다음을 통해 공유


전송 암호 해독 이해

적용 대상: Exchange Server 2010

마지막으로 수정된 항목: 2010-01-13

Microsoft Exchange Server 2010, Microsoft Outlook 2010 및 Microsoft Office Outlook Web App에서 사용자는 IRM(정보 권한 관리)을 사용하여 메시지를 보호할 수 있습니다. Outlook 2010 클라이언트에서 메시지가 전송되기 전에 Outlook 보호 규칙을 만들어 메시지에 IRM 보호가 자동으로 적용되도록 할 수 있습니다. 또한 전송 보호 규칙을 만들어 규칙 조건에 맞는 전송되는 메시지에 IRM 보호를 적용할 수 있습니다. 전송 암호 해독은 메시징 정책을 적용하기 위해 IRM 보호 메시징 콘텐츠에 액세스할 수 있게 합니다.

IRM 관리와 관련된 관리 작업에 대한 자세한 내용은 권한 보호 관리를 참조하십시오.

기타 암호화 솔루션 제한 사항

조직에서 HBI(높은 업무상의 영향) 정보 및 PII(개인 식별이 가능한 정보) 등의 중요한 정보를 보호해야 하는 경우 전자 메일 메시지 및 첨부 파일을 암호화하십시오. S/MIME과 같은 전자 메일 암호화 솔루션을 오랫동안 사용할 수 있었습니다. 이러한 암호화 솔루션은 여러 유형의 조직에서 다양한 수준으로 채택되었습니다. 하지만 이러한 솔루션에는 다음과 같은 과제가 있습니다.

  • 메시징 정책을 적용할 수 없음   조직은 또한 메시징 정책을 준수하는지 확인하기 위해 메시징 콘텐츠 검사가 필요한 준수 요구 사항에 직면해 있습니다. 하지만 S/MIME을 포함한 대부분의 클라이언트 기반 암호화 솔루션으로 암호화된 메시지는 서버에서 콘텐츠 검사를 차단합니다. 조직에서 사용자가 보내고 받는 모든 메시지가 메시징 정책을 준수하는지 확인하려면 콘텐츠 검사를 수행해야 합니다. 예를 들어 법적 규정을 준수하기 위해 주민 등록 번호와 같은 PII를 검색하고 고지 사항이 메시지에 자동으로 적용되도록 전송 규칙을 구성했습니다. 메시지가 암호화된 경우 허브 전송 서버의 전송 규칙 에이전트는 메시지 콘텐츠를 액세스할 수 없으므로 고지 사항을 적용하지 않습니다. 이로 인해 정책 위반이 발생합니다.
  • 수준이 낮아진 보안   바이러스 백신 소프트웨어가 암호화된 메시지 콘텐츠를 검색할 수 없으므로 바이러스 및 웜과 같은 해로운 콘텐츠의 위험에 조직이 노출됩니다. 암호화된 메시지는 일반적으로 대부분의 사용자가 신뢰할 수 있는 것으로 간주되므로 조직 전체에서 바이러스가 확산될 가능성이 높아집니다. 예를 들어 회사 기밀 RMS(Rights Management Service) 템플릿으로 모든 직원 메일 그룹에 전송되는 모든 메시지에 IRM 보호가 자동으로 적용되도록 Outlook 보호 규칙을 구성했습니다. 사용자의 워크스테이션이 메시지에 회신하는 데 자동으로 전체 회신을 사용하여 전파되는 바이러스에 감염되었습니다. 바이러스가 포함된 메시지가 암호화된 경우 바이러스 백신 스캐너가 해당 메시지를 검색할 수 없습니다.
  • 사용자 지정 전송 에이전트에 대한 영향   많은 조직에서 준수, 보안 또는 사용자 지정 메시지 라우팅에 대한 추가적인 처리 요구 사항의 충족과 같은 다양한 목적에 맞는 사용자 지정 전송 에이전트를 개발합니다. 메시지를 검사하거나 수정하기 위해 조직에서 개발한 사용자 지정 전송 에이전트는 암호화된 메시지를 처리할 수 없습니다. 조직에서 개발한 사용자 지정 전송 에이전트가 메시지 콘텐츠를 액세스할 수 없는 경우 메시지 암호화는 조직에서 사용자 지정 전송 에이전트를 개발한 목표가 충족되지 못하게 할 수 있습니다.

암호화된 콘텐츠에 대한 전송 암호 해독 사용

Exchange 2010 IRM 기능은 이러한 난제를 해결해줍니다. 메시지가 IRM으로 보호된 경우 전송 암호 해독을 사용하여 전송 중인 메시지의 암호를 해독할 수 있습니다. IRM으로 보호된 메시지는 암호 해독 에이전트(준수 중심 전송 에이전트)에서 해독됩니다.

참고

Exchange 2010에서 암호 해독 에이전트는 기본 제공 에이전트입니다. 기본 제공 에이전트는 Get-TransportAgent cmdlet이 반환하는 에이전트 목록에 포함되지 않습니다. 자세한 내용은 전송 에이전트 이해을 참조하십시오.

암호 해독 에이전트는 다음과 같은 유형의 IRM으로 보호된 메시지를 해독합니다.

  1. Outlook Web App 사용자가 IRM으로 보호한 메시지.
  2. Outlook 2010 사용자가 IRM으로 보호한 메시지.
  3. Outlook 2010의 Outlook 보호 규칙에 따라 자동으로 IRM으로 보호된 메시지.

중요

조직의 AD RMS 서버에서 IRM으로 보호된 메시지만 암호 해독 에이전트로 해독됩니다.

참고

전송 보호 규칙을 사용하여 전송되는 보호된 메시지는 암호 해독 에이전트로 해독할 필요가 없습니다. 암호 해독 에이전트는 OnEndOfDataOnSubmit 전송 이벤트를 시작합니다. 전송 보호 규칙은 OnRoutedMessage 이벤트를 시작하는 전송 규칙 에이전트가 적용하고 IRM 보호는 OnRoutedMessage 이벤트의 암호화 에이전트가 적용합니다. 전송 에이전트 및 등록할 수 있는 SMTP 이벤트 목록에 대한 자세한 내용은 전송 에이전트 이해를 참조하십시오.

전송 암호 해독은 Active Directory 포리스트의 메시지를 처리하는 첫 번째 Exchange 2010 허브 전송 서버에서 수행됩니다. 메시지가 다른 Active Directory 포리스트의 허브 전송 서버로 전송되는 경우 해당 메시지가 다시 해독됩니다. 암호 해독 후 암호화되지 않은 콘텐츠는 해당 서버의 다른 전송 에이전트에서 사용할 수 있습니다. 예를 들어 허브 전송 서버의 전송 규칙 에이전트는 메시지 콘텐츠를 검사하고 전송 규칙을 적용할 수 있습니다. 고지 사항 적용이나 다른 방법으로 메시지 수정과 같이 규칙에 지정된 작업을 암호화되지 않은 메시지에서 수행할 수 있습니다. 바이러스 백신 스캐너와 같은 타사 전송 에이전트는 메시지에서 바이러스 및 맬웨어를 검색할 수 있습니다. 다른 전송 에이전트가 메시지를 검사하고 아마도 해당 메시지를 수정한 후, 암호 해독 에이전트가 해독하기 전에 있었던 동일한 사용자 권한으로 메시지가 다시 암호화됩니다. 동일한 메시지는 조직의 다른 허브 전송 서버에서 다시 암호화되지 않습니다.

암호 해독 에이전트가 해독한 메시지는 다시 암호화되지 않은 상태로 허브 전송 서버를 나가지 않습니다. 메시지를 해독하거나 암호화화는 경우 일시적인 오류가 반환되면 허브 전송 서버가 해당 작업을 두 번 다시 시도합니다. 세 번째 실패 후 해당 오류는 영구적인 오류로 처리됩니다. 다시 시도 후 일시적인 오류가 영구적인 오류로 처리되는 경우를 비롯하여 영구적인 오류가 발생하는 경우 허브 전송 서버는 영구적인 오류를 다음과 같이 처리합니다.

  • 암호 해독 중에 영구적인 오류가 발생하는 경우 전송 암호 해독이 Mandatory로 설정된 경우에만 NDR(배달 못 함 보고서)이 전송되고 암호화된 메시지가 NDR과 함께 전송됩니다. 전송 암호 해독에 사용할 수 있는 구성 옵션에 대한 자세한 내용은 이 항목 뒷부분의 전송 암호 해독 구성을 참조하십시오.
  • 다시 암호화 중에 영구적인 오류가 발생하면 항상 해독된 메시지 없이 NDR이 전송됩니다.

중요

허브 전송 서버에 설치된 사용자 지정 에이전트 또는 타사 에이전트는 해독된 메시지에 액세스할 수 있습니다. 이러한 전송 에이전트의 동작을 고려해야 합니다. 프로덕션 환경에서 배포하기 전에 모든 사용자 지정 에이전트 또는 타사 에이전트를 충분히 테스트하는 것이 좋습니다.
암호 해독 에이전트가 메시지를 암호화한 후 전송 에이전트가 새 메시지를 만들고 원본 메시지를 포함(첨부)하는 것과 같은 작업을 수행하는 경우 새 메시지만 보호됩니다. 이제 새 메시지에 첨부 파일로 존재하는 원본 메시지는 다시 암호화되지 않습니다. 해당 메시지를 받는 사람은 권한 적용을 무시하면서 첨부된 메시지를 열고 전달 또는 회신과 같은 작업을 수행할 수 있습니다.

전송 암호 해독 구성

전송 암호 해독은 Exchange 관리 셸의 Set-IRMConfiguration cmdlet을사용하여 구성됩니다. 하지만 전송 암호 해독을 구성하기 전에 AD RMS 서버가 보호하는 콘텐츠를 해독하기 위한 권한을 Exchange 2010 서버에 제공해야 합니다. 이 작업은 조직의 AD RMS 클러스트에서 구성된 Super Users 그룹에 페더레이션 배달 사서함을 추가하면 수행됩니다. 

중요

각 포리스트에 배포된 AD RMS 클러스터가 있는 포리스트 간 AD RMS 배포에서 Exchange 2010 허브 전송 서버가 각 AD RMS 클러스터에 대해 보호된 메시지를 해독하도록 각각의 포리스트에서 AD RMS 클러스터의 Super Users 그룹에 페더레이션 배달 사서함을 추가해야 합니다.

자세한 내용은 AD RMS 슈퍼 사용자 그룹에 페더레이션 배달 사서함 추가을 참조하십시오.

Exchange 2010에서는 전송 암호 해독을 사용도록 설정하면 두 가지 다른 설정을 사용할 수 있습니다.

  • 필수   전송 암호 해독이 Mandatory로 설정된 경우 메시지를 해독할 때 영구 암호가 반환되면 암호 해독 에이전트는 해당 메시지를 거부하고 보낸 사람에게 NDR을 반환합니다. 메시지를 해독할 수 없고 바이러스 검색과 같은 작업 및 전송 규칙이 적용되는 경우 조직에서 해당 메시지를 배달하지 않으려면 이 설정을 선택해야 합니다.
  • 옵션   전송 암호 해독이 옵션으로 설정된 경우 암호 해독 에이전트는 최선의 접근 방법을 사용합니다. 해독할 수 있는 메시지가 해독되지만 암호 해독 시 영구적인 오류가 발생한 메시지도 배달됩니다. 조직에서 메시징 정책보다 메시지 배달을 우선시하는 경우 이 설정을 사용해야 합니다.

전송 암호 해독 구성에 대한 자세한 내용은 전송 암호 해독 사용 또는 사용 안 함을 참조하십시오.