676. PKI (Public Key Infrastructure) 공개키 기반 구조 시스템

핵심 인사이트: 전자서명(675번)의 완벽한 맹점. 해커가 가짜 '네이버 공개키'를 인터넷에 뿌려놓고 자기가 네이버인 척 서명을 하면 사용자는 감쪽같이 속아 넘어간다. "이 공개키 주인이 진짜 네이버가 맞는지 국가가 대신 보증 서줄게!" 이것이 바로 디지털 세계의 동사무소(인감증명 발급소) 역할을 하며 HTTPS 웹서핑을 안전하게 지탱해 주는 거대한 신뢰의 피라미드, PKI다.

Ⅰ. PKI의 개념과 등장 배경 (공개키의 맹점 극복)

  • 비대칭키의 약점: 공개키 암호학(RSA)은 너무 훌륭하지만, 인터넷에 떠도는 수많은 공개키가 "진짜 그 사람의 공개키인지, 아니면 해커가 파놓은 가짜(Spoofing) 공개키인지" 확신할 방법이 없었습니다. (중간자 공격 취약)
  • PKI (공개키 기반 구조): 이 딜레마를 깨기 위해, 절대적으로 믿을 수 있는 **제3의 공인된 기관(신뢰할 수 있는 기관, TTP)**을 십자가처럼 세워두고, 그 기관이 "이 공개키의 주인은 진짜 네이버닷컴(naver.com)이 확실합니다"라고 **디지털 인증서(X.509)**에 강력한 전자 도장을 찍어 보증(Binding)해 주는 전 세계적인 보안 인프라 체계입니다.

Ⅱ. PKI를 떠받치는 4대 핵심 구성 요소 🌟

이 거대한 신뢰의 생태계는 4개의 기관/요소로 철저히 분업화되어 돌아갑니다. (상세 내용은 677, 678번 문서 참조)

  1. CA (Certificate Authority, 인증 기관):
    • PKI의 최상위 대장이자 신의 직장입니다. 인증서를 최종적으로 발급해주고 자신의 빨간색 마스터 도장(개인키 서명)을 쾅 찍어주는 곳입니다. (예: DigiCert, Let's Encrypt, 한국의 금융결제원)
  2. RA (Registration Authority, 등록 기관):
    • CA가 바빠서 고객을 다 못 만나니, 동네 은행이나 우체국 창구에 세워둔 대리점입니다. 진짜 홍길동이 맞는지 신분증을 대면으로 깐깐하게 심사한 뒤 통과 서류를 CA로 올려보냅니다.
  3. Repository (저장소 / 디렉터리):
    • 발급된 모든 사용자의 인증서와 공개키 목록, 그리고 **"해킹당해서 폐기된 인증서 블랙리스트(CRL)"**를 누구나 24시간 조회할 수 있게 열어둔 거대한 공개 DB 서버(주로 LDAP 프로토콜 사용)입니다.
  4. 사용자 (Entity / Subscriber):
    • 인증서를 돈 주고 발급받는 웹 서버(네이버 등)나 우리 같은 일반 인터넷 이용자입니다.

Ⅲ. 신뢰의 사슬 (Chain of Trust) - 구조적 특징 🌟

PKI는 피라미드 다단계처럼 꼬리에 꼬리를 무는 보증 시스템입니다.

  • 내 컴퓨터(웹 브라우저) 안에는 크롬이나 윈도우를 깔 때부터 이미 전 세계 1티어 대장 기관(Root CA, 예: DigiCert)들의 공개키가 하드코딩으로 내장되어 있습니다(무조건 맹신함).
  • 내가 네이버에 접속하면 네이버는 자신의 인증서를 던져줍니다. 내 컴퓨터는 "어? 이 인증서 발급자가 하위 CA 기관이네? 이 하위 CA 기관의 인증서는 대장 Root CA가 도장 찍어 보증했네?"라며 사다리를 타고 올라가 뿌리(Root)에 도달하면, "대장이 보증한 놈의 부하니까 네이버도 진짜구나!"라고 완벽히 믿게 됩니다.

Ⅳ. 실생활 활용 사례

  • HTTPS (SSL/TLS 통신): 여러분이 웹사이트에 접속할 때 브라우저 주소창에 자물쇠 마크가 뜨는 이유는, 여러분의 브라우저가 PKI 시스템을 통해 해당 웹 서버의 인증서를 검증하고 진짜임(Spoofing 아님)을 확인했기 때문입니다.
  • 과거 연말정산과 은행 이체에 썼던 공인인증서(현재 공동인증서) 제도가 바로 국가 주도로 구축했던 완벽한 PKI 시스템의 대표작입니다.

📢 섹션 요약 비유: PKI는 대한민국의 '인감증명서 발급 시스템'과 똑같습니다. 모르는 사람(네이버)이 나타나 자기 도장(공개키)을 찍으라며 서류를 내밀면 절대 믿을 수 없습니다. 그래서 네이버는 미리 동사무소 대리점(RA)에 가서 신분증을 내고 심사를 받은 뒤, 구청장(CA)의 직인이 쾅 찍힌 국가 공인 인감증명서(X.509 인증서)를 받아옵니다. 이제 네이버가 서류와 함께 이 증명서를 보여주면, 나는 구청장의 직인만 쓱 확인하고 1초 만에 "진짜 네이버 도장이 맞군!" 하고 안심하고 부동산(데이터) 거래를 시작할 수 있습니다.