전자서명이란?
전자서명은 메시지의 출처 인증과 무결성 보장을 위해 개인키로 서명하고 공개키로 검증하는 비대칭 암호 기반의 기술입니다. 부인방지(Non-repudiation)를 제공한다는 점이 MAC과의 차이입니다.
전자서명 생성·검증 절차
- 서명 생성: 메시지 해시값 계산 → 해시값을 송신자의 개인키로 암호화 = 서명
- 서명 검증: 수신자가 송신자의 공개키로 서명을 복호화 → 직접 계산한 해시값과 비교
- 두 해시값이 일치하면 무결성과 인증 모두 확인됨
PKI (Public Key Infrastructure)
공개키 기반구조로, 디지털 인증서 발급·관리·폐기를 위한 체계입니다.
PKI 구성 요소
- CA (Certificate Authority): 인증서 발급·서명 기관
- RA (Registration Authority): 사용자 신원 확인 후 CA에 인증서 발급 요청 대행
- VA (Validation Authority): 인증서 유효성 검증 서비스 제공
- Repository: 인증서·CRL 저장 디렉터리 (LDAP)
CA 계층 구조
- Root CA: 최상위 인증 기관, 자체 서명 인증서 사용
- Intermediate CA: Root CA 아래, 실제 인증서 발급
- End Entity: 최종 인증서 소유자 (서버, 사용자)
신뢰 체인(Chain of Trust): End Entity 인증서 → Intermediate CA → Root CA 순으로 서명 검증
X.509 인증서 구조
- 버전(Version): v1, v2, v3 (현재 표준 v3)
- 일련번호(Serial Number): CA가 부여하는 고유 번호
- 서명 알고리즘: SHA-256withRSA 등
- 발급자(Issuer): 인증서를 발급한 CA
- 유효 기간(Validity): Not Before / Not After
- 주체(Subject): 인증서 소유자 (도메인, 조직 등)
- 공개키 정보: 알고리즘 + 공개키 값
- 확장(Extensions, v3): SAN(Subject Alternative Name), Key Usage 등
인증서 폐기 – CRL vs OCSP
CRL (Certificate Revocation List)
- CA가 주기적으로 발행하는 폐기된 인증서 목록
- 검증 시 전체 CRL 파일을 다운로드 후 조회
- 단점: 발행 주기 사이의 지연(실시간성 부족), 파일 크기 증가
OCSP (Online Certificate Status Protocol)
- 실시간으로 특정 인증서 폐기 여부를 조회하는 프로토콜
- 응답: Good / Revoked / Unknown
- OCSP Stapling: 서버가 미리 OCSP 응답을 TLS 핸드셰이크에 포함하여 성능 개선
시험 핵심 정리
- 전자서명 목적: 인증 + 무결성 + 부인방지 (기밀성 X)
- 전자서명 서명: 개인키 사용 / 검증: 공개키 사용
- PKI Root CA는 자체 서명(Self-signed) 인증서 사용
- CRL: 배치형 폐기 확인 / OCSP: 실시간 폐기 확인
- OCSP Stapling: 서버가 CA 대신 OCSP 응답 제공
마무리
전자서명과 PKI는 정보보안기사 필기·실기 모두에서 출제 비중이 높은 파트입니다. 인증서 생명주기(발급→사용→폐기)와 각 구성 요소의 역할을 흐름으로 이해하면 문제 풀이가 훨씬 쉬워집니다.