PKI(Public Key Infrastructure) 심화
PKI는 디지털 인증서를 통해 공개키의 소유자를 검증하는 신뢰 인프라입니다. 정보보안기사 시험에서는 CA 계층구조, CRL, OCSP, OCSP Stapling, Certificate Transparency가 핵심 출제 범위입니다.
CA 계층구조(CA Hierarchy)
- Root CA: 최상위 신뢰 앵커. 자체 서명 인증서. 오프라인으로 안전하게 보관
- Intermediate CA(SubCA): Root CA가 서명. 실제 발급에 사용. 침해 시 전체 PKI 영향 없이 교체 가능
- End Entity 인증서: 서버, 사용자, 기기에 발급. Intermediate CA가 서명
- 교차 인증(Cross Certification): 두 루트 CA가 상호 신뢰. 서로 다른 PKI 도메인 간 신뢰 구축
인증서 검증 방법
- CRL(Certificate Revocation List): CA가 발행하는 폐기된 인증서 목록. 주기적 발행·다운로드. 크기가 커질수록 비효율
- OCSP(Online Certificate Status Protocol): 실시간 인증서 상태 조회. HTTP 포트 80. Good/Revoked/Unknown 응답. CRL보다 빠르고 최신 상태
- OCSP Stapling: 서버가 OCSP 응답을 미리 받아 TLS 핸드셰이크에 포함. 클라이언트가 OCSP 서버에 직접 연결 불필요. 성능 향상 및 프라이버시 보호
Certificate Transparency(CT)
구글이 제안한 인증서 공개 로그 시스템으로 CA의 인증서 오발급을 탐지합니다.
- CT 로그(Log): 공개적으로 검증 가능한 인증서 로그 서버
- SCT(Signed Certificate Timestamp): 인증서가 CT 로그에 제출됐음을 증명하는 서명. TLS 핸드셰이크에 포함
- Chrome 정책: 2018년부터 CT SCT 없는 인증서 신뢰 거부
코드 서명(Code Signing)
- 목적: 소프트웨어 배포자 신원 확인, 배포 후 변조 탐지
- Windows Authenticode: PE 파일에 서명. SmartScreen이 서명 여부로 신뢰도 표시
- 타임스탬핑(Timestamping): 서명 시점을 공증. 인증서 만료 후에도 과거 서명의 유효성 유지
인증서 유형
- DV(Domain Validated): 도메인 소유권만 확인. 자동 발급. Let’s Encrypt
- OV(Organization Validated): 조직 실체 확인. 수동 검증 필요
- EV(Extended Validation): 가장 엄격한 검증. 과거 주소창 녹색 표시(현재 폐지)
- 와일드카드(Wildcard): *.example.com. 서브도메인 모두 커버
- SAN(Subject Alternative Name): 여러 도메인/IP를 하나의 인증서에 포함
정보보안기사 기출 핵심 정리
- Root CA = 오프라인 보관, Intermediate CA = 실제 발급에 사용
- CRL = 주기적 목록, OCSP = 실시간 조회, OCSP Stapling = 서버 선취득
- CT = 인증서 공개 로그, SCT = CT 제출 증명
- DV = 도메인 확인, OV = 조직 확인, EV = 최고 수준 검증
- 코드 서명 타임스탬핑 = 인증서 만료 후에도 과거 서명 유효