Outlook 2010의 전자 메일 메시징 암호화 계획
적용 대상: Office 2010
마지막으로 수정된 항목: 2016-11-29
Microsoft Outlook 2010에서는 암호화 전자 메일 메시지를 보내고 받는 데 유용한 보안 관련 기능을 지원합니다. 이러한 기능에는 암호화 전자 메일 메시징, 보안 레이블 및 서명 확인이 포함됩니다.
참고
Microsoft Outlook에서 보안 기능을 최대한 활용하려면 Outlook 2010을 로컬 관리 권한으로 설치해야 합니다.
이 문서의 내용:
Outlook 2010의 암호화 메시징 기능 정보
암호화 디지털 ID 관리
보안 레이블 및 서명 확인
Outlook 2010 암호화 설정 구성
추가 암호화 설정 구성
Outlook 2010의 암호화 메시징 기능 정보
Outlook 2010에서는 사용자가 다음 작업을 수행할 수 있는 암호화 메시징 기능을 지원합니다.
전자 메일 메시지에 디지털 서명할 수 있습니다. 디지털 서명을 사용하면 콘텐츠에 대한 부인 방지 및 확인 기능이 제공됩니다. 즉, 해당 메시지에 보낸 사람이 보낸 내용이 들어 있으며 변경된 내용이 없다는 것을 확인할 수 있습니다.
전자 메일 메시지를 암호화할 수 있습니다. 암호화는 의도한 받는 사람이 아닌 다른 사용자가 메시지를 읽을 수 없도록 하는 데 유용합니다.
보안이 강화된 메시지에 대해 추가 기능을 구성할 수 있습니다. 조직에서 이러한 기능을 지원하는 경우 보안이 강화된 메시징을 사용하여 다음 작업을 수행할 수 있습니다.
확인 요청을 사용하는 전자 메일 메시지를 보낼 수 있습니다. 이렇게 하면 받는 사람이 사용자의 디지털 서명, 즉 사용자가 메시지에 적용한 인증서를 확인 중인지 확인하는 데 유용합니다.
전자 메일 메시지에 보안 레이블을 추가할 수 있습니다. 조직에서는 메시지에 레이블을 추가하는 사용자 지정된 S/MIME V3 보안 정책을 만들 수 있습니다. S/MIME V3 보안 정책은 Outlook에 추가하는 코드로서, 메시지 머리글에 메시지의 우편물 종류에 대한 정보를 추가합니다. 자세한 내용은 이 문서 뒷부분에서 보안 레이블 및 서명 확인을 참조하십시오.
Outlook 2010에서 암호화 메시징 구현 방법
Outlook 2010 암호화 모델에서는 공개 키 암호화를 사용하여 서명되고 암호화된 전자 메일 메시지를 보내고 받습니다. Outlook 2010에서는 사용자가 보안이 강화된 전자 메일 메시지를 인터넷이나 인트라넷을 통해 다른 S/MIME 전자 메일 클라이언트와 교환할 수 있는 S/MIME V3 보안을 지원합니다. 사용자의 공개 키로 암호화된 전자 메일 메시지는 연관된 개인 키만 사용하여 암호를 해독할 수 있습니다. 즉, 사용자가 암호화된 전자 메일 메시지를 보낸 경우 받는 사람의 인증서(공개 키)로 전자 메일 메시지가 암호화됩니다. 사용자가 암호화된 전자 메일 메시지를 읽을 때에는 사용자의 개인 키로 암호가 해독됩니다.
Outlook 2010에서는 보안 프로필이 있어야 암호화 기능을 사용할 수 있습니다. 보안 프로필은 암호화 기능을 사용하는 메시지를 보낼 때 사용되는 인증서 및 알고리즘을 설명하는 설정의 그룹입니다. 다음과 같은 경우에 보안 프로필이 아직 없으면 프로필이 자동으로 구성됩니다.
사용자의 컴퓨터에 암호화를 위한 인증서가 있는 경우
사용자가 암호화 기능을 사용하기 시작한 경우
이러한 보안 설정은 미리 사용자 지정할 수 있습니다. 레지스트리 설정 또는 그룹 정책 설정을 사용하여 Outlook이 조직의 암호화 정책을 충족하도록 사용자 지정하고 그룹 정책을 사용하여 보안 프로필에서 원하는 설정을 구성한 다음 적용할 수 있습니다. 이러한 설정은 이 문서 뒷부분의 Outlook 2010 암호화 설정 구성에서 설명합니다.
디지털 ID: 공용/개인 키와 인증서 조합
S/MIME 기능에서는 디지털 인증서라고도 하는 디지털 ID를 사용합니다. 디지털 ID는 사용자의 ID를 공개 및 개인 키 쌍에 연결합니다. 이러한 인증서와 개인/공개 키 쌍의 조합을 디지털 ID라고 합니다. 개인 키는 사용자 컴퓨터나 스마트 카드의 Windows 인증서 저장소와 같이 보안이 강화된 저장소에 저장할 수 있습니다. Outlook 2010에서는 조직의 인증 기관(예: Active Directory 인증서 서비스를 실행하는 Windows Server 2008) 또는 VeriSign 같은 공식 인증 기관에서 공용 및 개인 키를 생성하도록 요구하는 X.509v3 표준을 완벽하게 지원합니다. 조직에 가장 적합한 옵션에 대한 자세한 내용은 Office 2010의 디지털 서명 설정 계획에서 자체 서명되거나 CA에서 발행한 디지털 인증서를 참조하십시오.
사용자는 VeriSign 및 Microsoft 인증서 서비스 같은 공용 웹 기반 인증 기관을 사용하여 디지털 ID를 받을 수 있습니다. 디지털 ID를 받는 방법에 대한 자세한 내용은 Outlook 도움말의 디지털 ID 받기(https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x412) 항목을 참조하십시오. 관리자는 사용자 그룹에 디지털 ID를 제공할 수 있습니다.
디지털 ID의 인증서가 만료되면 일반적으로 발급 인증 기관에서 업데이트된 인증서를 받아야 합니다. 조직에서 인증서 관리를 위해 Windows Server 2003 CA(인증 기관) 또는 Windows Server 2008의 AD CS(Active Directory 인증서 서비스)를 사용하는 경우 Outlook 2010에서 인증서 업데이트를 자동으로 관리합니다.
암호화 디지털 ID 관리
Outlook 2010에서는 사용자의 인증서와 공개 및 개인 암호화 키 집합으로 구성된 디지털 ID를 사용자가 관리할 수 있습니다. 디지털 ID를 사용하면 메시지를 암호화하여 교환할 수 있으므로 전자 메일 메시지를 안전하게 보호할 수 있습니다. 디지털 ID 관리 작업에는 다음이 포함됩니다.
디지털 ID 받기. 디지털 ID를 받는 방법에 대한 자세한 내용은 Outlook 도움말의 디지털 ID 받기(https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x412) 항목을 참조하십시오.
디지털 ID 저장. 디지털 ID를 저장하면 나중에 다른 컴퓨터로 이동하거나 다른 사용자가 사용하게 할 수 있습니다.
다른 사용자에게 디지털 ID 제공
디지털 ID를 파일로 내보내기. 이렇게 하면 백업을 만들거나 새 컴퓨터로 이동할 때 유용합니다.
디지털 ID를 파일에서 Outlook으로 가져오기. 디지털 ID 파일은 사용자의 백업 복사본일 수도 있고 다른 사용자의 디지털 ID를 포함할 수도 있습니다.
만료된 디지털 ID 갱신
둘 이상의 컴퓨터에서 암호화 메시징을 수행하는 사용자는 각 컴퓨터에 자신의 디지털 ID를 복사해야 합니다.
디지털 ID 저장 위치
디지털 ID는 다음과 같은 세 위치에 저장할 수 있습니다.
Microsoft Exchange 전체 주소록 CA 또는 AD CS를 통해 생성된 인증서는 GAL(전체 주소록)에 자동으로 게시됩니다. 외부에서 생성된 인증서는 전체 주소록에 직접 게시할 수 있습니다. Outlook 2010에서 이렇게 하려면 파일 탭에서 옵션을 클릭한 다음 보안 센터를 클릭합니다. 다음으로, Microsoft Outlook 보안 센터에서 보안 센터 설정을 클릭합니다. 그런 다음 전자 메일 보안 탭의 **디지털 ID(인증서)**에서 전체 주소 목록에 게시 단추를 클릭합니다.
LDAP(Lightweight Directory Access Protocol) 디렉터리 서비스 외부 디렉터리 서비스, 인증 기관 또는 기타 인증서 공급자는 LDAP 디렉터리 서비스를 통해 사용자의 인증서를 게시할 수 있습니다. Outlook에서는 LDAP 디렉터리를 통해 이러한 인증서에 액세스할 수 있습니다.
Microsoft Windows 파일 디지털 ID를 사용자의 컴퓨터에 저장할 수 있습니다. 사용자는 해당 디지털 ID를 Outlook 2010에서 파일로 내보냅니다. 이렇게 하려면 파일 탭에서 옵션을 클릭한 다음 보안 센터를 클릭합니다. 다음으로, Microsoft Outlook 보안 센터에서 보안 센터 설정을 클릭합니다. 그런 다음 전자 메일 보안 탭의 **디지털 ID(인증서)**에서 가져오기/내보내기 단추를 클릭합니다. 또한 파일을 만들 때 암호를 지정하여 파일을 암호화할 수 있습니다.
다른 사용자에게 디지털 ID 제공
다른 사용자와 암호화 전자 메일 메시지를 교환하려면 상대방의 공개 키가 있어야 합니다. 사용자는 인증서를 통해 자신의 공개 키에 액세스할 수 있게 합니다. 다음과 같은 몇 가지 방법으로 다른 사용자에게 디지털 ID를 제공할 수 있습니다.
인증서를 사용하여 전자 메일 메시지를 디지털 서명합니다. 전자 메일 메시지를 작성한 후 인증서로 메시지를 디지털 서명하면 해당 사용자의 공개 키가 다른 사용자에게 제공됩니다. 서명된 메시지를 받은 Outlook 사용자는 보낸 사람 줄의 사용자 이름을 마우스 오른쪽 단추로 클릭하고 연락처에 추가를 클릭합니다. 그러면 해당 주소 정보 및 인증서가 Outlook 사용자의 연락처 목록에 저장됩니다.
Microsoft Exchange 전체 주소록 같은 디렉터리 서비스를 사용하여 인증서를 제공합니다. 또 다른 방법으로, 암호화된 전자 메일 메시지를 보낼 때 표준 LDAP 서버의 LDAP 디렉터리에서 다른 사용자의 인증서를 자동으로 검색할 수 있습니다. 이러한 방법으로 인증서에 액세스하려면 사용자가 전자 메일 계정의 디지털 ID를 사용하여 S/MIME 보안에 등록되어 있어야 합니다.
전체 주소록에서 인증서를 얻을 수도 있습니다.
디지털 ID 가져오기
파일에서 디지털 ID를 가져올 수 있습니다. 이 방법은 새 컴퓨터에서 암호화 전자 메일 메시지를 보내려는 경우 등에 유용합니다. 암호화 전자 메일 메시지를 보내려는 각 컴퓨터에 사용자의 인증서가 설치되어 있어야 합니다. 사용자는 디지털 ID를 Outlook 2010에서 파일로 내보냅니다. 이렇게 하려면 파일 탭에서 옵션을 클릭한 다음 보안 센터를 클릭합니다. 다음으로, Microsoft Outlook 보안 센터에서 보안 센터 설정을 클릭합니다. 그런 다음 전자 메일 보안 탭의 **디지털 ID(인증서)**에서 가져오기/내보내기 단추를 클릭합니다.
키 및 인증서 갱신
각 인증서 및 개인 키에는 제한 시간이 있습니다. CA 또는 AD CS에서 제공한 키의 만료 시간에 도달하면 Outlook에서 경고 메시지가 표시되므로 키를 갱신할 수 있습니다. 또한 Outlook에서는 경고 메시지를 표시할 뿐 아니라 각 사용자를 대신해서 서버에 갱신 메시지를 보내는 기능도 제공합니다.
인증서가 만료되기 전에 갱신하지 않거나 CA 또는 AD CS가 아닌 다른 인증 기관을 사용하는 경우에는 해당 인증 기관에 문의하여 인증서를 갱신해야 합니다.
보안 레이블 및 서명 확인
Outlook 2010에서는 보안 레이블 및 서명 확인에 대한 S/MIME V3 ESS(Enhanced Security Services) 확장을 지원합니다. 이러한 확장은 조직 내에서 보안이 강화된 전자 메일 통신을 제공하고 사용자의 요구 사항에 맞게 보안을 사용자 지정하는 데 유용합니다.
조직에서 사용자 지정 보안 레이블을 추가하기 위해 S/MIME V3 보안 정책을 개발하고 제공하는 경우 보안 정책의 코드를 통해 전자 메일 메시지에 보안 레이블을 첨부할 수 있습니다. 다음은 보안 레이블에 대한 두 가지 예입니다.
'내부 전용'이라는 레이블을 보안 레이블로 구현한 후, 회사 외부로 보내거나 전달하면 안 되는 메일에 이 레이블을 적용할 수 있습니다.
특정 받는 사람이 보안 정책을 설치한 경우 받는 사람이 메시지를 전달하거나 인쇄할 수 없다는 레이블을 지정할 수 있습니다.
메시지와 함께 보안이 강화된 확인 요청을 보내 받는 사람이 사용자의 디지털 서명을 인식하는지 확인할 수도 있습니다. 메시지를 받고 아직 읽지 않은 상태에서 저장한 경우에도 서명이 확인되면 메시지를 읽었음을 의미하는 확인이 사용자의 받은 편지함으로 보내집니다. 사용자의 서명이 확인되지 않은 경우에는 확인이 보내지지 않습니다. 확인이 돌아오면 확인도 서명되므로 사용자가 메시지를 받고 확인한 것을 나타냅니다.
Outlook 2010 암호화 설정 구성
Outlook 2010 그룹 정책 템플릿(Outlook14.adm)을 사용하여 조직의 메시징 및 메시지 암호화를 보다 안전하게 구성할 수 있도록 Outlook 2010 암호화 기능의 여러 측면을 제어할 수 있습니다. 예를 들어 그룹 정책에서 보내는 모든 메일에 반드시 보안 레이블을 포함하도록 하는 설정이나 전체 주소 목록에 게시할 수 없도록 하는 설정을 구성할 수 있습니다. OCT(Office 사용자 지정 도구)를 사용하여 기본 설정을 구성할 수도 있습니다. 이렇게 하면 사용자가 설정을 변경할 수 있습니다. 또한 레지스트리 키 설정을 통해서만 구성할 수 있는 암호화 구성 옵션도 있습니다.
Outlook 2010 관리 템플릿을 다운로드하는 방법 및 다른 Office 2010 관리 템플릿에 대한 자세한 내용은 Office 2010 관리 템플릿 파일(ADM, ADMX, ADML) 및 Office 사용자 지정 도구를 참조하십시오. 그룹 정책에 대한 자세한 내용은 Office 2010의 그룹 정책 개요 및 Office 2010의 그룹 정책을 사용하여 설정 적용을 참조하십시오.
OCT에 대한 자세한 내용은 Office Customization Tool in Office 2010를 참조하십시오.
암호화를 사용자 지정하기 위해 다음 표의 설정을 잠글 수 있습니다. 이러한 설정은 OCT 사용자 설정 수정 페이지의 Microsoft Outlook 2010\보안\암호화에 있으며, 그룹 정책에서는 사용자 구성\관리 템플릿\Microsoft Outlook 2010\보안\암호화에 있습니다.
암호화 옵션 | 설명 | ||||||||
---|---|---|---|---|---|---|---|---|---|
S/MIME 메시지에 항상 TNEF 서식 사용 |
S/MIME 메시지에 사용자가 지정한 형식 대신 항상 TNEF(Transport Neutral Encapsulation Format)를 사용합니다. |
||||||||
사용 중인 인증서의 주소에 대해 전자 메일 주소 확인 안 함 |
암호화 또는 서명에 사용되는 인증서 주소를 사용하여 사용자의 전자 메일 주소를 확인하지 않습니다. |
||||||||
'전체 주소 목록'에 게시 단추 표시 안 함 |
보안 센터의 전자 메일 보안 페이지에서 전체 주소 목록에 게시 단추를 사용할 수 없도록 설정합니다. |
||||||||
암호화 경고 대화 상자에서 계속 옵션 제공 안 함 |
암호화 설정 경고 대화 상자에서 계속 단추를 사용할 수 없도록 설정합니다. 사용자는 메시지를 보내기 위해 계속 단추를 누를 수 없게 됩니다. |
||||||||
암호화 아이콘 사용 |
Outlook UI(사용자 인터페이스)에 Outlook 암호화 아이콘을 표시합니다. |
||||||||
모든 전자 메일 메시지 암호화 |
보내는 전자 메일 메시지를 암호화합니다. |
||||||||
모든 S/MIME 서명 메시지에 레이블이 있는지 확인 |
모든 S/MIME 서명 메시지에 보안 레이블을 포함하도록 합니다. Outlook 2010에서는 전자 메일 메시지에 레이블을 첨부할 수 있습니다. 이렇게 하려면 옵션 탭의 기타 옵션 그룹에 있는 보안에서 보안 설정 단추를 클릭합니다. 다음으로, 보안 속성 대화 상자에서 이 메시지에 디지털 서명 추가를 선택합니다. 그런 다음 정책에 대한 보안 레이블에서 레이블을 선택합니다. |
||||||||
Fortezza 인증서 정책 |
인증서가 Fortezza 인증서임을 나타내는 인증서 정책 확장에 사용할 수 있는 정책 목록을 입력합니다. 각 정책을 세미콜론으로 구분하여 입력합니다. |
||||||||
메시지 형식 |
지원할 메시지 형식을 선택합니다. S/MIME(기본값), Exchange, Fortezza 또는 이러한 형식의 조합을 선택할 수 있습니다. |
||||||||
메시지를 디코딩할 디지털 ID를 찾을 수 없을 때 메시지 |
사용자에게 표시할 메시지를 입력합니다(최대 255자). |
||||||||
최소 암호화 설정 |
암호화된 전자 메일 메시지의 최소 키 길이로 설정합니다. 설정된 최소 암호화 키 값보다 낮은 암호화 키를 사용하여 메시지를 보내려고 하면 경고 메시지가 표시됩니다. 그러나 사용자는 여전히 경고 메시지를 무시하고 원래 선택한 암호화 키를 사용하여 메시지를 보낼 수 있습니다. |
||||||||
서명/암호화 메시지에 대한 회신 또는 전달도 서명/암호화 |
사용자가 S/MIME에 대해 구성되어 있지 않더라도 서명/암호화 메시지에 대한 회신 또는 전달도 서명/암호화를 설정합니다. |
||||||||
S/MIME으로 서명된 모든 메시지에 대한 S/MIME 확인 요청 |
서명된 보내는 전자 메일 메시지에 대해 보안이 강화된 확인을 요청합니다. |
||||||||
S/MIME 작업에 SuiteB 알고리즘 필요 |
S/MIME 작업에 Suite-B 알고리즘만 사용합니다. |
||||||||
필수 인증 기관 |
필수 CA(인증 기관)의 이름을 설정합니다. 값을 설정하면 Outlook에서는 사용자가 다른 CA의 인증서를 사용하여 전자 메일에 서명할 수 없도록 합니다. |
||||||||
FIPS 규격 모드에서 실행 |
Outlook을 FIPS 140-1 모드에서 실행해야 합니다. |
||||||||
외부 클라이언트와의 S/MIME 상호 운용성: |
S/MIME 메시지의 처리 동작을 지정합니다(내부적으로 처리, 외부적으로 처리 또는 가능하면 처리). |
||||||||
S/MIME 확인 요청 동작 |
S/MIME 확인 요청이 처리되는 방식에 대한 옵션을 지정합니다.
|
||||||||
서명된 모든 메시지를 서명된 일반 메시지로 보내기 |
서명된 전자 메일 메시지를 일반 텍스트로 보냅니다. |
||||||||
모든 전자 메일 메시지에 서명 |
모든 보내는 전자 메일 메시지에 디지털 서명을 사용해야 합니다. |
||||||||
서명 경고 |
사용자에게 서명 경고가 표시되는 경우에 대한 옵션을 지정합니다.
|
||||||||
S/MIME 인증서의 URL |
사용자가 S/MIME 확인을 받을 수 있는 URL을 제공합니다. 이 URL에는 세 개의 변수(%1, %2 및 %3)가 포함될 수 있으며 이러한 변수는 각각 사용자 이름, 전자 메일 주소 및 언어로 대체됩니다. S/MIME 인증서의 URL 값을 지정한 경우 다음 매개 변수를 사용하여 사용자에 대한 정보를 등록 웹 페이지로 보냅니다.
예를 들어 Microsoft 등록 웹 페이지로 사용자 정보를 보내려면 S/MIME 인증서의 URL 항목을 매개 변수를 포함하여 다음 값으로 설정합니다.
예를 들어 사용자 이름이 Jeff Smith이고 전자 메일 주소가 someone@example.com이며 사용자 인터페이스 언어 ID가 1033인 경우 자리 표시자는 다음과 같이 결정됩니다.
|
다음 표의 설정은 그룹 정책에서 사용자 구성\관리 템플릿\Microsoft Outlook 2010\Security\암호화\서명 상태 대화 상자에 있습니다. OCT 설정은 OCT 사용자 설정 수정 페이지의 해당 위치에 있습니다.
암호화 옵션 | 설명 |
---|---|
첨부 파일 보안 임시 폴더 |
보안 임시 파일 폴더의 폴더 경로를 지정합니다. 이 옵션은 기본 경로를 재정의하므로 사용하지 않는 것이 좋습니다. Outlook 첨부 파일에 대해 특정 폴더를 사용해야 하는 경우 다음과 같이 하는 것이 좋습니다.
|
누락된 CRL |
CRL(인증서 해지 목록)이 누락될 때의 Outlook 반응을 지정합니다. 경고(기본값)를 표시하거나 오류를 표시할 수 있습니다. 디지털 인증서에는 해당 CRL이 있는 위치를 보여 주는 특성이 포함되어 있습니다. CRL에는 인증서가 잘못 발행되었거나 연관된 개인 키가 손상되어 해당 통제 CA(인증 기관)에서 해지한 디지털 인증서 목록이 들어 있습니다. CRL이 누락되었거나 사용할 수 없는 상태인 경우 Outlook에서는 인증서의 해지 여부를 확인할 수 없습니다. 따라서 데이터에 액세스하기 위해 잘못 발행된 인증서 또는 손상된 인증서가 사용될 수 있습니다. |
누락된 루트 인증서 |
루트 인증서가 누락될 때의 Outlook 반응을 지정합니다. 경고와 오류를 모두 표시하지 않거나(기본값), 경고를 표시하거나, 오류를 표시할 수 있습니다. |
수준 2 오류를 경고가 아닌 오류로 수준 올리기 |
수준 2 오류에 대한 Outlook 반응을 지정합니다. 수준 2 오류가 되는 조건에는 다음이 포함됩니다.
|
CRL(인증서 해지 목록) 검색 |
CRL 목록이 검색될 때의 Outlook 동작을 지정합니다.
|
추가 암호화 설정 구성
다음 섹션에서는 암호화에 사용하는 구성 옵션에 대한 추가 정보를 제공합니다.
일반적인 암호화에 대한 보안 정책 설정
다음 표에서는 사용자 지정 구성에 사용할 수 있는 추가 Windows 레지스트리 설정을 보여 줍니다. 이러한 레지스트리 설정은 HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default에 있습니다. 해당하는 그룹 정책은 없습니디.
레지스트리 항목 | 유형 | 값 | 설명 |
---|---|---|---|
ShowWithMultiLabels |
DWORD |
0, 1 |
서명 계층의 서명마다 각기 다른 레이블이 설정된 경우 메시지를 표시하려면 0으로 설정하고, 메시지를 표시하지 않으려면 1로 설정합니다. 기본값은 0입니다. |
CertErrorWithLabel |
DWORD |
0, 1, 2 |
인증서 오류가 있는 메시지에 레이블이 있는 경우 해당 메시지를 처리하려면 0으로 설정하고, 인증서 오류가 있는 메시지에 대한 액세스를 거부하려면 1로 설정합니다. 메시지 레이블을 무시하고 메시지에 대한 액세스 권한을 부여하려면 2로 설정합니다. 인증서 오류는 여전히 표시됩니다. 기본값은 0입니다. |
See Also
Concepts
Outlook 2010의 보안 및 보호 계획
Office 2010의 보안 계획
Office 2010의 디지털 서명 설정 계획