984. PKI 공개키 인프라 - Public Key Infrastructure 비대칭키 전자 서명 공인 인증서 체계 CA RA 구조망 보안 통신 신뢰 체제

핵심 인사이트: 937번 하이브리드 암호에서, 서버가 브라우저한테 자물쇠(공개키)를 택배로 휙 던져준다고 했다. 근데 엄청난 허점이 있다! 네이버 서버가 던진 자물쇠를 중간에 해커가 낚아채서 쓰레기통에 버리고, **'해커가 만든 짝퉁 자물쇠'**를 내 브라우저에 대신 던져준다면? 내 폰은 네이버 건 줄 알고 짝퉁 자물쇠로 비밀번호를 잠가서 보내고, 해커는 자기 열쇠로 그걸 열어 돈을 다 털어간다(중간자 공격). "야! 인터넷에서 아무 자물쇠나 넙죽넙죽 받지 마! 이 자물쇠가 진짜 네이버 것이 맞는지, '국가나 우체국(신뢰할 수 있는 제3자)'이 보증하는 도장을 쾅 찍어달라고 해!" 전 세계 인터넷의 자물쇠를 심사하고 도장 찍어주는 거대한 관공서 인프라, PKI다.

Ⅰ. 공개키(비대칭키) 암호의 치명적 결함 🌟

  • 공개키 암호 자체는 완벽합니다. 문제는 "내가 지금 인터넷에서 다운받은 저 공개키(자물쇠)가, 진짜 국민은행의 공개키인지 해커가 만든 가짜인지" 증명할 방법이 물리적으로 없다는 점입니다 (인증 부재).
  • 이를 악용해 해커가 중간에서 가짜 공개키를 던져주고 트래픽을 다 털어먹는 해킹 기법을 **중간자 공격 (MITM, Man-In-The-Middle Attack)**이라고 합니다.

Ⅱ. PKI (Public Key Infrastructure)의 개념

  • 개념: 이 가짜 자물쇠 사기극을 막기 위해, 인터넷상에서 사용되는 '공개키(Public Key)'가 실제 그 사람(또는 서버)의 것이 맞음을 제3의 국가 공인 신뢰 기관이 전자서명으로 보증해 주는(인증서 발급) 거대한 정책, 하드웨어, 소프트웨어의 총체적 인프라 체계입니다.

Ⅲ. PKI의 3대 핵심 구성 요소 🌟 (시험 단골)

PKI는 하나의 거대한 동사무소(관공서) 3총사로 이루어져 있습니다.

1. CA (Certificate Authority, 인증 기관) - "최종 도장 쾅! 찍어주는 구청장"

  • 핵심 역할: PKI의 심장입니다. 심사가 끝난 자물쇠(공개키)에 CA 기관의 막강한 개인키(마스터키)를 써서 '전자 서명 도장'을 쾅 찍어 진짜배기 '공인 인증서(X.509)'를 뚝딱 발급해 주는 최종 보스입니다. (한국의 KISA, 금융결제원, 글로벌 기업인 VeriSign, Let's Encrypt 등)

2. RA (Registration Authority, 등록 기관) - "신분증 검사하는 말단 공무원"

  • 역할: 구청장이 전 국민을 다 상대할 순 없으니, 앞에 접수 창구를 세워둔 것입니다. 사용자가 "저 인증서 만들어주세요" 오면, 대면으로 **주민등록증과 얼굴을 확인하고 신원 심사(접수 및 검증)**만 한 뒤, CA 구청장에게 "이 사람 진짜 맞습니다. 도장 찍어주십쇼!" 하고 서류를 넘겨줍니다.

3. 디렉토리 (Directory) - "인증서 공개 게시판"

  • 역할: 발급된 인증서들을 모아두는 거대한 도서관(LDAP 서버 등)입니다. 누군가 인증서를 분실하거나 해킹당하면, 이 게시판에 CRL (인증서 폐기 목록, 블랙리스트) 딱지를 붙여서 전 세계에 "저놈 인증서 털렸으니 이제 믿지 마!"라고 실시간 알람을 때립니다.

Ⅳ. 브라우저의 PKI 인증서 검증 마법 🌟

내 크롬(Chrome) 브라우저가 네이버 접속 시 가짜를 튕겨내는 과정입니다.

  1. 네이버 서버가 브라우저에게 "내 인증서 덩어리 받아라!" 하고 던집니다.
  2. 브라우저는 윈도우 OS나 애플 OS를 깔 때 태생부터 뱃속에 미리 깔려 있는 '전 세계 1짱 CA 구청장들의 공개키(마스터 자물쇠 해제키)' 명단을 꺼냅니다.
  3. 브라우저가 자기 뱃속에 있는 CA 구청장의 키로 네이버 인증서에 찍힌 'CA의 도장(전자서명)'을 긁어봅니다.
  4. 기적: 해커가 네이버 인증서를 위조했다면 구청장 도장이 찌그러져서 검증 시 "위험한 사이트입니다(빨간 화면)!"라며 접속을 강제 차단합니다. 도장이 100% 깨끗하게 풀려야만(무결성 통과) 자물쇠 색깔이 초록색(HTTPS)으로 빛나며 통신이 시작됩니다.

📢 섹션 요약 비유: 공개키(자물쇠) 통신은 집주인(서버)이 배달부(브라우저)에게 '잠금 해제된 자물쇠'를 택배로 휙 던져주는 방식입니다. 배달부가 짐을 쌀 때 도둑(해커)이 자기 자물쇠를 대신 던져주면 도둑에게 짐을 뺏깁니다(중간자 공격). **PKI(공개키 인프라)**는 국가가 세운 **'자물쇠 정품 인증소(CA/RA)'**입니다. 이제 집주인은 자물쇠를 그냥 던지지 않고 무조건 인증소(CA)에 들러 심사(RA)를 받고, 자물쇠 겉면에 **'국가 공인 홀로그램 스티커(전자서명)'**를 붙여서(인증서 발급) 던져야 합니다. 배달부(내 스마트폰 브라우저)는 짐을 담기 전에 무조건 가져온 홀로그램 판독기로 그 자물쇠의 스티커를 비춰봅니다. 도둑이 시장에서 사 온 짝퉁 자물쇠엔 국새(CA 서명)가 없기 때문에 1초 만에 사기꾼임이 뽀록나고 현장에서 수갑을 차게 되는 전 지구적 신뢰 보증 시스템입니다.