정책 매핑 (Policy Mapping) — 상위 CA 정책과 하위 CA 정책 매핑

핵심 인사이트 (3줄 요약)

  1. 본질: 정책 매핑(Policy Mapping)은 공개키 기반 구조(PKI)에서 서로 독립적인 인증기관(CA, Certificate Authority) 간 교차 인증(Cross-Certification)을 수행할 때, 각 도메인의 인증서 정책(CP, Certificate Policy)을 서로 동등한 효력으로 매칭해 주는 X.509 v3 확장 메커니즘이다.
  2. 가치: A 회사의 '1등급 보안 정책'이 B 회사의 '보안 레벨 High'와 동일하다는 증명을 인증서 내부에 포팅함으로써, 물리적인 통합 절차 없이 수백만 유저와 서버 간 신뢰 체인(Trust Chain)을 이기종 PKI 환경에 유연하게 호환시킨다.
  3. 융합: 기업의 대규모 M&A 통합 환경 확장, 5G/IoT(사물인터넷) 인증 인프라, 그리고 국가 간 전자여권/공인인증서 상호 연동 연합(Federation) 아키텍처 하부망에서 필수 통신 규약으로 융합 적용된다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

  • 개념: X.509 표준 인증서에서 주체(Subject)가 인증서를 발급받기 위해 어떤 절차적/물리적 보안 심사 요건을 통과했는지 나타내는 고유 객체 식별자가 정책 OID(Object Identifier)다. 두 개의 독립된 CA가 신뢰 고리를 만들기 위해 엮일 때, 상위(또는 교차) CA의 정책 OID 하나가 발급 도메인 하위(또는 신뢰 대상) CA의 특정 정책 OID 하나(또는 다수)와 논리적으로 동일함(Equivalent)을 선언해 주는 인증서 확장 필드가 정책 매핑이다.

  • 필요성: 현대 기업 IT 인프라는 여러 지사와 합병 기업이 모인 복합 환경이다. 회사 '가'의 자체 인증서 CA망과 회사 '나'의 CA망을 연동할 때, '가' 회사의 인사 시스템에 '나' 직원의 스마트카드로 로그인하려 하면 "이 인증서 정책은 우리나라 정책과 다르다"라며 거부된다. 이 이질성을 해소하기 위해 "우리 A 정책은 너희 B 정책과 보안 레벨이 똑같아!"라고 인식시켜 주는 번역기가 반드시 필요하다.

  • 💡 비유: 정책 매핑은 두 국가 간의 "운전면허증 상호 인정 협정" 과 같다. 한국의 '1종 보통 면허(A 정책)' 소지자가 미국(교차 CA)에서 운전하려 할 때, 미국 경찰 시스템은 이것이 미국 기준 'Class C 면허(B 정책)'와 요구되는 시험 난이도(보안)가 동등하다고 맵핑표를 참조함으로써 합법적 운전(접근 허가)을 승인한다.

  • 등장 배경: X.509 v1, v2에서는 식별자와 서명값만 검증(단일 계층형 신뢰)했지만 인터넷 규모의 B2B 거래망이 폭주하면서 피라미드식 단일 루트 CA 구조는 불가능해졌다. 독립된 PKI 섬도 서로 연결해(브릿지 PKI) 상호 신뢰를 구축하려는 과정에서 v3 확장판 설계의 핵심 솔루션으로 정책 계층 간의 수평/수직 매핑 표준이 확립되었다.

  • 📢 섹션 요약 비유: 각기 다른 언어(보안 정책)를 쓰는 나라(CA)끼리 서로 교역(통신)하기 위해, "우리나라의 '금화'는 너희 나라의 '은화 10닢'과 동등한 가치야!"라고 적어놓은 외환 환율 보증 문서와 같습니다.

Ⅱ. 매핑 구조 메커니즘 및 확장 아키텍처 (Deep Dive)

Policy Mapping 의 동작 원리 및 평가 흐름

PKI 클라이언트(웹 브라우저 시스템 등)가 인증서(End-Entity)의 체인을 따라 루트 CA까지 검증해 나갈 때, 체인 중간의 '교차 인증서(Cross Certificate)'에 내장된 매핑 확장을 인식하고 트리 평가 변환기(Path Validation)를 우회한다.

  ┌─────────────────────────────────────────────────────────────────┐
  │                 PKI 도메인 교차 인증 시 정책 매핑 도식도             │
  ├─────────────────────────────────────────────────────────────────┤
  │                                                                 │
  │  [ 도메인 A (Issuer Domain) ]        [ 도메인 B (Subject Domain) ]   │
  │     Root CA-A                          Root CA-B                │
  │       (정책: HighSecurity_OID)          (정책: TopSecret_OID)       │
  │           │                                  │                  │
  │           ▼             교차 인증서 발급           ▼                  │
  │                                                                 │
  │   CA-A 가 CA-B를 위한 크로스 인증서를 발급 시 확장 필드(Extension)에 추가  │
  │     ┌────────────────────────────────────────────────────┐      │
  │     │ X.509 v3 Extension: Policy Mappings                │      │
  │     │ ────────────────────────────────────────────────── │      │
  │     │   Issuer Domain Policy (CA-A) : HighSecurity_OID   │      │
  │     │     ↕ (Equivalent To)                                │      │
  │     │   Subject Domain Policy (CA-B): TopSecret_OID      │      │
  │     └────────────────────────────────────────────────────┘      │
  │                                  │                              │
  │                                  ▼                              │
  │                            End-Entity (철수)                     │
  │                       (발급 정책: TopSecret_OID)                   │
  │                                                                 │
  │  ▶ 철수가 '도메인 A'의 서비스 접속 시 평가 (Path Validation)         │
  │   1. 도메인 A 시스템은 철수의 인증서 정책(TopSecret_OID)을 처음 봄.       │
  │   2. 알 수 없는 정책 반환? (거부 오류!)                               │
  │   3. [해결] 중간의 Policy Mappings 필드를 만남.                     │
  │   4. "아, TopSecret_OID는 우리 쪽 HighSecurity_OID와 똑같구나!" 승인!  │
  └─────────────────────────────────────────────────────────────────┘

[다이어그램 해설] 클라이언트 인증서 검증(Path Construction & Validation) 아키텍처 상 이질적인 두 신뢰 고리가 연결되는 '브릿지(교차 인증서)' 구간에 매핑 테이블(Policy Mappings)이 명시적으로 삽입된다. 이 구조의 묘미는, 철수의 하위 인증서 데이터베이스 레포지토리를 변조할 필요 없이 단 한 장의 브리지(Bridge) CA 계층 인증서 확장값만 수정하면 도메인 B 하위의 10만 명 사용자가 도메인 A 인프라에 접근 가능해지는 강력한 오프로딩(Off-loading) 통제성을 갖는다는 것이다.

주요 제약(Constraint) 컨트롤러

단순 매핑만 남용할 경우, 악의적인 해킹이나 보증 수준이 낮은 하위 기관이 무한정 신뢰를 복제하는 신뢰 피라미드 붕괴를 맞는다. 그래서 X.509는 강제 제약 조건을 함께 둔다.

  • inhibitPolicyMapping (매핑 금지 확장): 어느 특정 깊이(Path Length)부터는 "여기서부터 발급받은 인증서는 그 어떤 맵핑도 금지한다"라고 최상위 루트 CA가 강제로 차단하는 안전핀.
  • requireExplicitPolicy: 인증 경로상의 모든 인증서들이 특정 정책 식별자를 반드시 일치시켜야만 유효함을 강제하여 우회 접속을 금지.

Ⅲ. 산업 프레임워크 융합 및 실무 비교

비교 분류수직적 신뢰 체인 (계층형 PKI)수평적 신뢰 연합 (교차 인증 + 정책 매핑)
신뢰의 기점단일(1개) Root CA가 모든 것을 보증독립된 복수의 Root CA 연맹 (Bridge CA)
정책 식별성상위 OID를 하위가 그대로 상속하여 단일화됨CA마다 독자 OID 배포 (정책 매핑 필수 삽입)
권한 유연성타 도메인에 권한 위임 절대 불가 (사일로)타사와의 권한, 보안 등급 상호 타협 및 동등성 보장
장애 전파 범위루트 공격 시 피라미드 하위 전멸브리지 인증 취소로 도메인 간 피해 전파 1초 컷오프

현대 MFA(Multi-Factor Authentication) 및 제로 트러스트(Zero Trust Architecture) 시스템 관점에서, 정책 매핑 논리는 기업의 IAM (Identity Access Management) 시스템에서 SAML이나 OAuth를 통해 타사 직원의 식별자를 연동해주는 프로비저닝 로직 백그라운드망의 원시적/물리적 하드웨어 상호 연동 표준이 되는 것이다.

Ⅳ. 실무 적용 시나리오 및 기술사적 판단 고려사항

실무 안티패턴 및 장애 요인

국내 대기업 A가 핀테크 스타트업 B를 인수했다. 합병 후 "내일부터 당장 메일 시스템망 같이 씁시다."라고 경영진이 통보. B사의 사설 CA(인증 보안 지침 최하) 루트 증명서를 A사 루트 CA의 브리지에 '기본 인증(기본 OID)'으로 정책 매핑했다 확신했지만, 인가된 B사 직원의 계정 패스워드가 탈취되어 1시간 만에 A사의 최고 보안 인트라넷까지 무혈입성 돌파를 허용해 버린 해킹 재앙 사건.

설계 아키텍트 통제 지침 (Governance)

  • 비대칭 정책 타워 설계 (Downgrade Mapping): 정책은 1:1 교환의 대상이 아니다. B회사의 '최상위 정책'이라 할지라도 우리 회사가 봤을 때 보안 레벨이 낮다면, 매핑 시 우리 회사의 '일반/제한적 정책'으로 다운그레이드 맵핑 하는 위협 회피 모델을 적용해야 한다. 즉, B회사 사장이 와도 A회사 시스템에선 손님용 Guest 인증서 OID로 하향 치환되도록 제약해야 신뢰 체인 전염을 막을 수 있다.

  • 무제한 확산을 막는 Path Length Constraint (경로 확장 제한): B회사가 멋대로 발급한 하위 CA C회사가 인증 체인을 또 타고 들어오지 못하도록 교차 인증 브릿지 구간에서 PathLen=0 옵션을 걸어 C부터는 체인 유효성 평가가 거부되도록 하드 블락(Hard Block) 해야 한다.

  • 📢 섹션 요약 비유: 이웃 마을(다른 루트CA)과 다리를 놔서 왕래하는 건 좋지만, 무작정 "너희 마을 촌장님 허가증은 우리 마을 시장님 패스패드로 인정해줄게!(잘못된 매핑)"라고 문을 다 개방하면, 이웃 마을 도적까지 프리패스하게 되는 대성통곡할 인프라 사고가 일어납니다. 철저한 방문자 동선 다운그레이드가 필요합니다.

Ⅴ. 기술사 결론 및 전망 예측

X.509 v3 인증서와 OID, Policy Mapping은 과거 액티브X 방식의 공인인증서 시절에만 중요했던 유물(Legacy)이 아니다. 인터넷 오브 띵스(IoT), 커넥티드 카(V2X), 도심항공교통(UAM) 등 초거대 분산 단말기 시대에 접어들며 상호 통신의 거대 기축망이 되고 있다.

  1. 글로벌 자동차 연합(V2X)의 Bridge CA: 현대차, 토요타, 포드 차가 고속도로를 달릴 때 서로 추돌 방지 통신(V2V) 서명을 주고받는다. 이때 각 제조사별 자체 Root CA로 발행된 자동차 인증서 정책을 수천 분의 1초 만에 상호 인증 가능한 이유가 바로 최상단에 국제 ITS(지능형 교통 체계)에서 규정한 교차 인증-정책 매핑 허브가 탑재되어 작동하기 때문이다.
  2. 분산 신원 증명(DID) 블록체인과의 패러다임 결합: 향후 중앙화된 루트 CA 체제 중심의 정책 매핑 구조는, 블록체인 스마트 컨트랙트 분산 원장에 정책 해시가 보관되는 DID (Decentralized Identity) 체계와 하이브리드 결합하면서, 인증서 폐기 목록(CRL) 병목 검사 및 정책 OID 동기화 오버헤드가 스마트 컨트랙트 판별 체제로 경량화되는 넥스트 PKI 표준으로 거듭날 것이다.

📌 관련 개념 맵 (Knowledge Graph)

개념 명칭관계 및 시너지 설명
X.509 v3 Extension확장 필드의 표준 아키텍처 바운더리로, 정책 매핑, 키 융도, 주체 대체 이름(SAN) 기능들의 그릇과 같다.
Bridge CA (브릿지 인증기관)거대 기업이나 국가 간 단일 루트를 합의하지 못할 때 십자가의 교차로(허브)에 세워 수십 개의 매핑을 총괄 중계하는 구조체다.
CRL (Certificate Revocation List)맵핑된 보안 정책이 우수한데 해당 교차 대상 기관의 해킹으로 CRL 검사가 늦어져 폐기된 인증이 우회되는 등 보안 종속의 맹점이 연결된다.
인증서 경로 검증 알고리즘RFC 5280에서 정의한 단말기 클라이언트 시스템의 코드 로직 원리로, 내장된 정책 매핑 테이블을 훑으며 유효 트리를 판독하는 엔진이다.
OID (Object Identifier)1.2.410.100... 과 같은 고유 국제 번호로 통신 상에서 스트링 비교 시간을 최적화하기 위해 트리 구조로 만든 고유 디지털 민증 번호계다.

👶 어린이를 위한 3줄 비유 설명

  1. 게임 마을 A의 길드장(CA)과 게임 마을 B의 길드장이 서로 놀러갈 수 있게 무지개 다리(교차 인증)를 놓았어요!
  2. 그런데 마을마다 통행증 종류가 달라서 "우리 마을의 VVIP 골드 카드는 너희 마을의 실버 카드랑 똑같은 걸로 쳐주자!"라고 문서로 계약서를 썼어요.
  3. 이 룰(정책 매핑) 덕분에, 경비병 아저씨는 처음 보는 다른 마을 통행증을 봐도 계약서 목록을 보고 "앗 입장 가능하군요!" 하고 문을 부드럽게 열어준답니다.