 경우 출력 파일입니다.
-i <inputfile_or_folder>
암호를 알 수 없기 때문에 잠겨 있는 파일이 포함된 파일 또는 폴더입니다. 폴더를 지정하는 경우 Office DocRecrypt 도구는 Office Open XML 형식이 아닌 파일을 무시합니다.
-o <outputfile_or_folder>
(선택 사항) 입력 파일에서 생성되는 파일 폴더 또는 새 출력 파일의 이름입니다. 다시 말하지만 Office Open XML 형식이 아닌 파일은 무시됩니다.
-q
(선택 사항) Office DocRecrypt 도구를 자동 모드로, 일반적으로 스크립트에서 실행하도록 지정합니다. 자동 모드는 UI를 표시하지 않으며 인증서에 IT 관리자가 PIN을 입력해야 하는 경우 실패합니다. 인증서에 PIN이 필요한 경우 자동 모드를 사용하지 마세요.

예를 들면

파일에서 암호를 제거하려면 다음 코드를 사용합니다.

DocRecrypt -i lockedfile

암호를 제거하고 12345의 새 암호를 할당하려면 다음 코드를 사용합니다.

DocRecrypt -p 12345 -i lockedfile

암호를 제거하려면 새 파일을 만들고 해당 파일에 12345의 새 암호를 할당하려면 다음 코드를 사용합니다.

DocRecrypt -p 12345 -i lockedfile -o newfile

파일이 Office 2016을 사용하여 암호로 보호되면 암호를 제거하지 않습니다.

Office 2010 및 2007 파일

조직의 클라이언트 컴퓨터가 Office DocRecrypt 도구를 사용하여 구성된 경우(개별적으로 또는 그룹 정책을 통해) 향후 Word 2016, Excel 2016 또는 PowerPoint 2016 파일(docx, xlsx 및 pptx 파일)과 사용자가 Office 2016에서 편집한기존의 암호로 보호된 Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 또는 PowerPoint 2010 파일은 DocRecrypt 도구를 사용하여 잠금을 해제하거나 암호로 다시 설정할 수 있습니다. 암호로 보호된 파일에 에스크로 키를 추가한 경우 Office 2007 또는 Office 2010에서 편집한 경우에도 잠금을 해제하거나 다시 설정할 수 있습니다.