테마
08. PKI와 인증서
학습 목표
- **PKI(Public Key Infrastructure)**가 무엇인지 설명할 수 있다.
- **CA(인증기관)**와 **RA(등록대행기관)**의 역할을 구분할 수 있다.
- X.509 인증서의 구조와 포함 정보를 설명할 수 있다.
- 인증서의 발급 과정을 순서대로 설명할 수 있다.
- 인증서의 검증 과정과 OS 신뢰 저장소의 역할을 이해한다.
전체 구조
1. PKI란?
핵심 개념
PKI는 Public Key Infrastructure의 약자로, 공개키 기반 구조라는 뜻이다.
비대칭키 체계를 중심으로, 인증서를 발급하고 검증하는 전체 인프라를 말한다.
암기 포인트: PKI = 비대칭키 + 해시 + 디지털 서명 + 인증서 + 인증기관. 지금까지 배운 모든 것의 총합.
2. 인증서는 왜 사는가?
키 쌍을 직접 생성하면 안 되나?
PC에서 명령어 하나로 키 쌍을 생성할 수 있다. 그런데 왜 돈을 내고 인증서를 사야 하는가?
직접 만든 키 쌍은 아무도 보증해주지 않는다. 인증기관(CA)에서 발급받아야 제3자의 보증이 붙는다.
3. CA와 RA의 역할
인증서 발급 체계
| 기관 | 영문 | 역할 |
|---|---|---|
| CA | Certification Authority | 인증서를 생성하고 서명한다. 핵심 기관. |
| RA | Registration Authority | 등록을 대행한다. 실무자와 CA 사이의 중개자. |
인증서 가격이 다른 이유
인증서 가격은 검증 수준에 따라 달라진다.
| 검증 수준 | 확인 사항 | 가격 |
|---|---|---|
| DV (Domain Validation) | 도메인 소유 여부만 확인 | 저렴 |
| OV (Organization Validation) | 도메인 + 회사 실존 여부 확인 | 중간 |
| EV (Extended Validation) | 도메인 + 회사 + 실무자 신원까지 확인 | 비쌈 |
4. X.509 인증서의 구조
인증서 안에 무엇이 들어있는가?
SSL 인증서는 X.509 형식으로 되어 있다. 이 안에는 공개키뿐만 아니라 다양한 정보가 포함된다.
인증서 구조 상세
| 필드 | 내용 | 설명 |
|---|---|---|
| 주체(Subject) | www.abc.com | 이 인증서의 주인 |
| 발급자(Issuer) | VeriSign, Comodo 등 | 발급한 CA |
| 공개키 | RSA 2048비트 등 | 서버의 공개키 |
| 유효기간 | 2024.01 ~ 2025.01 | 보통 6개월~1년 |
| 서명 알고리즘 | SHA256withRSA | 해시 + 비대칭키 조합 |
| CA 서명 | (암호화된 해시) | CA의 개인키로 서명 |
CA는 인증서에 어떻게 서명하는가?
이것은 05장에서 배운 디지털 서명과 정확히 같은 원리다. CA가 자신의 개인키로 인증서에 서명하는 것이다.
5. 인증서 발급 전체 흐름
전달되는 세트:
- 인증서 (X.509 형식, 공개키 포함)
- 개인키 (서버만 보관, 절대 외부 노출 금지)
6. 인증서 검증 과정
PC가 서버에 접속할 때
검증 흐름 요약
7. OS 신뢰 저장소(기관 인증서)
CA의 공개키는 어디에 있는가?
인증서를 검증하려면 CA의 공개키가 필요하다. 이것은 OS에 미리 설치되어 있다.
확인하는 방법 (Windows)
Windows에서 certmgr.msc 명령어를 실행하면 인증서 관리자가 열린다.
"신뢰할 수 있는 루트 인증기관" → "인증서" 목록에서 설치된 CA 인증서들을 확인할 수 있다.
| 항목 | 설명 |
|---|---|
| 발급 대상 | CA 이름 (VeriSign, Comodo 등) |
| 발급자 | 상위 CA (또는 자기 자신 = 루트) |
| 만료 날짜 | 보통 매우 길다 (10~30년) |
| 공개키 | CA의 공개키 (인증서 검증에 사용) |
8. PKI 신뢰 사슬
계층 구조
CA 위에도 상위 기관이 있다. 이것이 **신뢰 사슬(Chain of Trust)**이다.
대표 기관 (한국)
| 계층 | 기관 예시 | 역할 |
|---|---|---|
| PAA | 과학기술정보통신부 | 최상위 정책 승인 |
| PCA | 한국인터넷진흥원(KISA) | 정책 수립 및 인증 |
| CA | 금융결제원, 한국전산원 | 인증서 발급 |
| RA | 각 은행, 인증 업체 | 등록 대행 |
9. CA의 키가 변경되면?
만약 CA(예: VeriSign)가 자신의 키 체계를 변경하면:
이것이 CA의 키 변경이 매우 신중하게 이루어지는 이유이고, CA 인증서의 만료일이 매우 길게(10~30년) 설정되는 이유다.
핵심 암기 포인트
PKI: Public Key Infrastructure. 비대칭키 + 해시 + 서명 + 인증서 + CA의 총합.
CA: 인증서를 생성하고 서명하는 핵심 기관.
RA: 등록을 대행하는 기관. CA와 실무자 사이의 중개자.
X.509 인증서: 공개키 + 주체/발급자 정보 + 유효기간 + CA 서명.
인증서 검증: CA 공개키로 서명 복호화 → 해시 비교 → 일치하면 유효.
OS 신뢰 저장소: OS에 미리 설치된 루트 CA 공개키. 보안 업데이트로 관리.
인증서 유효기간: 보통 6개월~1년. 키 쌍 생성 비용이 크므로 재사용.
확인 질문
- PKI가 "지금까지 배운 모든 것의 총합"이라는 말의 의미를 설명하라.
- CA와 RA의 역할 차이는 무엇인가?
- X.509 인증서에 CA의 디지털 서명이 들어가는 이유는 무엇인가?
- PC가 인증서를 검증할 때, CA의 공개키는 어디서 가져오는가?
- CA의 키가 변경되면 어떤 영향이 있는가?