다음을 통해 공유


전송 암호 해독

적용 대상: Exchange Server 2013

Microsoft Exchange Server 2013, Microsoft Outlook 2010 이상 및 Microsoft Office Outlook Web App 사용자는 IRM(정보 권한 관리)을 사용하여 메시지를 보호할 수 있습니다. Outlook 2010 클라이언트에서 메시지가 전송되기 전에 Outlook 보호 규칙을 만들어 메시지에 IRM 보호가 자동으로 적용되도록 할 수 있습니다. 뿐만 아니라 규칙 조건과 일치하는 전송 메시지에 IRM 보호를 적용하는 전송 보호 규칙도 만들 수 있습니다. 전송 암호 해독을 통해 메시징 정책을 적용할 IRM으로 보호된 메시징 콘텐츠에 액세스할 수 있습니다.

IRM 관리와 관련된 관리 작업은 정보 권한 관리 절차를 참조하세요.

기타 암호화 솔루션 제한 사항

조직에서 HBI(높은 업무상의 영향) 정보 및 PII(개인 식별이 가능한 정보) 등의 중요한 정보를 보호해야 하는 경우 전자 메일 메시지 및 첨부 파일을 암호화하십시오. S/MIME과 같은 전자 메일 암호화 솔루션을 오랫동안 사용할 수 있었습니다. 이러한 암호화 솔루션은 여러 유형의 조직에서 다양한 수준으로 채택되었습니다. 하지만 이러한 솔루션에는 다음과 같은 과제가 있습니다.

  • 메시징 정책을 적용할 수 없음: 조직은 메시징 정책을 준수하는지 확인하기 위해 메시징 콘텐츠를 검사해야 하는 규정 준수 요구 사항에 직면합니다. 하지만 S/MIME을 포함한 대부분의 클라이언트 기반 암호화 솔루션으로 암호화된 메시지는 서버에서 콘텐츠 검사를 차단합니다. 조직에서 사용자가 보내고 받는 모든 메시지가 메시징 정책을 준수하는지 확인하려면 콘텐츠 검사를 수행해야 합니다. 예를 들어 법적 규정을 준수하기 위해 주민 등록 번호와 같은 PII를 검색하고 고지 사항이 메시지에 자동으로 적용되도록 전송 규칙을 구성했습니다. 메시지가 암호화된 경우 전송 서비스의 전송 규칙 에이전트는 메시지 콘텐츠에 액세스할 수 없으므로 고지 사항을 적용하지 않습니다. 이로 인해 정책 위반이 발생합니다.

  • 보안 강화: 바이러스 백신 소프트웨어는 암호화된 메시지 콘텐츠를 스캔할 수 없으므로 조직이 바이러스 및 웜과 같은 악의적인 콘텐츠의 위험에 노출됩니다. 암호화된 메시지는 일반적으로 대부분의 사용자가 신뢰할 수 있는 것으로 간주되므로 조직 전체에서 바이러스가 확산될 가능성이 높아집니다. 예를 들어 회사 기밀 RMS(Rights Management Service) 템플릿으로 모든 직원 메일 그룹에 전송되는 모든 메시지에 IRM 보호가 자동으로 적용되도록 Outlook 보호 규칙을 구성했습니다. 사용자의 워크스테이션이 메시지에 회신하는 데 자동으로 전체 회신을 사용하여 전파되는 바이러스에 감염되었습니다. 바이러스가 포함된 메시지가 암호화된 경우 바이러스 백신 스캐너가 해당 메시지를 검색할 수 없습니다.

  • 사용자 지정 전송 에이전트에 미치는 영향: 많은 조직에서 규정 준수, 보안 또는 사용자 지정 메시지 라우팅에 대한 추가 처리 요구 사항을 충족하는 등 다양한 용도로 사용자 지정 전송 에이전트를 개발합니다. 메시지를 검사하거나 수정하기 위해 조직에서 개발한 사용자 지정 전송 에이전트는 암호화된 메시지를 처리할 수 없습니다. 조직에서 개발한 사용자 지정 전송 에이전트가 메시지 콘텐츠를 액세스할 수 없는 경우 메시지 암호화는 조직에서 사용자 지정 전송 에이전트를 개발한 목표가 충족되지 못하게 할 수 있습니다.

암호화된 콘텐츠에 대한 전송 암호 해독 사용

Exchange 2013 IRM 기능은 이러한 난제를 해결해줍니다. 메시지가 IRM으로 보호된 경우 전송 암호 해독을 통해 전송 중에 메시지를 해독할 수 있습니다. IRM으로 보호된 메시지는 준수 중심 전송 에이전트인 암호 해독 에이전트에 의해 암호가 해독됩니다.

참고

Exchange 2013에서 암호 해독 에이전트는 기본 제공 에이전트입니다. 기본 제공 에이전트는 Get-TransportAgent cmdlet이 반환하는 에이전트 목록에 포함되지 않습니다. 자세한 내용은 전송 에이전트을 참조하십시오.

암호 해독 에이전트는 다음과 같은 유형의 IRM으로 보호된 메시지를 해독합니다.

  • Outlook Web App 사용자가 IRM으로 보호한 메시지.
  • Outlook 2010 사용자가 IRM으로 보호한 메시지.
  • Exchange 2013 및 Outlook 2010의 Outlook 보호 규칙에 따라 자동으로 IRM으로 보호된 메시지.

중요

조직의 AD RMS 서버에서 IRM으로 보호된 메시지만 암호 해독 에이전트로 해독됩니다.

전송 보호 규칙을 사용하여 전송되는 보호된 메시지는 암호 해독 에이전트로 해독할 필요가 없습니다. 암호 해독 에이전트는 OnEndOfDataOnSubmit 전송 이벤트를 시작합니다. 전송 보호 규칙은 OnRoutedMessage 이벤트를 시작하는 전송 규칙 에이전트가 적용하고 IRM 보호는 OnRoutedMessage 이벤트의 암호화 에이전트가 적용합니다. 전송 에이전트 및 등록할 수 있는 SMTP 이벤트 목록에 대한 자세한 내용은 전송 에이전트를 참조하십시오.

전송 암호 해독은 Active Directory 포리스트의 메시지를 처리하는 첫 번째 Exchange 2013 전송 서비스에서 수행됩니다. 메시지가 다른 Active Directory 포리스트의 전송 서비스로 전송되는 경우 해당 메시지가 다시 해독됩니다. 암호 해독 후 암호화되지 않은 콘텐츠는 해당 서버의 다른 전송 에이전트에서 사용할 수 있습니다. 예를 들어 전송 서비스의 전송 규칙 에이전트는 메시지 콘텐츠를 검사하고 전송 규칙을 적용할 수 있습니다. 고지 사항 적용이나 다른 방법으로 메시지 수정과 같이 규칙에 지정된 작업을 암호화되지 않은 메시지에서 수행할 수 있습니다. 바이러스 백신 스캐너와 같은 타사 전송 에이전트는 메시지에서 바이러스 및 맬웨어를 검색할 수 있습니다. 다른 전송 에이전트가 메시지를 검사하고 아마도 해당 메시지를 수정한 후, 암호 해독 에이전트가 해독하기 전에 있었던 동일한 사용자 권한으로 메시지가 다시 암호화됩니다. 동일한 메시지는 조직의 다른 사서함 서버에 있는 다른 전송 서비스에서 다시 해독되지 않습니다.

암호 해독 에이전트가 해독한 메시지는 다시 암호화되지 않은 상태로 전송 서비스를 나가지 않습니다. 메시지를 해독하거나 암호화화는 경우 일시적인 오류가 반환되면 전송 서비스가 해당 작업을 두 번 다시 시도합니다. 세 번째 실패 후 해당 오류는 영구적인 오류로 처리됩니다. 다시 시도 후 일시적인 오류가 영구적인 오류로 처리되는 경우를 비롯하여 영구적인 오류가 발생하는 경우 전송 서비스는 영구적인 오류를 다음과 같이 처리합니다.

  • 암호 해독 중에 영구적인 오류가 발생하면 전송 암호 해독이 로 설정 Mandatory되고 암호화된 메시지가 NDR과 함께 전송되는 경우에만 NDR(배달 외 보고서)이 전송됩니다. 전송 암호 해독에 사용할 수 있는 구성 옵션에 대한 자세한 내용은 이 항목의 뒷부분에 있는 전송 암호 해독 구성을 참조하세요.

  • 다시 암호화 중에 영구적인 오류가 발생하면 항상 해독된 메시지 없이 NDR이 전송됩니다.

중요

전송 서비스에 설치된 사용자 지정 에이전트 또는 타사 에이전트는 해독된 메시지에 액세스할 수 있습니다. 이러한 전송 에이전트의 동작을 고려해야 합니다. 프로덕션 환경에서 배포하기 전에 모든 사용자 지정 에이전트 또는 타사 에이전트를 충분히 테스트하는 것이 좋습니다.

암호 해독 에이전트가 메시지를 해독한 후 전송 에이전트가 새 메시지를 만들고 원본 메시지를 새 메시지에 포함(첨부)하는 것과 같은 작업을 수행하는 경우 새 메시지만 보호됩니다. 이제 새 메시지의 첨부 파일이 된 원본 메시지는 다시 암호화되지 않습니다. 해당 메시지를 받는 사람은 첨부된 메시지를 열고 권한 적용을 무시하는 전달 또는 회신과 같은 작업을 수행할 수 있습니다.

전송 암호 해독 구성

전송 암호 해독은 Exchange 관리 셸의 Set-IRMConfiguration cmdlet을사용하여 구성됩니다. 하지만 전송 암호 해독을 구성하기 전에 AD RMS 서버가 보호하는 콘텐츠를 해독하기 위한 권한을 Exchange 2013 서버에 제공해야 합니다. 이 작업은 조직의 AD RMS 클러스터에서 구성된 Super Users 그룹에 페더레이션 사서함을 추가하여 수행됩니다.

중요

각 포리스트에 AD RMS 클러스터가 배포된 포리스트 간 AD RMS 배포에서는 Exchange 2013 사서함 서버 또는 Exchange 2010 Hub 전송 서버의 전송 서비스가 각 AD RMS 클러스터에 대해 보호되는 메시지의 암호를 해독할 수 있도록 각 포리스트의 AD RMS 클러스터에 있는 슈퍼 사용자 그룹에 페더레이션 사서함을 추가해야 합니다.

자세한 내용은 AD RMS 슈퍼 사용자 그룹에는 페더레이션 사서함을 추가 합니다.을 참조하십시오.

Exchange 2013에서는 전송 암호 해독을 사용도록 설정하면 두 가지 다른 설정을 사용할 수 있습니다.

  • 필수: 전송 암호 해독이 로 설정된 Mandatory경우 암호 해독 에이전트는 메시지를 거부하고 메시지 암호를 해독할 때 영구적인 오류가 반환되면 보낸 사람에게 NDR을 반환합니다. 메시지를 해독할 수 없고 바이러스 검색과 같은 작업 및 전송 규칙이 적용되는 경우 조직에서 해당 메시지를 배달하지 않으려면 이 설정을 선택해야 합니다.

  • 선택 사항: 전송 암호 해독이 선택 사항으로 설정된 경우 암호 해독 에이전트는 최상의 방법을 사용합니다. 해독할 수 있는 메시지가 해독되지만 암호 해독 시 영구적인 오류가 발생한 메시지도 배달됩니다. 조직에서 메시징 정책보다 메시지 배달을 우선시하는 경우 이 설정을 사용해야 합니다.

전송 암호 해독 구성에 대한 자세한 내용은 사용 하도록 설정 또는 전송 암호 해독을 사용 하지 않도록 설정을 참조하십시오.