인증서와 PKI
지난 포스트에서 공개키를 이용한 전자 서명에 대해 다루었다.
전자 서명을 이용하면 전자 문서의 사용자 인증 및 데이터 무결성 검증이 가능했다.
공개키는 개인이나 기관이 인터넷에 공개하여 사용하게끔 하는데, 공개키를 단순히 외부에 공개하면 A의 공개키가 실제 A의 공개키가 맞는지에 대한 신뢰성 문제가 발생할 수 있다.
A가 아닌 누군가가 자신의 공개키를 거짓으로 A의 공개키라고 발표한다면, A에게 전달되어야 할 데이터가 다른 곳으로 잘못 전달될 가능성이 있다.
따라서 신뢰할 수 있는 공개키를 사용하려면 공개키의 소유자를 증명하는 인증서를 발급받아야 한다.
인증서
인증서는 개인키와 이에 합치하는 공개키의 소유자를 인증기관이 자신의 개인 키로 전자서명하여 증명하는 전자 정보다.
인증서를 발행하기 위해서 공개키의 소유주는 인증기관에 공개키를 등록하고,
인증기관은 등록된 개인의 공개키를 자신 의 개인키로 서명해서 인증서를 발행한다.
종이 문서에 본인이 서명했음을 증명하기 위해 사용하는 인감도장처럼,
인증서를 발급받은 공개키는 전자 문서에서 본인임을 증명하는 전자 서명에 사용된다.
PKI(Public Key Infrastructure)
각 국가는 인증서를 발급해줄 신뢰성있는 공개키 인증 기관을 두고 인증서를 발급 및 관리하는 시스템을 운영하는데, 이를 PKI(Public Key Infrastructure)라 한다.
CA : 공인 인증 기관. 인증서 발급 기관.
RA : 인증서 사용자 관리 기관. 은행, 증권사 등이 대표적이다.
인증서 가입자는 자신이 기존에 사용하던 공개키를 갱신할 수 있는데, 이 때 인증기관은 갱신 전의 공개키를
CRL (Certificate Revocation List, 인증서 폐지 목록)으로 관리하여 기존 공개키의 효력을 중지시킨다.
여담으로, 인증서 발행 초창기에는 정부에서 인증서 서비스 정착을 위해 유일한 공인인증기관을 두고, 독점적인 공개키 발급 권한을 부여하였다. 이 공인인증 기관에서 발급한 인증서를 공인 인증서라 한다.
이후 인증서 시스템에 정착되자, 기존 공인인증 기관의 독점적 지위를 해제하고, 다른 기관들도 공개키 발급이 가능하도록 하였다. 이것을 공인인증서 폐지라 부르며, 이후에 발급되는 인증서를 공동인증서라 한다.