전자서명과 인증서 이야기

전자 서명과 인증서는 사실 PKI 분야에 상당히 기술적인 내용이다.
이 부분을 좀 더 쉬운 말로 설명을 해보자

실 생활에서 전자서명과 인증서를 비교 하기 가장 좋은게 "인감 증명서" 라고 생각한다.
인감 증명서는 오프라인상으로 어떤 서류를 작성하고 날인을 통해 그 날인이 유효한 도장인지 확인 해 주는 증명서이다.

이 과정이 사실 오프라인으로 사람 들이 직접 하게 된다.
오프라인 상에서 이루어진 이런 일들을 정보화 사회로 변하면서 디지털화와 온라인상으로 하게 되면서
어떤 서류 데이타에 대해 개인키를 사용해 전자 서명 하고 그 서명 값을 공개키를 이용해서 검증을 하게 된다.
그리고 그 공개키에 대한 증명서가 인증서이다.

사실 오프라인상에서는 해당 사람이 신원 확인과 서류를 가지고 직접 도장을 찍고
또한 그 서류가 유효한 서류인지 확인 하는 사람은 그 서류 내용에 대해 인감증명서로 확인을 통해 이루어 진다.
서류는 도장 찍고 난후 변경도 가능해서 내용을 복사를 해서 변경 여부를 확인하다.

그럼 이런 오프라인상에서 이루어지는 일이 온라인으로 할 때에 문제점을 생각해 보자
온라인상에서 고려 되어야 하는 보안 요소가 있다.

1. 기밀성 ( Confidentiality ) : 서류 내용이 관련자가 아닌 다른 사람은 볼 수 없어야 한다.
2. 무결성 ( Integrity ) : 디지털 데이타는 쉽게 조작이 가능해서 변경 되지 않음을 보장 해야 한다.
3. 인증 ( Authenticity ) : 그 서류 작성자가 해당 하는 사람이 맞는지 보장 해야 한다.
4. 부인 방지( Non Repudiation ) : 작성한 서류에 대해서 부인을 못하도록 보장을 해 주어야 한다.

사실 오프라인에서는 신분증 확인(Authenticity) 와 서류 봉투에 넣어서 당사자만 보구(Confidentiality) 그리고 복사를 통해 (Integrity ) 직접 서류 작성(Non Repudiation) 을 보장 한다.
이와 같은 4가지 보안 요소를 보완하기 위해 전자 서명( 무결성, 인증 그리고 부인방지 )과 암호화(기밀성)를 하는 것이다.

그럼 여기서 하나 생각해 볼 게 있다.
전자서명을 하기위해 키를 만드는것은 누구나 가능하다.
하지만 그 만든키에 대해서 누군가가 그 키가 그 사용자의 것인지 보증을 해주어야 한다.
그 보증을 한 키에 대한 증명서가 인증서이다.

사실 개인 도장도 여러개 만들 수 있다. 하지만 여러개 도장 중에 정말 그 사람의 도장이 맞다라는걸 증명하는 서류가 인감증명서이다.
이렇게 인증서와 인감증명서는 많은 공통점을 가지게 된다.

인감증명서를 신뢰하는 이유는 공공기관 즉 국가에서 발행을 하기 때문이다.
인증서를 발행하는것은 CA (Certificate Authority) 인데 정보화 사회에서는 CA 의 신뢰성이 중요하다.
이 CA의 인프라를 이용하는 시스템이 PKI 이다.

간단히 요약하면 정보화 사회로 가면서 많은 오프라인상으로 이루어진일이 디지털화로 변화 했구
디지털화를 하게 되면서 필요한 보안요소를 암호화를 사용하고
그리고 온라인상의 신뢰성을 보완하기 위해 PKI 인프라가 사용되는 것이다.