Security
인증 관리를 위한 새롭고 강력한 도구
Kevin Dallmann
한 눈에 보기:
- ILM-CM 아키텍처
- 관리 및 템플릿
- 워크플로 생성
여느 때와 다름없이 업무를 보고 있는데 헬프 데스크 담당자로부터 프로덕션 시스템 중 하나에서 인증서가 만료되었다는 소식을 갑자기 전해 들었다고 가정해 보십시오. 현재 시스템이 다운되었으므로 인증서를 갱신할 때까지 회사의 작업이 중단되고 그로 인해 수익 손실이 발생할 것입니다.
PKI(공개 키 인프라) 관리를 담당하고 있다면 인증서가 예기치 않게 만료되어 매우 놀랐을 것입니다. 평온한 날이 이제는 꿈이 되어버립니다.
Microsoft는 Windows® 2000과 Windows Server® 2003에 PKI를 추가함으로써 조직이 저렴하면서도 효율적인 방식으로 고유의 내부 PKI 환경을 구현할 수 있는 방법을 제공했습니다. 그러나 아쉽게도 Microsoft® PKI 서비스에는 생성된 인증서의 수명 주기를 관리할 수 있는 기능이 없습니다. 그런데 Microsoft는 최근 인증 관리 제품을 확보한 후 인증 관리와 Microsoft® Identity Integration Server(MIIS)의 ID 준비 기능 및 제어 기능이 결합된 ILM(Identity Lifecycle Manager)을 출시했습니다. 이 문서에서는 ILM으로 조직의 인증서 및 스마트 카드 관리 업무를 보다 쉽게 수행하는 방법에 대해 살펴보겠습니다.
ILM-CM 아키텍처
ILM-CM 아키텍처를 구성하는 핵심 요소는 ILM-CM 서버와 관련 구성 요소입니다(그림 1 참조). ILM-CM 서버는 하나 또는 여러 개의 CA(인증 기관)와 상호 작용하도록 설정된 단일 서버에 설치할 수 있습니다. ILM-CM을 사용하려면 인증서 환경을 관리하는 데 사용되는 인증서 정보, 정책 및 기타 관련 데이터를 저장하는 SQL Server™가 있어야 합니다. 또한 사용자 및 보안 권한을 관리할 수 있도록 Active Directory®가 있어야 합니다. 필요한 구성 요소 및 버전을 보려면 그림 2를 참조하십시오.
Figure 2 ILM-CM 지원 인프라
| 구성 요소 | 버전 |
| Active Directory | Windows Server 2003 |
| 데이터베이스 서버 | SQL Server 2000 SP3 이상 또는 SQL Server 2005 |
| 인증 기관 | Windows Server 2003 Enterprise Edition 또는 Data Center Edition |
| SMTP | SMTP 서버 |
그림 1** ILM-CM 아키텍처 **
ILM-CM 환경이 완전하게 설치되고 나면 모든 인증서 요청이 ILM-CM 서버와 통신하게 됩니다. ILM-CM 서버는 인증서와 관련된 모든 정보를 SQL Server 데이터베이스에 저장해야 하며, 이러한 정보는 향후에 인증서와 관련된 보고를 하거나 경고를 생성하거나 워크플로 환경을 유지 관리하는 데 사용할 수 있습니다.
ILM-CM 소프트웨어 아키텍처는 기본적으로 ILM-CM 서버, CA 플러그 인, 클라이언트 측 구성 요소라는 세 개의 상위 요소로 구성됩니다. 서버 소프트웨어는 CA나 ILM-CM 전용의 서버에 설치하여 실행할 수 있습니다. 서버 소프트웨어가 설치되면 ILM-CM 서버가 CA, SQL Server 데이터베이스 및 Active Directory와 통신합니다. 서버는 인증서 관리자가 인증서 정책 및 워크플로를 구성하고 인증서 구독자가 소프트웨어 인증서를 요청 및 갱신하는 데 사용할 수 있는 웹 포털도 제공합니다.
CA가 ILM-CM 서버와 통신하기 위해서는 관리하려는 모든 CA에 ILM-CM 정책 모듈과 끝내기 모듈을 설치하고 구성해야 합니다. 이 두 모듈은 데이터베이스에 인증서 정보를 기록하는 데 사용됩니다. CA에서 인증서를 발급하면 끝내기 모듈이 인증서 정보를 ILM-CM 서버로 보내고, 그러면 서버는 데이터베이스에 인증서 정보를 기록합니다.
해당 환경에서 스마트 카드를 관리하려는 경우에는 ILM-CM 스마트 카드 클라이언트 소프트웨어를 설치해야 합니다. 이 소프트웨어는 ILM-CM 서버와 상호 작용해야 하는 모든 클라이언트 컴퓨터에 필요합니다.
ILM-CM 설치
마법사가 설치 과정을 단계별로 안내하므로 ILM-CM 서버 설치 작업은 매우 쉽습니다. 그러나 마법사를 실행하려면 몇 가지 기능이 사전에 설치되어 있어야 합니다.
ILM-CM을 설치하려면 무엇보다도 Active Directory와 ILM-CM 스키마 확장이 필요합니다. 스키마 확장에서는 ILM-CM이 프로필 템플릿을 구현하는 데 필요한 몇 가지 추가 Microsoft .NET Framework 보안 특성을 추가합니다.
이외에도 .NET Framework 2.0과 앞에서 언급한 SQL Server, CA, SMTP 서버 등의 구성 요소가 설치되어 있어야 합니다. CA와 다른 서버에 ILM-CM을 설치하려는 경우 해당 CA에서 ILM-CM 설치 마법사를 실행하여 CA에 ILM-CM 모듈을 설치해야 합니다. 설치가 끝나면 브라우저에서 http://hostname/CLM으로 이동하여 ILM-CM 포털에 연결할 수 있습니다.
인증서 만료/갱신 알림을 사용하려면 ILM-CM 서버에서 ILM-CM 서비스를 구성해야 합니다. 먼저 Active Directory에 적절한 계정을 만듭니다. ILM-CM 서비스를 연 다음 이 계정을 로그온 계정으로 추가합니다. 그런 다음 해당 사용자를 ILM-CM 서버 내의 IIS_WPG 그룹 및 로컬 관리자 그룹에 추가하고, 그룹 정책을 통해 "운영 체제의 일부로 작동, 보안 감사 생성 및 프로세스 수준 토큰 바꾸기" 권한을 추가합니다. ILM-CM 서비스를 설정하고 나면 ILM-CM 서버에서 SQL Server 데이터베이스를 검색하여 만료된 인증서를 확인할 수 있으며 인증서 소유자나 관리자에게 전자 메일 알림을 보낼 수 있습니다.
ILM-CM 관리
ILM-CM은 각각 사용자, 인증서 및 스마트 카드 관리 작업과 관련된 기능별 영역으로 나뉘어져 있는 웹 인터페이스를 통해 관리합니다. 적절한 관리 권한으로 ILM-CM 포털에 연결하면 ILM-CM 환경을 관리하는 데 사용할 수 있는 여러 가지 관리 작업이 표시됩니다(그림 3 참조). Common Tasks(일반 작업) 구역에는 새 인증서 집합이나 스마트 카드에 사용자를 등록하는 등의 관리 옵션이 있습니다. 여기에서 요청을 관리하고 승인할 수도 있습니다.
그림 3** ILM-CM 관리 포털 작업 **(더 크게 보려면 이미지를 클릭하십시오.)
사용자나 인증서를 찾아야 하는 경우 Manage Users and Certificates(사용자 및 인증서 관리) 작업 영역을 사용합니다. 이 영역의 작업을 통해 인증서를 찾거나, 복구하거나, 해지하거나, 갱신할 수 있습니다. 해지 목록을 찾을 수도 있습니다.
스마트 카드를 사용하는 조직에는 Manage User Smart Cards(사용자 스마트 카드 관리) 영역이 매우 유용합니다. 예를 들어 사용자가 자신의 카드를 잠근 경우 인증서 관리자가 여기에서 카드 잠금을 해제할 수 있습니다. 로컬 카드 판독기에서 스마트 카드를 검색하고 볼 수도 있습니다.
Requests(요청) 영역에서는 인증서 관리자가 사용자의 인증서 요청을 검토하고 승인할 수 있습니다. 예를 들어 보류 중 상태의 요청에 포함된 모든 인증서를 볼 수 있습니다. Administration(관리) 영역에서는 프로필 템플릿을 만들고 관리할 수 있습니다. 마지막으로 Reports(보고서) 영역은 이름에서 알 수 있듯이 사용자 및 인증서와 관련된 보고서를 개발하고 만드는 데 사용합니다.
ILM-CM 포털에 대해 인증할 때 계정에 관리 권한이 없는 경우 인증서 사용자를 위한 자체 서비스 관리 기능을 제공하는 구독자 페이지가 표시됩니다(그림 4 참조). 이 포털에서 사용자는 해당하는 특정 정책 구성에 따라 자신의 인증서와 스마트 카드를 보고 관리할 수 있습니다. 일반 작업에는 인증서 또는 스마트 카드 요청, 기존 인증서 검토, 스마트 카드 PIN 변경 등이 있습니다.
그림 4** 사용자의 자체 관리를 위한 구독자 포털 페이지 **(더 크게 보려면 이미지를 클릭하십시오.)
어느 조직에서나 인증서 또는 스마트 카드의 발급, 갱신, 대체 및 해지를 위한 높은 수준의 위임 워크플로 프로세스를 제공하는 것은 어려운 작업입니다. 이제 ILM-CM을 통해 이러한 작업을 위임함으로써 보안을 보다 확실하게 보장할 수 있게 되었습니다. 한 사용자가 자신의 스마트 카드 PIN을 잊어버렸다고 가정해 보십시오. 위임 워크플로 모델을 사용하는 경우 사용자가 헬프 데스크 지원 부서에 도움을 요청할 수 있으며 지원 부서의 직원은 확인을 위해 사용자에게 몇 가지 질문을 할 수 있습니다. 사용자가 질문에 올바르게 대답하면 지원 부서 직원이 사용자의 스마트 카드 잠금을 해제합니다. 위임 워크플로 모델의 또 다른 예로, 랩톱 컴퓨터를 분실하거나 인증서가 실수로 삭제된 경우 사용자의 EFS(암호화 파일 시스템) 인증서를 복구하는 것을 들 수 있습니다.
프로필 템플릿
프로필 템플릿은 ILM-CM의 전체 워크플로 관리 프로세스를 사용할 수 있게 해 주는 기본 구성 요소로서, 하나 이상의 인증서 템플릿이 포함된 단일 관리 개체로 간주됩니다. 프로필 템플릿은 해당 인증서 환경에서 워크플로 프로세스의 작동 방식을 관리할 수 있도록 생성 및 구성됩니다. 프로필 템플릿의 가장 중요한 특징은 단일 항목으로 관리할 수 있는 여러 개의 인증서 템플릿을 포함할 수 있다는 것입니다. 즉, 인증서의 전체 수명 주기에 걸쳐 인증서 프로세스를 추적하는 한 개의 템플릿으로 여러 사용자를 관리할 수 있습니다.
인증서를 컴퓨터에 저장하거나(소프트웨어 기반) 스마트 카드에 저장하도록(하드웨어 기반) 프로필 템플릿을 구성할 수 있습니다. ILM-CM 관리 포털의 샘플을 복제하여 이러한 템플릿을 만들 수 있으며, 프로필 템플릿 내에 여러 가지 관리 정책 구성 요소를 정의할 수 있습니다(그림 5 참조).
그림 5** 프로필 템플릿 **(더 크게 보려면 이미지를 클릭하십시오.)
대부분의 정책 구성 요소는 소프트웨어 및 스마트 카드 프로필 모두에 적용할 수 있습니다(그림 6 참조). 이들 중 몇몇 정책 구성 요소에 대해서는 부연 설명이 필요합니다. 인증서 등록 프로세스를 수행하는 동안 Enroll Policy(등록 정책) 구성 요소를 사용하여 등록 프로세스의 흐름과 관련된 특정 기준을 정의할 수 있습니다. 예를 들어 사용자가 부서 코드, 전자 메일 주소, 관리자 등의 정보를 입력하도록 데이터 수집 기능을 설정할 수 있습니다. 사용자가 인증서를 등록하고 나면 이와 관련된 공문을 자동으로 인쇄하는 정의를 만들 수도 있습니다.
Online Update Policy(온라인 업데이트 정책)는 조직에 매우 유용합니다. 이 정책은 인증서 내용, 인증서 템플릿, 스마트 카드의 애플릿을 업데이트할 수 있으며, 인증서 만료 날짜가 다가오면 인증서 자체를 업데이트한다는 점을 제외하고는 Renew Policy(갱신 정책)와 비슷합니다. 이 정책을 완전하게 사용하려면 Active Directory의 다중값 특성에 대한 액세스를 허용하도록 ILM-CM 서비스와 web.config 파일을 설정해야 합니다. 또한 클라이언트 컴퓨터에 온라인 업데이트 서비스를 설치해야 합니다.
EFS 암호화를 사용하는 회사에는 Recover On Behalf Policy(대리 복구 정책)가 매우 유용합니다. 누군가가 실수로 자신의 암호화 인증서를 삭제했다고 가정해 보십시오. 이 정책 구성 요소를 사용하면 헬프 데스크 보안 팀이 사용자의 개인 키를 요청하는 워크플로를 설정할 수 있습니다. 그러면 사용자는 ILM-CM 서버에서 생성한 비밀 암호가 포함된 전자 메일을 받아 자신의 개인 키를 검색할 수 있으며, 마지막으로 ILM-CM 서버의 비밀 웹 링크로 이동하여 관련 개인 키로 인증서를 검색할 수 있습니다. Recover On Behalf Policy(대리 복구 정책)는 특히 직원이 조직을 떠났지만 보관을 위해서나, 회사의 규정을 따르거나, 기타 용도로 해당 직원의 데이터를 복구해야 하는 경우에도 매우 유용합니다.
Renew Policy(갱신정책)를 사용하면 인증서를 갱신하는 데 필요한 일회용 암호 비밀 키를 설정하여 사용자에게 이를 전자 메일로 보냄으로써 갱신 프로세스를 보다 안전하게 만들 수 있습니다. 인증서를 해지한 다음 이를 복원하고 CRL(인증서 해지 목록)에서 제거하려는 경우 Reinstate Policy(복원 정책)를 사용하여 해당 워크플로 프로세스를 정의할 수 있습니다.
Recover Policy(복구 정책) 및 Revoke Policy(해지 정책)라는 두 가지 고유한 정책 구성 요소는 소프트웨어 인증서 정책에만 관련이 있으며 스마트 카드와는 관련이 없습니다. 컴퓨터에 저장된 사용자 인증서가 삭제되거나, 컴퓨터가 다시 구성되거나 도난당하는 경우 Recover Policy(복구 정책)를 사용하여 CA에 보관된 인증서나 키를 복원하는 프로세스를 정의할 수 있습니다. Revoke Policy(해지 정책)를 사용하면 정적 해지 사유를 설정하거나 해지 요청을 하는 사용자가 해지 시 사유를 지정하도록 허용할 수 있습니다.
이외에도 스마트 카드 프로필 템플릿과 관련된 다섯 개의 추가 관리 정책이 있습니다(그림 7 참조).
Figure 7 스마트 카드 프로필 정책
| 구성 요소 | 설명 |
| Replace Policy(바꾸기 정책) | 사용자의 스마트 카드가 분실되거나 도난당하는 경우에 대비하여 프로필을 정의합니다. |
| Disable Policy(해제 정책) | 인증서가 만료되기 전에 스마트 카드의 인증서를 해제하는 프로세스를 정의합니다. |
| Retire Policy(폐기 정책) | 스마트 카드의 모든 인증서를 해지하는 프로세스를 정의합니다. |
| Unblock Policy(차단 해제 정책) | 스마트 카드의 사용자 PIN 차단을 해제할 수 있는 사람을 정의합니다. |
| Temporary Cards Policy(임시 카드 정책) | 임시로 사용할 대체 스마트 카드를 정의합니다. 이 경우 사용자는 새로운 서명 인증서를 받지만 기존의 프로필 암호화 인증서를 가져와 이 인증서의 정보를 해독할 수 있습니다. |
Retire Policy(폐기 정책)에는 스마트 카드의 사용자 데이터 삭제, 사용자 및 관리 PIN 차단, 관리 PIN 재설정 등의 여러 가지 다양한 작업을 정의할 수 있습니다. Unblock Policy(차단 해제 정책)는 일반적으로 사용자가 자신의 PIN을 잊어버렸거나 ILM-CM에서 할당한 PIN으로 새 카드가 제공된 경우에 사용합니다. 이 경우 사용자는 스마트 카드의 차단을 해제해 줄 것을 요청합니다.
다른 관리 제품과 마찬가지로 보고는 매우 유용한 기능입니다. 인증서나 스마트 카드 환경의 스냅숏을 캡처하는 기능은 어느 조직에나 매우 중요합니다. ILM-CM에는 스마트 카드 인벤토리, 요청 요약, 인증서 사용과 만료 및 다른 많은 기능이 포함된 여러 개의 보고서가 기본적으로 포함되어 있습니다. 모든 데이터는 SQL Server 데이터베이스에 저장되므로 추가 보고서가 필요한 경우에는 다른 보고 시스템과 마찬가지로 사용자 지정 쿼리를 작성할 수 있습니다.
워크플로 개발
이제 ILM-CM으로 생산성이 높은 워크플로 프로세스를 정의하는 방법을 살펴보겠습니다. 여러 명의 시스템 관리자가 각 시스템의 SSL 인증서를 관리 및 유지하고 있다고 가정해 보십시오. 이때 첫 번째로 던져야 할 질문은 프로세스의 핵심적인 측면이 무엇인가 하는 것입니다.
시스템의 유형에 따라 인증서 요청 파일을 만드는 다양한 방법이 프로세스에 포함되어야 할 수도 있습니다. 따라서 가장 먼저 수행해야 할 작업은 모든 시스템에서 인증서 요청을 만드는 방법에 대한 자세한 지침을 제공하는 인트라넷 페이지를 개발하는 것입니다.
관리자가 요청 파일을 만들고 나면 인증서 승인을 위해 이를 ILM-CM 사용자 포털로 전송할 수 있습니다. 관리자는 ILM-CM 워크플로 프로세스를 통해 인증서 요청을 확인하고 승인해야 하는 여러 명의 승인자를 정의할 수 있습니다. 인증서가 승인되고 나면 사용자가 ILM-CM에서 인증서를 검색할 수 있습니다. ILM-CM은 SQL Server 데이터베이스에 인증서 정보를 저장하므로 관리자가 기록 정보를 검색할 수 있습니다.
1년 후 인증서의 만료 날짜가 다가오면 ILM-CM은 인증서 만료 날짜가 다가오므로 인증서를 갱신해야 함을 알리는 전자 메일 알림을 요청자에게 보냅니다. 이러한 워크플로 프로세스를 마련해 놓으면 인증서가 예기치 않게 만료되어 하루 일과를 모두 망치는 일이 없을 것입니다.
요약
Microsoft PKI 환경을 사용하는 회사에서 ILM-CM을 사용하면 PKI 환경을 관리하는 데 많은 도움이 됩니다. ILM-CM은 조직이 보안 인증 프로세스를 개선하고 디지털 인증서 및 스마트 카드를 관리하는 데 드는 비용과 복잡함을 줄일 수 있도록 지원합니다. 또한 ILM-CM은 오늘날 대부분의 회사에서 필요로 하는 인증서 및 스마트 카드 워크플로 프로세스를 개발하는 기반이 됩니다.
Microsoft는 ILM-CM을 위한 외부 API 지원도 구현했습니다. 조직에서 사용자 지정 응용 프로그램을 사용하는 경우 이러한 응용 프로그램에서 ILM-CM API 지원을 사용할 수도 있습니다.
ILM-CM에 대한 자세한 내용은 microsoft.com/technet/clm을 참조하십시오. go.microsoft.com/fwlink/?LinkId=87336에서 빠른 시작 안내서를 참조할 수도 있습니다.
Kevin Dallmann은 Accenture의 수석 시스템 엔지니어 컨설턴트로, 주로 대규모 엔터프라이즈 환경의 Active Directory 및 PKI 환경을 지원하는 업무를 담당하고 있습니다. 또한 MCSE와 MCT 자격증을 보유하고 있으며 Microsoft 교육 과정의 강사로 활동하고 있습니다.
© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..