1. 개요
1.1. 배경 및 목적
1.1.1. 준칙의 배경 및 목적
SK텔레콤 주식회사, 주식회사 케이티, 주식회사 엘지유플러스(이하 “통신사”이라 한다)와 주식회사 에이티솔루션즈(이하 “ATON”라 한다)가 공동(이하 “회사”라 한다)으로 제공하는 인터넷 등 개방형 정보통신망을 이용하여 처리하는 전자문서의 안전 및 신뢰성을 확보하기 위하여 “PASS 인증서비스”에 이용되는 PASS인증서업무와 관련하여 당사자의 책임과 의무에 관한 사항을 정함을 목적으로 합니다.
1.1.2. PASS인증서 전자서명인증체계 소개
PASS인증서 정책의 수립, 시행 및 감독, 최상위인증기관·인증기관을 담당하는 PASS인증서 전자서명인증체계가 구성되어 있습니다.
PASS인증서 전자서명을 안전하고 신뢰성 있게 이용할 수 있는 환경을 조성하고 PASS인증서 서비스를 효율적으로 관리하기 위하여 PASS인증서 인증플랫폼을 운영하고 있습니다.
1.1.3. PASS인증서의 정의 및 효력
1.1.3.1 정의
PASS인증서란 사설인증기관인 회사가 발급하는 것으로, 전자서명생성정보가 이용자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
회사는 이용자가 PASS인증서 신청 시 통신사의 이용자정보와 일치함을 확인한 후, 이용자가 제출한 전자서명검증정보와 관련정보에 회사의 전자서명생성키로 전자서명한 PASS인증서를 발급합니다. 따라서 동 PASS인증서에 기재된 사실은 이용자의 발급신청 당시를 기준으로 하는 것이며, 이용자의 신용, 이용자 관련정보의 불변성 등을 보장하지 않습니다.
1.1.3.2 효력
PASS인증서는 전자서명법에 의거하여 법적 효력을 인정받았습니다(제3조).
다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 PASS인증서 전자서명이 있는 때에는 이를 충족한 것으로 본다.
전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정한다.
회사가 발급한 PASS인증서는 PASS인증서의 효력 소멸 등의 사유가 발생하는 경우를 제외하고는 효력을 인정받으며, 소멸 등의 사유가 발생하는 경우 당해 PASS인증서의 효력은 소멸 또는 정지됩니다.
1.1.3.3 이용범위 및 제한
회사가 발급한 PASS인증서는 전자거래에 사용할 수 있습니다. 앞의 전자거래에서의 PASS인증서 사용은 정당한 권한을 가진 이용자가 PASS인증서의 발급용도에 맞게 PASS인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우나 PASS인증서업무 관련 보안상의 우려가 있는 경우 회사는 기발급된 PASS인증서의 사용을 제한할 수 있습니다.
1.2. 준칙의 명칭
본 준칙은 “통신사 PASS인증서 업무준칙”이라 합니다.
1.3. PASS인증서 전자서명인증체계 관련자
PASS인증서 전자서명인증체계 관리자는 안전하고 신뢰할 수 있는 전자서명 PASS인증서의 발급·이용·관리를 위하여 신의성실로 상호 협조해야 합니다.
1.3.1. ATON
ATON은 전자서명 인증관리체계의 안정성·신뢰성 있는 운영을 위한 정책·감독 및 PASS인증서기관으로서 다음의 업무를 수행합니다.
- PASS인증서 정책 및 서비스 기획 업무
- PASS인증서 발급 및 삭제관리에 관한 관리/감독 업무
- PASS인증서 인증서 유효성 검증, 기기검증, 전자서명 검증 업무에 관한 관리/감독 업무
- PASS인증서 요청관리 업무(인증서 발급/삭제 요청 관리, 인증서 만료 알림 요청 관리, 검증 요청 관리)
- PASS인증서 서비스 관리 업무(간편 서명, 간편 등기, 간편 인증 등)
- PASS인증서 Push 메시지 전송관리
- PASS인증서 플랫폼 포털 구축 및 운영 업무(플랫폼 관리, 인증서 서비스 관리, 통계 및 정산정보 관리, 사이트 관리 등)
- PASS인증서 이용요청 Push, SMS/MMS 발송
- 통신사 및 대행사와의 계약 및 정산업무
- 기타 PASS인증서기관으로서 필요하다고 인정되는 업무
1.3.2. 통신사
통신사는 이용자에게 다음과 같은 PASS인증서비스를 제공합니다.
- PASS인증서비스 제공과 관련한 이용자 신원확인 업무
- PASS인증서 발급 신청(신규, 재발급)
- PASS인증서 삭제 신청(삭제, 효력정지, 효력회복)
- PASS인증서 관련 정보 공고
- PASS인증서 인증 이용내역 관련 정보 공고
- PASS인증서 대기중인 인증요청 내용관련 정보 공고
- PASS인증서 이용요청 Push, SMS/MMS 발송
- 기타 PASS인증서 플랫폼 제공사로서 필요하다고 인정되는 업무
1.3.3. 한국정보인증
한국정보인증은 다음의 업무를 수행합니다.
- PASS인증서 발급/삭제를 위한 시스템 개발 및 운영 업무
- PASS인증서 인증서 유효성 검증, 기기검증, 전자서명 검증을 위한 시스템 개발 및 운영 업무
- PASS인증서 스마트폰 단말 라이브러리 개발 및 운영 업무
- PASS인증서를 위한 ATON 인증 플랫폼과의 서비스 업무 연동
- 이용기관에 제공할 전자서명 검증 모듈의 개발 및 운영 업무
- 기타 PASS인증서 발급/삭제 관리 기관으로서 필요하다고 인정되는 업무
1.3.4. 대행사
대행사는 다음의 업무를 수행합니다.
- 이용기관과의 PASS인증서 제공 계약
- PASS인증서를 위한 이용기관과 ATON와의 서비스 중계업무
- 이용기관과 ATON와의 통계 및 정산업무
- 기타 대행사로서 필요하다고 인정되는 업무
1.3.5. 이용기관
이용기관은 회사가 발급한 PASS인증서를 이용하여 이용자의 전자서명생성정보와 전자서명검증정보의 합치 여부를 확인하는 자를 말하며, 다음의 업무를 수행합니다.
- PASS인증서 이용을 위한 서비스 연동 개발업무
- 대행사와의 계약 및 정산 업무
- 기타 이용기관으로서 필요하다고 인정되는 업무
1.3.6. 이용자
이용자는 회사로부터 PASS인증서를 발급받은 자(발급받으려는 가입신청자를 포함)를 말합니다.
이용자는 개인 및 법인/단체 모두 가능합니다.
1.3.7. 회사의 의무
1.3.7.1 정확한 정보 제공
회사는 이용자 및 이용자에게 PASS인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 통신사 PASS인증 플랫폼 및 PASS인증서 홈페이지(http://www.passauth.co.kr) 또는 회사의 디렉토리시스템에 공고하여 그 사실을 확인할 수 있도록 합니다.
- PASS인증서업무 휴지·정지 또는 폐기
- PASS인증서 업무의 양도/양수/합병
- 준칙
- PASS인증서에 대한 정보 : 이용자 PASS인증서, 이용자 이용내역
- 기타 PASS인증서업무 수행관련 정보 등
1.3.7.2 전자서명생성정보의 보호
회사는 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 회사 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
1.3.7.3 전자서명생성정보 사용의 제한
회사는 PASS인증서업무를 제공함에 있어서 전자서명검증정보에 합치하는 전자서명생성정보를 사용합니다.
1.3.7.4 전자서명생성정보 안전조치
회사는 전자서명생성정보의 분실·훼손 또는 도난·유출 등 PASS인증서의 신뢰성이나 유효성에 미치는 사유가 발생한 사실을 인지하는 경우 이용자에게 이를 통보하며 필요한 경우 당해 전자서명생성정보로 발급한 이용자의 PASS인증서를 폐기합니다.
회사는 PASS인증서업무의 신뢰성 및 유효성을 확보할 수 있는 대책을 강구합니다.
1.3.7.5 신원확인
회사는 이용자의 실지명의를 확인하며, 관련 서류를 징구할 수 있습니다.
1.3.7.6 배상책임
회사는 전자서명법령 및 PASS인증서 업무 준칙과 회사의 규정을 위반하거나 PASS인증서 이용자의 신원확인 오류 등으로 이용자 또는 이용자에게 발생한 손해에 대하여 배상할 책임이 있습니다.
1.3.8. 한국정보인증의 의무
1.3.8.1 정확한 정보 제공
한국정보인증은 이용자 및 이용자에게 PASS인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 통신사 PASS인증 플랫폼 및 PASS인증서 홈페이지(http://www.passauth.co.kr) 에 공고하여 그 사실을 확인할 수 있도록 합니다.
- PASS인증서 발급/재발급 또는 폐기 업무
- PASS인증서 검증관리(인증서 유효성 검증, 기기 검증, 전자서명 검증)
- 기타 PASS인증서업무 수행관련 정보 등
1.3.8.2 전자서명생성정보의 보호
한국정보인증은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 회사 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
1.3.8.3 전자서명생성정보 사용의 제한
한국정보인증은 PASS인증서 업무를 제공함에 있어서 전자서명검증정보에 합치하는 전자서명생성정보를 사용합니다.
1.3.8.4 전자서명생성정보 안전조치
한국정보인증은 전자서명생성정보의 분실·훼손 또는 도난·유출 등 PASS인증서의 신뢰성이나 유효성에 미치는 사유가 발생한 사실을 인지하는 경우 회사와 이용자에게 이를 통보하며 필요한 경우 당해 전자서명생성정보로 발급한 이용자의 PASS인증서를 폐기합니다.
한국정보인증은 PASS인증서업무의 신뢰성 및 유효성을 확보할 수 있는 대책을 강구합니다.
1.3.8.5 배상책임
회사는 전자서명법령 및 PASS인증서 업무 준칙과 한국정보인증의 규정을 위반하거나 PASS인증서 이용자의 발급/재발급/폐기 관리 및 검증 관리 등으로 이용자 또는 이용자에게 발생한 손해에 대하여 배상할 책임이 있습니다.
1.3.9. 이용자의 의무
1.3.9.1 정확한 정보 제공
이용자는 다음사항에 대하여는 정확한 정보를 회사에 제공하여야 합니다. 아울러 신원확인을 위하여 관련 서류를 요청하는 경우 이용자는 성실히 협조하여야 합니다.
- PASS인증서 발급 신청
- PASS인증서 재발급 신청
- PASS인증서 효력정지, 효력회복, 폐기 신청
- 이용자정보 변경 등
1.3.9.2 PASS인증서의 합목적적 사용
이용자는 정당한 용도 및 제한(제한이 따르는 경우)에 맞게 PASS인증서를 사용하여야 합니다. 그리고, PASS인증서를 사용하여 전자서명을 제공할 때에는, 당해 PASS인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
1.3.9.3 전자서명생성정보의 보호
이용자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
효력정지기간 중에도 이용자가 전자서명생성정보를 보유하는 동안에는 전자서명생성정보를 안전하게 보관·관리하여야 하며 보유를 원치 않을 경우에는 저장된 모든 전자서명생성정보를 완전히 삭제하여야 합니다.
이용자의 전자서명생성정보 보호의무 위반으로 인한 결과의 책임은 전적으로 이용자에게 있습니다.
1.3.9.4 전자서명생성정보 안전조치
이용자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우 지체 없이 회사가 당해 PASS인증서를 폐기할 수 있도록 협조하여야 합니다.
1.3.9.5 회사의 면책보장
이용자는 PASS인증서 사용과 공개에 있어 다음의 사유로 인하여 발생되는 모든 책임과 비용에 대하여는 회사의 면책을 보장합니다. 본 의무는 이용자의 PASS인증서업무 신청을 접수한 때부터 시작되며 PASS인증서 만료(폐기 포함) 후 10년 동안 지속됩니다.
- 이용자가 그릇되게 제공한 정보
- 이용자가 태만 또는 고의로 제공하지 않은 변경된 정보
- 이용자의 전자서명생성정보 관리 부주의(정보 노출, 분실, 변조 등)
1.3.9.6 배상책임
이용자는 PASS인증서 사용과 관련하여 이용자의 고의 또는 과실로 회사에게 손해를 입힌 경우 회사에게 그 손해를 배상해야 합니다.
1.3.10. 이용기관의 의무
1.3.10.1 PASS인증서의 사용목적 이해
이용기관은 회사가 이용자에게 발급한 PASS인증서의 이용목적 및 이용가능 범위(제한 포함)를 이해하여야 합니다. 이용기관의 과실로 인한 손해는 전적으로 이용기관의 책임입니다.
1.3.10.2 PASS인증서의 서비스를 위한 인증 요청한 기재정보 확인
이용기관은 PASS인증서 서비스를 위해 인증 요청한 기재사항 등에 의하여 PASS인증서 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취하여야 합니다.
- PASS인증서 서비스를 위한 인증 요청한 기재정보의 유효성 확인
- PASS인증서 이용하려는 자의 신원 확인
- PASS인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항에 대한 확인
- 이용자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항에 대한 확인
1.3.10.3 배상책임
이용기관은 PASS인증서 사용과 관련하여 이용기관의 고의 또는 과실로 회사 또는 이용자에게 손해를 입힌 경우 회사 또는 이용자에게 그 손해를 배상해야 합니다.
1.4. 준칙의 관리
1.4.1 준칙 관리부서 및 연락처
- 관리부서 : PASS인증서 담당부서
- 전자우편 : passhelp@atoncorp.com
- 주소 : 서울시 영등포구 여의대로 108 파크원타워1 26층
- 전화 : 1800-4273, 02-786-4273
- 팩스 : 02-786-4274
1.4.2 준칙의 개정
회사는 PASS인증서 업무 개선을 위하여 정책의 변경이 필요하다고 판단한 경우 이를 개정할 수 있습니다.
본 준칙의 제·개정권자는 회사입니다.
회사는 준칙이 제·개정된 경우 다음의 내용을 포함한 준칙의 제·개정 관련 기록을 유지·관리하여야 합니다.
- 준칙 버전
- 적용 업무 및 범위의 개요
- 준칙의 제·개정 기록
· 제·개정된 기존 준칙의 규정
· 제·개정 내용
· 제·개정 사유 등
1.4.3 준칙의 적용
회사는 제·개정된 준칙을 적용하기 15일 전까지 내부보고 해야 합니다.
1.4.4 준칙의 공지
회사는 개정된 준칙을 통신사 PASS인증 플랫폼 또는 홈페이지에 공고합니다.
1.4.5 이용자 동의
이용자는 변경된 준칙이 공고된 후 2주 이내에 서면(또는 PASS인증서에 부합하는 전자서명생성정보로 전자서명 한 문서)으로 이의를 제기하지 아니한 경우 회사는 이용자가 변경된 준칙에 동의한 것으로 간주합니다.
1.5. 정의 및 약어
1.5.1 용어의 정의
- PASS인증 플랫폼 : 통신사가 제공하는 PASS인증 어플리케이션 플랫폼을 말합니다.
- PASS인증서 플랫폼 : PASS인증서 관리, 인증서 서비스 관리, 인증서 플랫폼 포털 등을 제공하기 위한 시스템을 말합니다.
- PASS인증서 관리 : PASS인증서 요청관리(인증서 발급/삭제 요청관리, 인증서 만료 알림 요청관리, 검증 요청관리), PASS인증서 발급/삭제 관리(인증서 발급관리, 인증서 삭제관리), PASS인증서 검증관리(인증서 유효성 검증, 기기검증, 전자서명 검증)하는 시스템을 말합니다.
- PASS인증서 서비스 관리 : PASS인증서 서비스 요청 관리(간편 전자서명, 간편 전자등기, 간편 본인확인 등 서비스 관리), Push 메시지 전송관리하는 시스템을 말합니다.
- PASS인증서 플랫폼 포털 : 플랫폼 관리(코드관리, 계정관리, 접근권한 관리), 인증서 서비스 관리(서비스 정보관리, 서비스 신청관리, 서비스 템플릿 관리, 서비스 이용기관 관리), 통계 및 정산관리(통계관리, 정산관리 등)하는 시스템을 말합니다.
- 사고정보 : PASS인증서 유출 등이 발생한 PASS인증서 일련번호, 기기정보(MAC주소, 스마트폰정보 등) 및 개인정보(이름, 휴대폰번호, 생년월일 등)를 말합니다.
- 이용매체 : PASS인증서 서비스 이용을 위해 거래를 지시 하거나, 이용자 및 거래내용의 진실성과 정확성을 확보하기 위하여 사용되는 수단으로서 스마트폰 및 테블릿 PC 등 기타 회사가 지정한 수단을 말합니다.
- 사용자 인증수단 : PASS인증 플랫폼에서 사용하는 인증수단인 PIN(Personal Identity Number)번호, 생체인증(지문, 홍채, 안면인식 등) 등으로 통신사가 제공하는 서비스의 이용자 확인 및 인증을 위하여 서비스 가입 시 고객이 직접 지정한 숫자로 된 인증 비밀번호 및 등록한 생체인증정보를 말합니다.
- 본인인증 : 휴대폰인증 등과 같이 단말기를 통해 이용자의 신원을 확인하는 방법을 말합니다.
1.5.2 약어
본 준칙에서는 다음의 약어가 사용됩니다.
- CRL : CertificATONe RevocATONion List, PASS인증서 효력정지 및 폐지목록
- DN : Distinguished Name, 식별명칭
- PIN : Personal Identity Number, 개인식별번호
2. PASS인증서 업무
2.1 PASS인증서 발급 신청
2.1.1 신청 주체
국내에 거주하는 개인(재외국민 및 외국인 포함)은 신청할 수 있습니다.
단, 법인/단체는 PASS인증서 발급을 신청할 수 없습니다.
2.1.2 발급 절차
- 가입신청자는 통신사 PASS인증 플랫폼을 통해 이용약관 동의 및 휴대폰 본인확인 등 통신사의 온라인 신원확인절차를 거친 후 PASS인증서 발급신청을 할 수 있습니다.
- 가입신청자는 회사가 발급한 PASS인증서를 휴대폰단말기 내 하드웨어 또는 소프트웨어 영역에 저장합니다.
2.1.3 발급 제한
회사는 다음 각 호의 어느 하나에 해당하는 경우에 PASS인증서 발급을 제한할 수 있습니다.
- 만14세 미만의 가입신청자
- 타인의 명의를 도용하여 신청하였거나 그렇다고 의심되는 경우
- 신청서에 허위 사실을 기재 또는 허위서류를 첨부하였거나 그렇다고 의심되는 경우
- 업무상 또는 기술상 문제로 PASS인증서를 발급하지 못하는 경우
- 사고정보를 이용하여 신청 또는 발급하였거나 그렇다고 의심되는 경우
- 단말기 또는 추가인증 등에 실패한 경우
2.2 PASS인증서 신규발급
2.2.1 신원확인
통신사는 가입신청자의 신원을 확인합니다. 통신사 휴대폰 개통 시 직접 대면하여 신원을 확인하며, 통신사에서 실지명의가 확인된 통신사 PASS인증 플랫폼 이용자가 PASS인증서를 발급받으려는 경우에는 정보통신망을 통하여 신원을 확인할 수 있습니다.
2.2.1.1 대면신원확인
통신사는 직접 대면하여 통신사 휴대폰 개통 가입신청자의 신원을 확인하는 때에는 신원확인증표에 의하여 실지명의인지 여부와 부착된 사진으로 본인임을 확인합니다.
[대면]
- 대리점 방문 : 신원확인
- 통신사 휴대폰 개통 신청서 작성
[온라인]
- 온라인 사이트 : 통신사 휴대폰 개통 신청서 작성
- 신분증 사본 및 신분증과 같이 있는 사진 제출 : 주민증 신원확인
- ARS 인증 또는 휴대폰 인증 등의 추가인증
2.2.1.2 온라인 신원확인에 의한 발급
통신사는 실지명의가 확인된 통신사 이용자를 대상으로 PASS인증 플랫폼에 가입 시 비대면 신원확인 후 PASS인증서가 발급될 수 있습니다.
- 통신사 PASS인증 앱 설치
- 이용약관, 개인정보 수집 및 제3자 정보제공동의
- 휴대폰 본인인증 등의 추가인증
- PIN 설정 또는 생체인증 등록
또한, 비대면 신원확인방식의 안정성 및 신뢰성을 제고하기 위하여 단말기 지정을 통해 가입신청자의 신원확인을 강화할 수 있습니다.
2.2.2 신규발급 절차
2.2.2.1 온라인 신원확인 가입신청자의 PASS인증서 발급신청
가입신청자는 PASS인증서 발급 신청절차를 통해 실시간으로 PASS인증서가 발급됩니다. 발급 후 PASS인증서 발급신청내역을 확인합니다.
2.2.2.2 회사의 PASS인증서 발급
PASS인증서 발급신청을 받은 회사는 PASS인증서를 발급하기 전에 PASS인증서 발급신청 내용에 대해 다음의 검증을 실시함으로써 전자서명생성키가 가입신청자에게 유일하게 속함을 확인합니다.
- 가입신청자의 신청을 통한 통신사 인증앱 가입여부 및 본인 확인
- 가입신청자가 제출한 전자서명검증정보의 유일성 확인
- 가입신청자가 제출한 전자서명검증정보에 합치하는 전자서명생성정보의 소유여부 확인
- PASS인증서에 등록될 정보의 정확성 확인
회사는 PASS인증서 발급신청 내용에 대한 검증 후, PASS인증서 발급신청이 정당한 가입신청자에게 다음의 사항이 포함된 PASS인증서를 발급합니다.
그리고, 회사는 인증서 관리 플랫폼에 등록합니다.
- 이용자의 명칭
- 이용자의 전자서명검증정보
- 이용자와 회사가 이용하는 전자서명 방식
- PASS인증서의 일련번호
- PASS인증서의 유효기간
- PASS인증서의 발급자인 회사의 명칭
- PASS인증서의 이용범위 또는 용도를 제한하는 경우에 이에 관한 사항 등
회사가 발급하는 PASS인증서는 DN으로 서로 구분될 수 있습니다. DN은 이용자 실명과 이용자 ID를 포함합니다. 이용자 ID는 회사의 업무규약에 따라 이용자에 따라 유일하게 부여됩니다.
회사는 PASS인증서 신청등록 시 가입신청자가 등록한 명칭으로 PASS인증서, CRL 내의 기본영역에 사용될 명칭을 구성하며 당해 명칭의 구성방식은 표준을 따릅니다. 가입신청자가 신청등록 시 등록 가능한 명칭은 실명을 원칙으로 합니다.
2.2.2.3 가입신청자의 PASS인증서 수령
가입신청자는 통신사 PASS인증 플랫폼을 통해 회사가 발급한 PASS인증서를 전달받아, PASS인증서와 자신의 전자서명생성정보를 저장할 이용매체가 자동으로 선택되고, 이를 안전하게 저장·관리해야 합니다.
2.3 PASS인증서 갱신 재발급
2.3.1 갱신 재발급 요건
PASS인증서의 갱신 재발급은 PASS인증서의 유효기간이 만료되기 1개월 전부터 전자서명정보와 유효기간이 재발급된 동일한 종류의 새로운 PASS인증서를 발급하는 것을 말합니다. 새로 발급된 PASS인증서의 유효기간은 기존 PASS인증서의 유효기간을 승계하여 기존 PASS인증서 만료시각 이후로부터 3년입니다.
2.3.2 갱신 재발급 절차
2.3.2.1 이용자의 재발급 신청 및 신원확인
이용자는 통신사 PASS인증 플랫폼에 접속하여 전자서명정보를 생성하고 PASS인증서 재발급신청내역을 전송합니다. PASS인증서 재발급내역은 다음과 같은 내용을 포함합니다.
- 새로 생성한 전자서명검증정보
- 새로 생성한 전자서명생성정보로 전자서명된 정보
- 기존 전자서명생성정보로 상기 내용을 전자서명한 정보
- 기존 PASS인증서 정보 등
PASS인증서 재발급은 이용자의 기존 전자서명정보가 유효할 때 신청 가능하므로, 회사는 이용자의 신원확인을 PASS인증서 재발급신청내역의 이용자 전자서명으로 합니다. 인증서 재발급신청 시 이용자의 기존 등록정보가 변경된 경우 필요에 따라 변경정보에 대한 증빙자료를 요구할 수 있습니다.
2.3.2.2 PASS인증서 재발급
PASS인증서 재발급신청을 받은 회사는 PASS인증서를 재발급하기 전에 PASS인증서 재발급신청내역에 포함된 내용에 대해 다음의 검증을 실시함으로써 전자서명생성키가 이용자에게 유일하게 속함을 확인합니다.
- 이용자가 제출한 전자서명검증정보의 유일성 확인
- 이용자가 제출한 전자서명검증정보로 전자서명을 검증하여 전자서명검증정보에 합치하는 전자서명생성정보의 소유여부 확인
- 기존 전자서명생성정보로 생성한 전자서명을 검증하여 이용자 신원확인
회사는 PASS인증서 재발급신청내역에 포함된 내용을 검증하여 정당한 이용자인 경우 PASS인증서를 재발급합니다. 회사는 재발급한 PASS인증서를 인증서 관리 플랫폼 등에 등록 및 이용자에게 전송합니다.
2.3.2.3 이용자의 PASS인증서 수령
이용자가 재발급된 PASS인증서를 수령하는 절차는 “2.2.2.3. 가입신청자의 PASS인증서 수령” 절차를 준용합니다.
2.4 PASS인증서 재발급
2.4.1 재발급 요건
PASS인증서의 재발급은 이용자가 자신의 PASS인증서를 폐기 또는 분실하였거나 기기가 변경한 경우, 번호가 변경된 경우, 통신사 PASS인증 플랫폼(어플리케이션)을 삭제하거나, 통신사 PASS인증 플랫폼(어플리케이션)내 데이터를 삭제되는 경우, 전자서명생성정보의 노출, 손상 등이 우려되어 새로운 PASS인증서를 다시 발급받는 것을 말합니다. 재발급된 PASS인증서의 유효기간은 PASS인증서 재발급일로부터 3년입니다.
2.4.2 재발급 절차
PASS인증서의 재발급은 “2.2.1 신원확인” 및 “2.2.2. 신규발급 절차”를 준용합니다.
2.5 이용자 등록정보 변경
2.5.1 이용자 등록정보 변경 요건
이용자 등록정보 변경은 PASS인증서 내에 반영된 이용자정보 이외의 이용자 등록정보(주소, 전자우편주소, 전화번호 등)가 변경된 경우 이용자가 등록정보 변경을 요청하여 통신사에 등록된 해당 정보를 변경시키는 것을 말합니다.
2.5.2 이용자 등록정보 변경 절차
이용자 등록정보 변경은 통신사에 인터넷 또는 영업점방문으로 신청하며, 통신사는 이용자의 신원확인을 이용자 등록정보 변경신청내역의 이용자 전자서명으로 합니다.
2.6 PASS인증서의 효력정지·효력회복·폐지
PASS인증서 효력정지는 PASS인증서 유효기간 동안 이용자의 신청에 의해 PASS인증서의 효력을 일정기간 정지하는 것을 말합니다.
PASS인증서 효력회복은 효력이 정지된 PASS인증서에 대하여 이용자가 효력회복을 신청하였을 경우 유효기간 내에서 당해 PASS인증서의 효력을 회복시키는 것을 말합니다.
PASS인증서 폐기는 PASS인증서 유효기간 만료 전에 이용자의 신청 또는 회사 PASS인증서업무 수행의 안전성, 보안성, 신뢰성 등을 위한 부득이한 사유로 인해 PASS인증서의 효력을 강제로 종료하는 것을 말합니다.
2.6.1 효력정지 사유
회사는 이용자의 PASS인증서 효력정지 신청이 있는 경우 당해 PASS인증서의 효력을 정지시킬 수 있습니다.
2.6.2 폐기(삭제) 사유
회사는 “1.3.4 회사의 의무”에서 정한 사항에 따라 다음의 사유가 발생한 경우 당해 PASS인증서를 폐기합니다.
- 이용자가 PASS인증서 폐기를 신청한 경우
- 이용자의 사망 등의 사유가 발생한 경우
- 피성년후견인이 법정대리인의 동의 없이 PASS인증서를 발급받은 경우
- 피한정후견인이 법정대리인의 동의를 필요로 하는 법률행위 범위에 PASS인증서 발급이 포함되어 있음에도 불구하고 법정대리인의 동의 없이 PASS인증서를 발급하는 경우
- PASS인증서의 유효기간이 경과된 경우
- 이용자가 부정한 방법으로 PASS인증서를 발급받았거나 그렇다고 의심되는 경우
- 이용자의 전자서명생성정보가 분실·훼손 또는 도난·유출된 경우
- 간편인증 서비스 보안 유지 및 향상을 위하여 필요한 경우
- 기타 이용자가 준칙의 주요 의무나 주요 사항을 준수하지 않은 경우
2.6.3 폐기(삭제) 신청과 신원확인
2.6.3.1 폐기(삭제) 신청 시 처리
PASS인증서 효력정지 및 폐기의 신청은 통신사 PASS인증 플랫폼(어플리케이션) 내 PASS인증서 서비스 삭제메뉴를 통해서 하여야 하며, 신원확인은 PASS인증서의 이용자 전자서명을 준용합니다. 회사는 폐기신청이 접수된 경우 이를 즉시 처리합니다.
2.6.3.2 분실신고 접수 시 처리
회사 고객센터를 통해 분실신고를 접수한 경우, 이용자 여부를 확인하여 이용자의 신원을 확인하고 이용자의 신청에 따라 즉시 폐기 등의 처리를 한 후 그 결과를 이용자에게 통보합니다. 회사를 통해 접수된 분실신고의 접수시각은 고객센터 등에 접수된 시각으로 합니다.
2.6.4 강제 폐기에 따른 공지
회사는 “2.6.2 폐기 사유”에 따라 이용자의 동의 없이 PASS인증서를 폐기한 경우 당해 이용자에게 Push, SMS/MMS, 전자우편 또는 전화 등을 이용하여 해당사실을 통지합니다.
2.7 PASS인증서의 프로파일
회사가 발급하는 이용자 PASS인증서는 기술규격을 준수하며 다음의 내용을 포함합니다.
2.7.1 PASS인증서의 원장
PASS인증서의 신청/발급 정보 관리를 위한 원장은 다음을 포함합니다.
| 기본 필드 명 |
선택여부 |
입력 값 |
| 생성 |
처리 |
| Version |
m |
m |
V3 |
| Serial Number |
m |
m |
고유일련번호(up to 20Byte) |
| Signature |
m |
m |
- signGATE5 : sha256 with RSA (256byte) |
| Issuer |
m |
m |
- signGATE5 : CN=signGATE CA5, OU=AccreditedCA, O=KICA, C=KR |
| Validity |
m |
m |
인증서 유효기간 |
| Subject |
m |
m |
- signGATE5 : cn= 사용자 실명,ou= 지점 1,ou= 지점 2,ou= 지점 3,ou=licensedCA, o=KICA, c=KR |
| Subject Public Key Info |
m |
m |
사용자 공개키에 대한 정보 |
| Issuer Unique ID |
x |
x |
- |
| Subject Unique ID |
x |
x |
- |
| Extensions |
m |
m |
아래참조 |
| 확장필드 |
Critical |
선택여부 |
입력 값 |
| 생성 |
처리 |
| Authority Key Identifier |
n |
m |
m |
- 발급기관의 공개키 hash 값
- 인증기관 인증서의 발급자 DN
- 인증기관 인증서의 일련번호
|
| Subject Key Identifier |
n |
m |
m |
- 사용자의 공개키 hash 값 |
| Key Usage |
c |
m |
m |
- 전자서명 : Digital Signature, Non-Repudiation
- 유선용 키 분배 : KeyEncipherment
- 무선용 키 분배 : KeyAgreement
|
| Certificate Policies |
c |
m |
m |
[1]Certificate Policy:
Policy Identifier=CPS 에 있는 정책 OID
[1,1]Policy Qualifier Info :
Policy Qualifier Id=CPS
Qualifier: http://www.signgate.com/cps.html
[1,2]Policy Qualifier Info :
Policy Qualifier Id= 사용자 알림
Qualifier :
Notice Text= 이 인증서는 공인 인증입니다
|
| Policy Mappings |
- |
- |
- |
- |
| Subject Alternative Names |
n |
m |
m |
RFC822 Name=email |
| m |
m |
Other Name = EVID |
| Issuer Alternative Names |
n |
o |
m |
- |
| Subject Directory Attributes |
n |
x |
x |
- |
| Basic Constraints |
- |
x |
x |
Subject Type=End Entity
Path Length Constraint=None
|
| Name Constraints |
- |
- |
- |
- |
| Policy Constraints |
- |
- |
- |
- |
| Extended Key Usage |
n |
o |
o |
- |
| CRL Distribution Points |
n |
m |
m |
[1]CRL Distribution Point
Distribution Point Name :
- signGATE5 :
FullName: URL=ldap://ldap.signgate.com:389/ou=해당dp,ou=crldp,ou=licensedCA,o=KICA,c=KR
|
| Authority Information Access |
n |
m |
m |
- signGATE5 : http://ocsp.signgate.com:9020/OcspServer |
c : critical, n : non-critical, m : 생성, o : 선택 , x : 생성하지 않음
2.7.2 PASS인증서 PKI 정보
PASS인증서 관리 규격은 다음을 포함합니다.
| 구분 |
상세내용 |
예시 (샘플 데이터) |
| 발급토큰 |
인증서 서버 발행 발급토큰 생성 |
”123456” |
| 참조번호 |
인증서 서버 발행 참조번호 |
”123456” |
| 인가코드 |
발급확인 인가코드 |
“01012” |
| SubjectDN |
인증서 소유자의 고유식별 값(Subject Distinguished Name) |
“c=KR,o=xxxx,ou=xxxx,cn=xxx…” |
2.7.3 PASS인증서 전자서명결과값 정보
PASS인증서의 전자서명결과값 관리 규격은 다음을 포함합니다
| 필드 |
내용 |
| version |
3 (X.509 버전 번호) |
| digestAlgorithms |
SHA256withRSA |
| contentinfo |
signTargetTycd |
서명대상 원본 데이터 유형 |
| signTarget |
서명대상 원본 데이터 내용 |
| certificate |
서명에 사용한 인증서 |
| certificateInfo |
version |
3 (X.509 버전 번호) |
| subjectDN |
서명에 사용된 인증서 소유자 DN |
| SerialNo |
서명에 사용된 인증서 일련번호 |
| digestAlgorithms |
SHA256withRSA |
| startDttm |
인증서 발급일 |
| endDttm |
인증서 만료일 |
| IssuerDN |
인증서 발급자 정보 |
2.8 PASS인증서업무 휴지 및 폐기
2.8.1 PASS인증서업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 회사가 PASS인증서업무의 전부 또는 일부를 휴지하고자 하는 때에는 휴지기간을 정하여 휴지하고자 하는 날의 30일전까지 이를 이용자에게 통보합니다.
휴지기간은 6월을 초과할 수 없습니다.
2.8.2 PASS인증서업무 폐기
자연재해 또는 천재지변이 아닌 불가피한 사정으로 회사가 PASS인증서업무를 폐기하고자 하는 때에는 폐지하고자 하는 날의 60일전까지 이를 이용자에게 통보합니다.
이때 회사는 이용자의 PASS인증서와 그 효력정지 및 폐기에 관한 기록(이하 “이용자인증서 등”이라 함)을 인계할 다른 PASS인증서기관에 인계할 수 있습니다.
3. PASS인증서 플랫폼 업무 시설 및 장비 보호조치
3.1 물리적 보호조치
ATON와 한국정보인증은 PASS인증서 플랫폼을 통해 이용자의 인증서 관리 시스템, 인증서 서비스 관리 시스템, 인증서 플랫폼 포털 시스템의 보안성 제고를 위하여 세부사항을 정합니다.
3.1.1 PASS인증서 플랫폼 시스템 운영에 관한 사항
ATON은 다음의 PASS인증서 플랫폼을 다음과 같이 관리합니다.
- 인증서 플랫폼인 인증서 관리 시스템, 인증서 서비스 관리 시스템,인증서 플랫폼 포털 시스템에 대한 관리 및 감독을 담당합니다.
- 이용자 정보 관리 기능을 제공하는 시스템인 인증서 발급/삭제 관리 시스템, PASS인증서 검증 관리 기능을 제공하는 시스템은 한국정보인증이 물리적으로 분리된 별도 운영실에 설치하여 운영하며, ATON가 감독을 담당을 한다.
- 그 외 인증서 요청관리 시스템 및 인증서 서비스 관리 시스템, 인증서 플랫폼 포털 등은 ATON가 아마존 클라우드 서비스를 통해 별도로 설치할 수 있다.
한국정보인증은 다음의 PASS인증서 플랫폼을 직접 관리합니다.
- 인증서 관리 시스템 중 이용자 정보 관리 기능을 제공하는 시스템인 인증서 발급/삭제 관리 시스템, PASS인증서 검증 관리 기능을 제공하는 시스템은 물리적으로 분리된 별도 운영실에 설치할 수 있다.
3.1.2 물리적 접근 통제
한국정보인증은 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 PASS인증서 플랫폼 시스템 중 인증서 발급/삭제 관리 시스템, 검증관리 시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
- 한국정보인증은 PASS인증서 플랫폼 시스템을 별도의 통제구역 내에 설치·운영
- 한국정보인증의 출입통제 시스템은 신원확인카드, 지문인식, 무게감지장치 등을 다중으로 결합하여 통제구역에 대한 접근통제
- 한국정보인증은 PASS인증서 플랫폼 시스템의 물리적 접근통제를 위하여 보안캐비닛 내에 설치
- 한국정보인증은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토
- 한국정보인증은 다음의 감시통제시스템을 설치하여 이상상황 발생 시 경보 및 인접시설간 유·무선 연락기능을 확보
· CCTV카메라 및 모니터링 시스템
· 침입감지시스템
- 한국정보인증은 보안경비요원을 배치하여 보안경비업무를 수행
3.1.3 수해 방지
한국정보인증은 침수로부터 PASS인증서 플랫폼 시스템을 안전하게 보호하기 위하여 바닥으로부터 이격하여 설치합니다.
3.1.4 화재 예방
한국정보인증은 PASS인증서 플랫폼 시스템 운영실 등에 화재예방을 위하여 화재 탐지기, 휴대용 소화기, 자동소화설비 등을 설치하고 있습니다.
3.1.5 전원
한국정보인증은 갑작스러운 정전으로 인한 시스템의 심각한 피해를 방지하기 위하여 무정전 전원공급장치를 사용합니다.
3.1.6 항온항습, 통풍
한국정보인증은 PASS인증서 플랫폼 시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온항습장치를 설치합니다. 또한, 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막 및 감지기를 설치합니다.
3.1.7 폐기물 처리
한국정보인증은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다. 또한, 시설 및 장비의 폐기처리에 관한 사항은 내부지침인 ‘정보자산관리지침’에 따라 안전하게 폐기합니다.
3.1.8 매체 저장
한국정보인증은 주요 저장, 기록매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
3.1.9 원격지 백업
한국정보인증은 회사가 발급한 PASS인증서 등을 물리적으로 격리된 원격지에 백업하여 당해 PASS인증서의 효력이 소멸된 날로부터 5년간 보관합니다. 또한, 한국정보인증은 원격지 백업설비의 안전한 운영을 위하여 CCTV카메라 설치 및 출입자의 신원을 확인할 수 있는 신원확인카드와 지문인식장치 설치 등의 다중결합을 통해 접근통제 합니다.
3.2 절차적 보호조치
3.2.1 PASS인증서 업무 역할별 업무 분리
ATON와 한국정보인증은 PASS인증서업무의 안정성과 신뢰성을 확보하기 위하여 회사 소속직원으로 PASS인증서 업무 수행인력을 역할별로 분리하여 운용합니다.
- ATON와 한국정보인증은 모든 보호조치를 계획, 감독, 통제하는 관리책임자를 지정
- ATON와 한국정보인증은 보호조치의 실행을 담당하는 보안관리자를 지정
- ATON와 한국정보인증은 주요시설의 유지·관리를 위하여 PASS인증서 플랫폼 시스템 관리, 네트워크 관리 등을 담당하는 전문인력인 보안실무자를 1인 이상 확보
- 한국정보인증은 이용자의 등록정보관리 기능을 지원하는 PASS인증서 발급/삭제관리 및 검증관리 시스템의 설치 운영 및 유지보수에 2인 이상의 직원을 배치하여 공동으로 업무를 수행
- 한국정보인증은 PASS인증서 생성·발급·관리 기능을 지원하는 PASS인증서 플랫폼 시스템의 설치 운영 및 유지보수에 2인 이상의 직원을 배치하여 공동으로 업무를 수행
3.2.2 PASS인증서 업무 담당자 인증 방법
ATON와 한국정보인증의 PASS인증서업무 담당자는 신원확인카드, 지문인식, 무게감지장치 등 다중으로 결합되어 보호되는 통제구역을 통과한 후에 방화벽 및 서버보안 소프트웨어로 보호되는 시스템을 관리할 수 있습니다.
3.2.3 동일인에 의해 동시 수행될 수 없는 PASS인증서 업무
한국정보인증은 PASS인증서업무 운영시의 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무분리 원칙을 준수합니다.
- 키 생성 업무는 2인 이상이 공동으로 수행
- PASS인증서 발급 및 관리 업무는 2인 이상이 공동으로 수행
- 동일 시스템에 대한 운영 및 감사업무는 동일하지 않은 자가 각각 수행
3.3 기술적 보호조치
3.3.1 전자서명키 생성
- 한국정보인증은 인가된 자만이 전자서명키를 생성할 수 있도록 합니다.
- 한국정보인증은 내부 및 외부의 정보통신망과 연결되지 않고 물리적 침해 등으로부터 보호되는 안전한 키 생성시스템에서 전자서명정보를 생성합니다.
3.3.2 전자서명 키의 크기 및 해쉬값
한국정보인증은 안전하고 신뢰성 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬값을 이용합니다.
- RSA 및 KCDSA 경우 : 1024비트 이상
- HAS-160 및 SHA-1 경우 : 160비트 이상
- SHA-256 경우 : 256비트 이상
- ECDSA 경우 : 163비트 이상
3.3.3 전자서명생성키 저장장치
한국정보인증은 전자서명생성키를 안전하게 저장하기 위하여 보안모듈을 이용하여 봉인, 접근권한 확인 및 전자서명생성키 분실,훼손·도난, 유출되지 않도록 안전하게 관리하여야 합니다.
3.3.4 전자서명생성키 삭제 및 파기 방법
한국정보인증은 PASS인증서의 유효기간이 만료되거나 전자서명생성키가 훼손, 유출되었을 경우에 해당 전자서명생성키 저장매체를 물리적으로 완전히 파기하거나, 기술규격에 따라 전자서명생성키를 삭제합니다.
3.3.5 전자서명생성키의 사용기간
한국정보인증 및 이용자의 전자서명생성키는 당해 PASS인증서가 유효한 기간 동안 사용할 수 있습니다.
3.3.6 컴퓨터 및 네트워크 보안 통제
한국정보인증은 네트워크 보안을 위하여 침입탐지시스템 및 침입차단시스템을 사용합니다.
3.3.7 부가서비스에 대한 보호조치
ATON와 한국정보인증은 실시간유효성검증서비스, 시점확인서비스(TSA) 등의 부가서비스 제공 시 PASS인증서비스와 동일한 보호조치를 취합니다.
3.3.8 소프트웨어 형상관리 등 운영관리에 관한 사항
ATON와 한국정보인증은 PASS인증서 소프트웨어의 형상관리 등 PASS인증서 플랫폼 시스템의 운영에 대한 형상관리를 합니다.
- PASS인증서 플랫폼 시스템의 소프트웨어 등록에 대한 형상관리
- PASS인증서 플랫폼 시스템의 변경사항 등 운영관리에 대한 형상관리
3.3.9 네트워크의 구성 및 운영 등 네트워크 보호에 관한 사항
- ATON와 한국정보인증은 PASS인증서 네트워크를 이중화하여 구성하여 장애에 대비합니다.
- ATON와 한국정보인증은 침입차단 및 침입탐지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
- ATON와 한국정보인증은 로그기록을 주기적으로 분석하여 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대처합니다.
- ATON와 한국정보인증은 침입차단 및 침입탐지시스템에 대한 논리적인 접근통제를 설정합니다.
- ATON와 한국정보인증은 침입차단 및 침입탐지시스템에 대한 추가/폐기/변경에 관한 사항을 관리대장에 기록하고 유지합니다.
- ATON와 한국정보인증은 침입차단 및 침입탐지시스템의 추가/폐기/변경에 관한 사항을 내부지침에 의거 관리합니다.
3.4 인적 보안
ATON와 한국정보인증은 직원 채용 시 신원조사를 실시하고 있으며, PASS인증서 플랫폼 시스템 운영인력의 자격과 자질을 주기적으로 조사하고 동 사항의 유지여부를 지속적으로 관리합니다.
3.4.1 PASS인증서 업무 인력의 자격, 경력 등 요구사항
ATON와 한국정보인증은 PASS인증서 업무에 필요한 시설 및 장비의 운영인력으로서 다음의 요건을 갖춘 자를 확보합니다.
- 정보통신기사·정보처리기사 및 전자계산기조직응용기사 이상의 국가기술 자격 또는 이와 동등 이상의 자격이 있다고 미래창조과학부가 인정하는 자격을 갖출 것
- 미래창조과학부가 정하여 고시하는 정보보호 또는 정보통신 운영·관리 분야에서 2년 이상 근무한 경력이 있을 것
3.4.2 PASS인증서 업무 교육, 업무순환에 관한 사항
- ATON와 한국정보인증은 보호조치에 대하여 소속직원이 관련내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 취합니다.
- ATON와 한국정보인증은 보안관리자 및 보안실무자, PASS인증서 플랫폼 시스템을 관리하는 직원이 연 1회 이상 정보보호관련 내부 또는 외부교육을 이수하도록 합니다.
- ATON와 한국정보인증은 PASS인증서 플랫폼 시스템을 관리하는 직원에 대하여 업무상 지득한 기밀사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
- ATON와 한국정보인증은 업무환경의 변화 등으로 인하여 보호조치의 수정·보완이 필요한 경우, 이를 지체 없이 보완합니다.
- ATON와 한국정보인증은 PASS인증서 플랫폼 시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 저장매체 반납 등의 적절한 조치를 취하도록 합니다.
3.4.3 비인가된 행위에 대한 처벌에 관한 사항
- 소속직원의 비인가된 행위에 대하여 ATON와 한국정보인증은 인사규정 등 내부 규정이 정하는 바에 따라 해당 직원을 징계합니다.
3.5 감사 기록
3.5.1 감사기록의 유형 및 보존기간
ATON와 한국정보인증은 PASS인증서 플랫폼 시스템에서 발생한 다음의 사건에 대한 세부내역을 감사기록에 5년 이상 보존합니다.
- 이용자정보의 입력·접근·변경·삭제 등에 관한 내역
- 전자서명정보의 생성·접근·파기한 내역
- PASS인증서의 생성·발급·재발급·효력정지·폐기한 내역
- 이용자 PASS인증서의 등록 및 관리한 사실
- 전자문서의 시점확인 내역
- PASS인증서 시스템의 시작과 종료 사실
- 계정의 추가 및 삭제
- 사용자 권한 변경
- 로그인(login) 및 로그오프(logoff) 사실
- 기타 PASS인증서 플랫폼 시스템 관리자의 주요 활동 사실
3.5.2 감사기록 보호조치
ATON와 한국정보인증은 관리책임자는 PASS인증서 플랫폼 시스템의 감사기록을 조회하고 관리합니다. 각 시스템의 감사기록은 관리책임자에 의해 총괄 관리되며, 시스템의 각 업무관리자는 각자의 업무에 대한 감사기록만을 열람할 수 있습니다.
3.5.3 감사기록 백업주기 및 절차
ATON와 한국정보인증은 감사기록을 주기적으로 백업받아 하드디스크 이외의 저장매체에 보존합니다.
변경된 내역에 대해 매일 백업을 실시하고 있으며, 전체 데이터에 대해서는 주단위로 백업을 실시합니다. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
3.6 기록 보존
3.6.1 보존기록의 유형 및 보존기간
ATON와 한국정보인증은 다음의 업무와 관련된 내역을 당해 PASS인증서 효력이 소멸된 날로부터 5년 동안 기록·보존합니다.
- PASS인증서 발급 및 관리 등 PASS인증서 업무
- PASS인증서 플랫폼 시스템 등의 운영업무
3.6.2 보존기록의 보호조치
ATON와 한국정보인증은 보존기록의 위·변조 및 훼손 등을 방지하기 위하여 다음과 같이 보존기록을 보호합니다.
- 전자문서는 전자서명하여 안전하게 보관합니다.
- 일반문서는 잠금장치가 설치된 캐비닛에 보관합니다.
문서관리자는 모든 보존기록을 관리하며, 기타 관리자들은 자신의 업무범위 내의 보존기록만을 조회할 수 있습니다.
3.6.3 보존기록의 백업주기 및 백업절차
ATON와 한국정보인증은 보존기록을 주기적으로 백업받아 보존합니다.
변경된 내역에 대해 매일 백업을 실시하고 있으며, 전체 데이터에 대해서는 주단위로 백업을 실시합니다. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
3.7 장애 및 재해복구
ATON와 한국정보인증은 PASS인증서 플랫폼 시스템 장애, 전자서명 생성정보 유출 등에 따른 PASS인증서 업무의 중단 또는 그와 동등한 사고와 지진·홍수·화재 등 재해에 대비하여 신속한 대응 및 복구체제를 구축하고 있습니다.
3.7.1 PASS인증서 업무 장애 및 재해 유형별 매뉴얼 준비
ATON와 한국정보인증은 PASS인증서 업무 비상대응 실무 매뉴얼에 의하여 장애 및 재해 유형별로 준비합니다.
3.7.2 PASS인증서 업무 장애 유형
다음의 장애 유형은 “주의”의 비상상황 등급으로 분류합니다.
- 해킹 등 침해사고에 의한 일부 이용자 전자서명생성키 유출
- PASS인증서 플랫폼 시스템의 장애, 오작동 등으로 인한 장애
- 웜·바이러스, DDOS 공격 등으로 인한 장애
다음의 장애 유형은 “경계”의 비상상황 등급으로 분류합니다.
- 전자서명생성정보(백업 포함) 손상
- 해킹 등 침해사고에 의한 대량의 이용자 전자서명생성키 유출
- PASS인증서 유효성확인 서비스 장애
- PASS인증서 발급서비스 장애
다음의 장애 유형은 “심각”의 비상상황 등급으로 분류합니다.
- 이용자 PASS인증서 발급에 사용하는 전자서명생성키 유출
- 해킹 등 침해사고에 의한 이용자 전자서명생성키가 대량 유출되어 부정 사용되는 사고 발생
- PASS인증서 유효성확인서비스 장애
3.7.3 PASS인증서 업무 장애 유형별 신고절차
- ATON와 한국정보인증은 “주의” 등급의 비상상황의 경우 자체 비상대응조치를 취합니다.
- ATON와 한국정보인증은 “경계” 등급의 비상상황의 경우 내부 비상대응팀에 참여하며, 자체 비상대응 조치를 취합니다.
- ATON와 한국정보인증은 “심각” 등급의 비상상황의 경우 내부 비상대응본부에 참여하며, 자체 비상대응 조치를 취합니다.
3.7.4 PASS인증서 업무 장애 유형별 복구
- 웜·바이러스, DDOS 공격 등으로 인한 장애의 경우 관련 침입차단시스템을 이용하여 해당 IP 및 포트를 차단하고, 침입탐지시스템을 통한 모니터링 강화조치를 취합니다.
- 해킹으로 인한 이용자 PASS인증서 유출의 경우 유출된 이용자의 PASS인증서를 폐기하고 이용자에게 통보합니다.
- 웜·바이러스, DDOS 공격 및 해킹 등에 대비하여 방화벽, 침입탐지시스템, 보안S/W, ID, PASSWORD 관리 및 소프트웨어의 최신패치로 방어하며, 피해 발생시 백업데이터로 복구합니다.
- PASS인증서 플랫폼 시스템을 이중화로 구성·운영하며 백업센터를 운영함으로써 지진·홍수·화재 등 재해 및 장애에 대비합니다.
- 논리적 장애 발생 시 장애이전시점 복구 기능을 이용하여 복구합니다.
- 시스템 접근 가능IP통제, 서버보안 소프트웨어 설정 등으로 주요 자원에 대한 접근통제 및 복구체제를 구성합니다.
3.7.5 PASS인증서 업무 장애방지 등 연속성 보장 대책
- ATON와 한국정보인증은 PASS인증서 플랫폼 시스템을 이중화하여 무정지 운영체제를 구축하고 백업센터를 운영하여 장애의 방지에 최선의 노력을 다합니다.
- ATON와 한국정보인증은 이용자 PASS인증서 등의 주요 데이터의 훼손·멸실이 발생하였을 경우 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
- ATON와 한국정보인증은 PASS인증서 업무 연중 무휴로 제공합니다.
4. PASS인증서업무 보증 등 기타사항
4.1 보증
4.1.1 보증 책임
ATON와 한국정보인증은 회사가 발급한 PASS인증서와 관련하여 다음의 내용을 보증합니다.
- PASS인증서 내에 포함된 내용은 발급신청 당시를 기준으로 회사에 등록된 사실임.
- 이용자의 PASS인증서는 법, 시행령, 시행규칙을 준수하며, 준칙에 따른 발급됨.
- PASS인증서 유효성 내용의 정확함.
4.1.2 보증 제한
ATON은 법, 시행령, 시행규칙 및 준칙 “4.1.1 보증 책임”에서 정한 사항 이외의 사항, 즉 이용자의 신용, 이용자정보의 불변성 등을 보증하지 않습니다.
4.2 배상
4.2.1 배상 책임
- 회사는 PASS인증서 업무 수행과 관련하여 이용자 또는 PASS인증서를 신뢰한 이용기관에게 손해를 입힌 때에는 배상의 타당성이 인정된 이용자 또는 이용기관에 한해 그 손해를 배상합니다. 다만, 그 손해가 불가항력으로 인하여 발생한 경우에는 그 배상책임이 경감되고, 회사가 과실 없음을 입증한 경우에는 그 배상책임이 면제됩니다.
- ATON은 ATON의 귀책사유로 이용자가 효력정지 또는 폐지신청 이후부터 폐지되기 전까지의 시간에 발생한 이용자 및 이용기관의 손해를 배상합니다.
4.2.2 배상한도
- ATON은 회사가 발급하는 PASS인증서를 신뢰한 이용자에게 발생하는 손해를 담보하기 위하여 보험에 가입하고 있으며, 당해 보험계약에서 정한 배상한도인 연간 20억원 및 건당 20억원 범위 내에서 이용자 및 이용기관의 정당한 손해를 배상합니다.
- PASS인증서로 인해 발생되는 손해배상액은 민법 제398조(배상액의 예정)에 따라 위 배상한도를 초과하지 않습니다. 동 배상한도에는 이용자, 이용기관 등 회사가 발급한 PASS인증서와 관련한 모든 손해가 포함됩니다.
- 보험계약 상의 배상한도를 초과하여 손해가 발생한 경우에는 당사자간의 합의에 의하여 초과분에 대한 손해를 배상하며, 합의가 이루어지지 않을 경우에는 법원의 판결에 따릅니다.
4.2.3 배상책임의 면책
회사는 다음의 경우 배상책임을 지지 않습니다.
- 회사가 본 준칙에서 정한 PASS인증서 발급대상, 용도를 이용자 임의로 변경, 사용하여 발생한 손해
- PASS인증서 발급(신규, 재발급) 및 PASS인증서 효력정지, 폐기 등과 같은 PASS인증서 서비스 제공과정에서 통신경로 장애 또는 이용자 시스템 장애 등 회사의 귀책사유가 아닌 원인으로 인하여 발생한 손해
- 이용자의 고의 또는 과실로 인하여 발생한 손해
- 이용기관의 고의 또는 과실로 인하여 발생한 손해
- 회사가 발급한 PASS인증서 및 PASS인증서 업무와 관련하여 발생하는 직접적이고, 보상적 손해 이외의 손해
- 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 본 준칙에서 정한 사항 이외의 사유로 발생한 손해
- 전시, 사변, 천재지변 또는 이에 준하는 비상사태에 의하여 발생한 손해
- 전자우편용, 법적인 효력이 없는 시험용 PASS인증서를 목적 외의 용도로 사용함으로써 발생한 손해
- 폐기된 PASS인증서를 이용하여 발생한 손해
- PASS인증서 분실 신고인이 전화를 받지 아니하여 발생하는 손해
- 기타 회사의 과실 없이 발생한 손해
4.2.4 한국정보인증의 배상책임
한국정보인증은 한국정보인증의 고의 또는 과실로 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 본 PASS인증서 업무준칙의 의무사항을 위반하거나, 이용기관이 PASS인증서 서비스를 이용함에 있어서 회사 및 기타 관련자(이용자, 이용기관 등)에게 손해를 입힌 경우에는 당해 손해를 배상하여야 합니다.
4.2.5 대행사의 배상책임
대행사는 대행사의 고의 또는 과실로 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 본 PASS인증서 업무준칙의 의무사항을 위반하거나, 이용기관이 PASS인증서 서비스를 이용함에 있어서 회사 및 기타 관련자(이용자, 이용기관 등)에게 손해를 입힌 경우에는 당해 손해를 배상하여야 합니다.
4.2.6 이용자의 배상책임
이용자는 이용자의 고의 또는 과실로 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 본 PASS인증서 업무준칙의 의무사항을 위반하거나, PASS인증서 서비스를 이용함에 있어 회사 및 기타 관련자(다른 이용자, 다른 이용기관 등)에게 손해를 입힌 경우에는 당해 손해를 배상하여야 합니다.
4.2.7 이용기관의 배상책임
이용기관은 이용기관의 고의 또는 과실로 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 본 PASS인증서 업무준칙의 의무사항을 위반하거나, 이용기관이 PASS인증서 서비스를 이용함에 있어서 회사 및 기타 관련자(이용자, 다른 이용기관 등)에게 손해를 입힌 경우에는 당해 손해를 배상하여야 합니다.
4.3 분쟁 해결
4.3.1 준거법
본 준칙은 대한민국의 관계법령에 따라 해석되고 적용됩니다.
4.3.2 재판 관할
PASS인증서 업무 관련 분쟁이 발생할 경우 그 관할기관은 회사(통신사 또는 ATON) 본사 소재지를 관할하는 지방법원이 됩니다.
4.3.3 분쟁을 해결하는 절차
PASS인증서 업무와 관련하여 회사와 이용자 또는 이용기관간 분쟁이 발생한 경우 관련정부기관은 관련법령의 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다. 이 경우 회사는 관련 당사자의 서면요청에 의해 관련 자료를 제공할 수 있습니다.
4.3.4 PASS인증서 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)가 법적 효력을 갖기 위한 조건
PASS인증서 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)가 법적 효력을 갖기 위해서는 다음과 같은 요건을 만족해야 합니다.
- PASS인증서에 기초한 전자서명을 포함하며, 전자서명은 법 제2조(정의) 제3호 각목의 요건을 갖출 것
- 전자서명에 사용된 PASS인증서가 유효한 상태이며, 정지 또는 폐기상태가 아닐 것
4.4 개인정보보호
4.4.1 PASS인증서 업무 관련정보의 보호범위 및 책임
회사와 한국정보인증은 PASS인증서 업무 수행과정에서 얻게 되는 다음의 자료에 대하여 법 제24조(개인정보의 보호)를 준수하며, 이를 위반할 경우 관련 법률이 정하는 바에 따라 책임을 진다. 그러나, 회사는 제3자가 법률에서 정한 요건 및 절차에 따라 정보공개를 요구하는 경우 이를 따를 수 있습니다.
- 이용자의 개인정보(본인의 동의가 있거나 PASS인증서 및 인증서 발급/삭제관리 시스템에 공개된 내용은 제외)
- PASS인증서 업무 관련 전문 기록과 전문에 대한 로그
- 회사에서 생성 또는 보관하는 PASS인증서 업무 관련 감사자료
- 재해복구대책
- PASS인증서 업무 운영관련 보안조치
4.4.2 개인정보보호를 위한 조치
개인정보는 접근·관리에 필요한 최소인원으로 사용자를 지정한 후 비밀번호를 통해 철저히 관리하고 있으며, 통신사 PASS인증플랫폼 및 회사 홈페이지는 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 다음과 같은 조치를 취하고 있습니다.
- 암호화 알고리즘 등을 적용함으로써 개인정보의 보관 및 송수신 네트워크의 안정성 확보
- 컴퓨터 바이러스에 의한 피해방지를 위한 백신프로그램 연계
- 키보드 입력값에 대한 해킹방지를 위해 키보드 보안장치 설치 및 운영은 통신사 PASS 인증플랫폼에서 연계
4.4.3 개인정보 수집 및 이용목적
PASS인증서 서비스에서는 인증서 발급 및 관리, 인증서비스 관련 각종 공고 및 통보, 인증서 부정발급 확인·부정사용 방지 및 단말기 지정 등의 목적을 위해 준칙에서 규정한 정보 등 다음과 같이 최소한의 개인정보를 수집하고 있습니다.
- 수집하는 개인정보 : 이름, 생년월일, 성별, 통신사 구분코드, 휴대폰번호, CI(사용자 연계정보 식별값) 등
- 수집하는 기기정보 : OS버전, 스마트폰 고유정보 등
4.4.4 개인정보보호에 대한 처리방침
PASS인증서 서비스의 개인정보보호에 관한 사항은 개인정보처리방침을 수립하여 시행하고 있으며, 동 내용은 통신사 PASS인증플랫폼 및 회사 홈페이지에서 확인하실 수 있습니다.
4.5 감사 및 점검 등
4.5.1 시설 및 장비에 대한 심사
회사와 한국정보인증은 PASS인증서 업무를 위한 시설 및 장비를 운영하고 업무에 적용하고 있습니다. 또한, 시설 및 장비에 대해서는 내부 담당부서를 통해서 심사를 받습니다.
4.5.2 정기점검
회사와 한국정보인증은 PASS인증서 업무 수행을 위한 시설 및 장비의 안정운영 여부를 매년 정기적으로 점검을 받고 있습니다.
점검은 다음과 같은 사항에 대해 이루어집니다.
- PASS인증서 업무
- 전자서명키 관리
- 기타 PASS인증서 업무
- 시설 및 장비의 관리
- 문서 및 기록의 관리
- PASS인증서 업무 시험운영 및 정보제공
- 네트워크 및 시스템 보안
- 물리적 보안
- 재해방지
- 관리적 보안 및 비상계획
4.6 관련법의 준수
“1.3”의 PASS인증서 전자서명인증체계 관련자가 준수하여야 하는 법률규정은 다음과 같습니다.
- 법
- 시행령
- 시행규칙
- PASS인증서업무 준칙
4.7 PASS인증서업무준칙의 효력
준칙이 개정되면 개정 전 내용은 개정 준칙의 효력발생일에 그 효력이 상실됩니다.
본 개정준칙은 2019년 2월 1일부터 효력이 발생합니다.
