SAMSUNG Pass 전자서명 인증서 - 전자서명인증업무준칙

전자서명인증업무준칙

1. 소개

1.1 개요

1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 "준칙"이라 한다)은 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 전자서명인증업무운영기준에 따라 한국정보인증주식회사(이하 "정보인증"이라 한다.)가 인증서의 발급·관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, "정보인증"과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.

1.1.2 전자서명인증체계 소개
"전자서명인증체계"라 함은 인증서의 발급 및 인증 관련 기록의 관리, 인증서를 이용한 부가업무 등을 제공하기 위한 체계를 말합니다.

1.2 문서의 명칭
본 준칙의 명칭은 "S-PASS 인증서 전자서명인증업무준칙 Ver 7.8" 입니다.

1.3 전자서명인증체계 관련자

1.3.1 전자서명인증사업자
"정보인증"은 전자서명인증사업자로서 전자서명법 제2조제7호에 따른 전자서명인증업무를 수행합니다.
전자서명법 제8조제1항에 따른 전자서명인증업무 운영기준(이하 '운영기준'이라 함) 준수사실의 인정을 받은 전자서명인증사업자(이하 '인정사업자'라 함)는 과학기술정보통신부령으로 정하는 바에 따라 운영기준을 준수한다는 사실을 표시할 수 있으며, 운영기준 준수사실의 인정을 받지 아니한 자(유효기간 도과 등의 사유로 운영기준 준수사실 인정의 효력이 상실된 자를 포함)는 이러한 표시 또는 이와 유사한 표시를 할 수 없습니다.

1.3.1.1 역할
가. "정보인증"은 전자서명인증사업자로서 다음과 같은 역할을 합니다.
- 안전한 전자서명인증시스템 구축·운영
- 인증서비스 제공과 관련한 가입자 신원확인 업무
나. "정보인증"은 전자서명인증사업자로서 가입자에게 다음과 같은 인증서비스를 제공합니다.
- 가입자 신원확인
- 인증서 발급
- 인증서 폐지
- 인증서에 대한 폐지 목록 공고(CRL)
- 인증서 유효성 확인 서비스(OCSP)

1.3.1.2 책임 및 의무사항
가. 정확한 정보 제공
"정보인증"은 가입자와 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 당사 홈페이지 또는 디렉터리시스템에 공고하여 그 사실을 확인할 수 있도록 합니다.
- 전자서명인증업무 휴지·정지 또는 폐지
- 준칙
- 인증서에 대한 폐지 목록
- 기타 전자서명인증업무 수행 관련 정보 등
나. 전자서명생성정보 안전조치
"정보인증"은 전자서명생성정보의 분실·훼손, 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 가입자에게 이를 통보하며 필요한 경우 당해 전자서명생성정보로 발급한 가입자의 인증서를 폐지합니다.
다. 신원확인
"정보인증"은 정보통신망을 이용하여 온라인으로 가입자의 신원을 확인합니다.
라. 가입자 개인정보보호
"정보인증"은 인증서비스 중 취득한 개인정보를 보호하며, 수집한 개인정보를 업무 목적으로만 사용합니다.
마. 관련 법령 및 규정 준수
"정보인증"은 인증서비스를 수행할 때 전자서명법령, 개인정보 보호법령 등 관련 규정을 준수합니다.
바. 부정발급 방지 정책 마련
"정보인증"은 전자서명인증서비스를 수행할 때 부정행위 및 이상거래를 탐지할 수 있는 정책을 마련하여 운영하고 있습니다.

1.3.2 가입자

1.3.2.1 정의
전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.

1.3.2.2 책임 및 의무사항
가. 가입자는 자신의 목적에 맞는 인증서를 선택하여 신청해야 하며, 전자서명인증서비스의 신청과 관련하여 정확한 정보 및 사실만을 "정보인증"에 제공할 의무가 있습니다.
나. 가입자는 가입자의 중요한 신상정보가 변경되거나 인증서 비밀번호 유출, 가입자의 전자서명생성정보가 유출되었다고 생각되는 경우, "정보인증" 또는 등록대행기관에 해당 인증서를 폐지하고, 인증서를 신규로 발급받아야 합니다.

1.3.3 이용자

1.3.3.1 정의
전자서명인증사업자가 제공하는 인증서비스를 이용하는 자를 말합니다.

1.3.3.2 책임과 의무사항
가. 이용자는 가입자의 인증서에 대해 이용목적과 이용 가능 범위에 대해 정확하게 이해해야 하며, 가입자가 보내온 인증서가 이용자의 목적에 적합한가를 판단하여야 합니다.
나. 이용자는 인증서 폐지 목록 또는 인증서 유효성 확인 서비스를 통해 인증서가 유효한 인증서인지 확인해야 합니다.

1.3.4 S-PASS 인증서 관리기관

1.3.4.1 역할
S-PASS 인증서 관리기관은 “정보인증”이 발급한 인증서를 가입자 단말기에 안전하게 보관·관리하고, 전자서명인증서비스 제공 및 이용과 관련하여 사용자 인증(생체인증)을 수행합니다.
삼성전자는 S-PASS 인증서 관리기관으로서 하기 업무에 대한 책임과 의무를 가지고 있습니다.

1.3.4.2 책임 및 의무사항
가. 전자서명생성정보 생성
S-PASS 인증서 관리기관은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
나. 인증서 보관
S-PASS 인증서 관리기관은 “정보인증”이 발급한 인증서를 가입자 단말기에 내장된 하드웨어 보안영역에 암호화하여 저장합니다.
다. 사용자 인증
S-PASS 인증서 관리기관은 “정보인증”의 전자서명인증서비스 제공과 이용과 관련하여 사용자 인증(생체인증)을 수행합니다.
라. 안전한 암호모듈의 이용
S-PASS 인증서 관리기관은 신뢰할 수 있는 인증을 획득한 암호모듈을 이용하여 전자서명생성정보를 안전하게 관리합니다. 인증이 없는 암호모듈을 이용하는 경우, S-PASS 인증서 관리기관은 안전성을 확보하기 위한 충분한 보안성 검토 또는 조치를 취합니다.
마. Samsung Wallet 앱 관리
S-PASS 인증서 관리기관은 가입자가 “정보인증”의 전자서명인증서비스와 관련하여 사용자 인증(생체인증)을 수행하는 Samsung Wallet 앱을 개발·관리합니다.
바. 기업자의 개인정보보호
S-PASS 인증서 관리기관은 인증서 보관 및 사용자 인증을 수행 중 취득한 개인정보를 보호하며, 수집한 개인정보를 업무 목적으로만 사용합니다.

1.4 인증서 종류

1.4.1 인증서의 발급대상
"정보인증"은 개인에게 인증서를 발급합니다.

1.4.2 인증서 이용범위 및 용도
"정보인증"은 인증서는 다음의 용도로 사용할 수 있습니다.

구분	용도		유효기간
개인	전자서명인증이 필요한 모든 전자거래 업무 - 정부 및 공공기관 업무 - 사업자간 계약 또는 합의된 업무		발급일로부터 3년

1.4.3 인증서의 이용 제한
가. "정보인증"이 발급하는 모든 인증서는 발급 시의 용도 또는 합의된 업무 내에서만 이용되어야 합니다.
나. 발급 받은 이용범위 및 용도에 벗어나 부정하게 사용하는 것을 금지합니다. 또한 유효기간이 만료 또는 폐지된 인증서를 사용하여서는 안 됩니다.
다. 관계 법령에서 전자서명수단이 특정된 경우, 이용이 제한될 수 있습니다.

1.5 준칙의 관리

1.5.1 준칙 관리부서 및 연락처
- 관리부서 : "정보인증" 인증영업팀
- 전자우편 : webmaster@signgate.com
- 주소 : 13453, 경기도 성남시 수정구 금토로69, 6층(금토동, 다우디지털스퀘어)
- 전화 : 1577-8787
- FAX : 02-360-3001

1.5.2 준칙의 제·개정 사유
"정보인증"은 다음의 경우에 준칙을 개정합니다.
가. 새로운 업무를 반영하거나 인증서비스를 개선하기 위해 준칙의 내용에 대하여 보완·수정이 필요하다고 판단한 경우
나. 준칙에 포함하여야 하는 전자서명법 제15조(전자서명인증업무준칙의 준수 등) 제1항 각호 또는 전자서명법시행규칙 제6조, 전자서명인증업무준칙 작성방법(과학기술정보통신부 고시 제2020-70호)에 변동이 생긴 경우

1.5.3 준칙의 제·개정 절차
"정보인증"은 준칙 제·개정이 필요하다고 판단할 경우 대표이사의 승인을 받아 개정할 수 있습니다.
"정보인증"은 다음 각호의 사항이 포함된 준칙을 작성하여 내부 결재 후 인터넷 홈페이지 등에 공지함을 원칙으로 합니다. 준칙 중 다음 각목의 내용을 변경한 때도 또한 같습니다.
가. 인증서비스의 종류
나. 인증서비스의 요금, 이용범위 및 유효기간 등 이용조건
다. 전자서명인증업무의 수행방법 및 절차
라. 그 밖에 전자서명인증업무의 수행에 필요한 사항
또한 "정보인증"은 준칙이 제·개정된 경우 버전, 개정일, 개정사유, 내용 등 개정 내역에 대한 기록을 유지 및 관리해야 합니다.

1.5.4 준칙의 공지
"정보인증"은 제·개정된 준칙을 다음의 절차에 따라 공지합니다.
가. 개정된 준칙은 새로운 버전이 부여됩니다.
나. 개정된 준칙의 공지 위치는 아래와 같습니다.
- 준칙 공지 위치 : https://spass.signgate.com

1.5.5 가입자 동의방법
가입자는 개정된 준칙이 공고된 후 7일(공고일 포함) 이내에 서면 또는 전자서명생성정보로 전자서명 한 전자문서 등의 수단으로 이의를 제기할 수 있으며, 이의를 제기하지 아니한 경우 "정보인증"은 가입자가 개정된 준칙에 동의한 것으로 봅니다.

1.6 정의 및 약어
가. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
나. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
1) 서명자의 신원
2) 서명자가 해당 전자문서에 서명하였다는 사실
다. "전자서명생성정보"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
라. "전자서명검증정보"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
마. "인증서비스"란 "정보인증"이 제공하는 전자서명인증서비스를 말합니다.
바. "인증시스템"이란 인증서비스를 제공하기 위해 운영하는 시스템을 말합니다.
사. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
아. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
자. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 인증서비스를 제공하는 업무를 말합니다.
차. "DN"이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
카. "Samsung Pass"란 “가입자”가 보유한 "Samsung Pass 단말"에 내장된 보안영역에 저장된 생체정보와 "가입자" 생체정보의 일치 여부를 확인하고 서버를 통해 검증하는 생체인증서비스를 말한다. 타. "Samsung Wallet 앱"이란 가입자가 보유한 단말기에 설치되어 Samsung Pass를 이용할 수 있는 앱을 말합니다.

2. 전자서명인증업무 관련 정보의 공고

2.1 공고설비
가. "정보인증"은 전자서명인증업무와 관련된 정보를 이중화 구성(Active-Active)하여 안정적으로 운영하고 있으며, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
나. "정보인증"은 전자서명인증업무와 관련 정보를 정확하게 제공하기 위하여 공고 설비를 안전하게 운영 관리합니다.

2.2 공고방법
가. "정보인증"은 전자서명인증업무 관련 정보를 누구든지 확인할 수 있도록 홈페이지 또는 앱을 통해 관리합니다.
나. "정보인증"은 인증서 폐지 목록에 대해서는 변경 사유가 없더라도 매일 2회 이상 정기적으로 갱신한 후 공고합니다. 현재 운영되고 있는 공고의 내용은 아래와 같습니다.
- 공고 위치 : ldap://signds.signgate.com:389
다. 인증서 유효성 상태를 확인할 수 있는 인증서 유효성 확인 서비스를 이용자에게 제공합니다.

2.3 공고주기
인증기관은 인증서 폐지목록을 일 2회 주기적으로 게시한다
가. 준칙(CPS) : 적용 1주 전 공고
나. 가입자 인증서 폐지목록(CRL) : 12시간 주기(일 2회)
다. 인증기관 폐지 목록(ARL) : 90일 주기
라. 인증서 유효성 확인 서비스(OCSP) : 실시간

2.4 공고된 정보에 대한 책임
"정보인증"은 위에서 명시한 공고 위치, 공고방법, 공고 시점 및 공고주기를 준수하며, 해당 사항이 지켜지지 아니하여 발생하는 문제에 대한 책임이 있습니다.

3. 신원확인

3.1 가입자 이름 표시 방법
가. "정보인증"은 가입자를 구별하기 위해 ITU-T X.500에서 정한 DN(Distinguished Name) 을 이용합니다.
나. "정보인증"은 가입자가 제출한 이름 및 기타 정보 등을 DN으로 구성하여 인증서에 저장합니다. DN은 이용자가 인증서를 확인할 때 기준정보가 되므로 신규 가입자의 DN과 기존 가입자의 DN의 중복성을 확인하여 중복되지 않는 경우에만 인증서를 발급합니다.
다. DN이 중복되는 경우에 가입자에게 새로운 DN을 요청하며, 가입자는 "정보인증"의 인증서비스에 가입하려면 이에 응해야 합니다. "정보인증"은 다양한 이름을 수용하기 위해 특별한 해석규칙을 적용하지 않습니다.

3.2 인증서 신규 발급 시 신원확인

3.2.1 온라인 신원확인에 의한 발급
"정보인증"은 개인을 대상으로 인증서를 발급하며 아래의 방법으로 신원확인 합니다.
가. 휴대폰 본인확인
가입신청자의 본인명의 휴대폰을 이용하여 본인확인기관인 통신사를 통해 신원확인을 합니다.
나. 계좌점유인증
가입신청자의 본인명의 금융계좌를 이용하여 신원확인을 합니다.

3.2.2 가입자의 전자서명생성정보 소유증명 방법
가입자는 Samsung Pass 서비스의 가입자 인증(생체인증) 후 자신의 전자서명생성정보로 전자서명한 정보를 "정보인증"에 제출하고 "정보인증"은 그 전자서명한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 가입자가 올바른 전자서명생성정보를 소유하고 있음을 확인합니다.

3.3 인증서 갱신 발급, 재발급 및 변경 시, 신원확인

3.3.1 갱신 발급 시 신원확인
"정보인증"이 발급한 인증서는 갱신발급 기능을 제공하지 않습니다.

3.3.2 재발급 시 신원확인
"정보인증"이 발급한 인증서를 폐지 후 발급 받으려는 경우, 신규 발급 신청을 해야 합니다. "정보인증"은 동일 인증서에 대한 재발급 기능을 제공하지 않습니다.

3.3.3 가입자 등록정보 변경 시 신원확인
가입자 등록정보를 변경하려는 경우, 신규 발급 신청을 해야 합니다. "정보인증"은 동일 인증서에 대한 가입자 등록정보 변경 기능을 제공하지 않습니다.

3.4 인증서 폐지 시 신원확인 방법 및 절차
가입자는 Samsung Wallet 앱에 들어가 생체인증을 통해 Samsung Pass에 로그인 한 후 휴대폰 본인확인을 완료하여 인증서를 직접 폐지할 수 있습니다. Samsung Wallet 앱을 통한 인증서 폐지 신청이 불가능한 경우 가입자는 “정보인증” 본사를 방문하여 폐지신청서 작성 후 신원확인증표를 통한 신원확인 후 인증서 폐지를 할 수 있습니다.

4. 인증서 관리

4.1 인증서 발급 신청

4.1.1 신청 주체
개인은 Samsung Wallet 앱을 통해 인증서 발급을 신청합니다.

4.1.2 신청 절차
가. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
나. 가입신청자는 Samsung Wallet 앱을 통해 본 준칙 "3.2.1 온라인 신원확인에 의한 발급"을 준용하여 신청합니다.

4.2 인증서 발급 신청 처리
"정보인증"은 가입신청자의 신원확인을 마친 후 가입자 등록번호(참조번호와 인가코드)를 가입신청자에게 전달합니다. 다만, 만 14세 미만인 자가 가입 신청하는 경우 또는 타인 명의 신청, 허위사실을 기재할 경우 발급을 거절할 수 있습니다.

4.3 인증서 발급 절차 및 보호조치

4.3.1 인증서 발급 절차
가입신청자는 "정보인증"으로부터 전달받은 가입자 등록번호(참조번호와 인가코드) 및 생체인증을 이용하여 인증서를 발급신청합니다.

4.3.2 인증서 발급 보호조치
가. 가입자는 Samsung Wallet 앱을 이용하여 "정보인증"이 생성한 인증서를 안전하게 발급 받습니다.
나. "정보인증"은 Samsung Wallet 앱을 통해 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
다. "정보인증"이 발급하는 인증서의 가입자 CN을 구성하는 정보는 "가입자 이름-전화번호 해쉬값" 정보로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지, 삭제하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.

4.4 인증서 수령
가입신청자는 Samsung Wallet 앱을 통해 "정보인증"이 발급한 인증서를 발급 및 수령합니다.
가입신청자가 해당 인증서를 수령하면, 가입자가 발급받은 인증서의 관련 정보가 정확함을 승인하였다고 간주합니다.

4.5 인증서 이용
"정보인증"이 발급한 인증서는 전자거래 등의 업무에 사용할 수 있습니다. 앞의 전자거래에서의 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 "정보인증"은 기발급된 인증서의 사용을 제한할 수 있습니다.

4.6 인증서 갱신 발급
"정보인증"이 발급한 인증서는 갱신 발급을 제공하지 않습니다.

4.7 인증서 재발급
"정보인증"이 발급한 인증서는 재발급 기능을 제공하지 않습니다. 필요 시 가입자는 해당 인증서를 폐지하고 신규 인증서를 발급 받습니다.

4.8 등록정보 변경
가입자 등록정보를 변경하려는 경우, 신규 발급 신청을 해야 합니다. "정보인증"은 동일 인증서에 대한 가입자 등록정보 변경 기능을 제공하지 않습니다.

4.9 인증서 효력 정지·효력회복·폐지

4.9.1 인증서 효력 정지·효력회복
해당사항 없습니다.

4.9.2 인증서 폐지

4.9.2.1 인증서 폐지 요건
"정보인증"은 다음 사유 발생 시 해당 인증서를 폐지합니다.
1) 가입자가 인증서 폐지를 신청한 경우
2) 가입자가 타인의 명의로 인증서를 신청하는 등 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
3) 가입자의 전자서명생성정보가가 분실·훼손 또는 도난·유출된 사실을 인지한 경우
4) 가입자의 신원확인이 적합하게 이루어 지지 않았음을 인지한 경우

4.9.2.2 인증서 폐지 주체
"정보인증"은 가입자의 인증서 폐지 목록(CRL)을 일 2회 갱신합니다. 또한 인증기관 폐지 목록(ARL)을 최소 90일 마다 주기적으로 갱신합니다.

4.9.2.3 인증서 폐지 방법 및 절차
가입자는 다음의 방법으로 인증서를 폐지할 수 있습니다.
가. Samsung Wallet 앱을 통한 인증서 직접 폐지
가입자는 Samsung Wallet 앱의 인증서 메뉴에서 삭제버튼을 클릭 후, 휴대폰 본인확인을 하여 인증서를 폐지합니다.
나. "정보인증" 본사 방문을 통한 폐지
1) 가입자는 "정보인증" 본사 방문 후 폐지신청서를 작성하여 인증서 폐지 요청을 합니다.
2) "정보인증"은 가입자 신원확인 후 인증서를 폐지합니다.

4.9.3 인증서 폐지 목록의 발행주기
"정보인증"은 인증서 폐지 목록을 일 2회 발행합니다. 인증기관 폐지 목록은 최소 90일 마다 주기적으로 발행합니다.

4.9.4 인증서 폐지 목록 발행 시점부터 해당 인증서 폐지 목록을 공고하는 데까지 소요 시간
목록을 공고하는 데까지 소요 시간 인증서 폐지 시 공고 소요 시간은 최대 24시간 이내입니다. 인증기관 인증서 폐지 시 공고 소요 시간은 최대 10일 이내입니다.

4.10 인증서 유효성 확인 서비스
"정보인증"은 인증서 유효성 확인 서비스(OCSP)를 제공 받으려는 서비스 이용자와의 계약에 의해 서비스를 제공합니다. 이때 서비스 이용 수수료, 계약 해지, 기타 조건은 상호 협의한 계약 내용에 따릅니다.

4.11 인증서비스 가입 철회

4.11.1 인증서비스 가입 철회 절차
가입자는 인증서를 폐지 및 삭제함으로써 전자서명인증서비스의 가입을 철회할 수 있습니다.

4.11.2 인증서비스 가입 철회 시 개인정보 파기
가입자가 서비스 가입 철회 시 가입자의 개인정보는 "정보인증"의 개인정보처리방침에 따라 파기합니다.

5. 시설 및 운영 관리

5.1 물리적 보호조치

5.1.1 물리적 접근통제

5.1.1.1 인증시스템 위치
"정보인증"의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
- 서울시 서초구 서초동 1421-1번지 LGU+ 서초 2센터

5.1.1.2 인증시스템 구조
"정보인증"은 인증시스템을 두 곳의 데이터센터에 이중화 구성되어 있으며, 5.1.1.3 물리적 보호 조치에 따라 통제구역으로 지정하여 관리합니다.

5.1.1.3 물리적 보호조치에 관한 사항
가. "정보인증" 인증시스템은 권한 있는 자만이 출입이 허가됩니다.
나. "정보인증"은 이상 상황 발생 시 경보 기능을 갖는 CCTV 카메라 및 모니터링시스템과 침입 감지 시스템 등 감시통제시스템을 설치, 운영합니다.
다. "정보인증"의 출입통제 시스템은 신원확인카드 및 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
라. "정보인증"은 보안 경비요원을 배치하여 보안경비업무를 수행합니다.

5.1.1.4 물리적 잠금장치에 관한 사항
"정보인증"은 인증시스템을 별도의 통제구역 내에 설치, 운영하고, 해당 시스템을 물리적 접근통제를 위하여 보안캐비닛 내에 설치합니다.

5.1.2 전원
"정보인증"은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무정전 전원 공급장치를 사용합니다.

5.1.3 수해방지
"정보인증"은 침수로부터 인증시스템 및 중요장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.

5.1.4 화재 예방
"정보인증"은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화설비를 설치합니다.

5.1.5 매체 저장
"정보인증"은 주요 저장, 기록매체를 금고에 저장하여 물리적으로 접근을 통제합니다.

5.1.6 원격지 백업
가. "정보인증"은 "정보인증"이 발급한 인증서, 인증서 폐지 목록 등을 물리적으로 10km이상 격리된 원격지에 백업하여 5년간 보관합니다.
나. "정보인증"은 원격지 백업설비의 안전한 운영을 위하여 CCTV 카메라 설치와 출입자의 신원을 확인할 수 있는 신원확인용 정맥 인식장치 설치 등을 통해 접근통제 합니다.

5.1.7 항온/항습, 통풍설비에 관한 사항
가. "정보인증"은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
나. "정보인증"은 통풍창을 통한 외부침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.

5.1.8 폐기물 처리
가. "정보인증"은 문서, CD 등을 폐기하는 경우 물리적으로 이를 파기합니다.
나. "정보인증"은 시설과 장비의 폐기처리에 관한 사항은 내부지침인 '정보자산관리지침'에 따라 안전하게 폐기합니다.

5.2 절차적 보호조치

5.2.1 전자서명인증업무 수행을 위해 필요한 업무 종류와 업무 분장
가. "정보인증"은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
나. "정보인증"은 전자서명인증업무의 수행에 필요한 인력 및 운영절차에 관하여 내부지침인 '데이터센터 운영매뉴얼'에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 '인증업무 업무분장' 에 따라 수행합니다.

5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
"정보인증"은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 인증기관 전자서명생성정보 생성·백업·이용·삭제·파기업무는 3인 이상이 공동으로 수행합니다
가. 인증기관 전자서명생성정보 생성·백업·이용·삭제·파기업무는 3인 이상이 공동으로 수행합니다.
나. 기타의 전자서명인증업무는 2인 이상이 공동으로 수행합니다.

5.2.3 업무 담당자 현황 및 담당자 인증방법
가. "정보인증"은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 지문인식을 통해 신원을 확인합니다.
나. 인증업무시스템 접근은 내부 지침인 "인증업무 업무분장 및 직무기술서"에 정해진 업무권한에 따라 접근을 통제합니다.

5.3 인적 보안

5.3.1 전자서명인증업무 수행 인력의 자격, 경력 등 요구사항 및 요구 충족 여부 확인 등 신원확인 절차
“정보인증” 인증시스템 운영인력은 국가가 인정한 정보통신 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하여야 합니다.

5.3.2 업무 수행 인력의 교육 및 업무순환
가. "정보인증"은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
나. "정보인증"은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 교육을 이수하도록 합니다.
다. "정보인증"은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있습니다.

5.3.3 비인가 된 행위에 대한 처벌
"정보인증"은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 '상벌지침' 에 따라 해당 직원을 징계합니다.

5.4 감사기록

5.4.1 감사기록의 유형 및 보존 기간
가. "정보인증"은 다음을 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보관합니다.
① 가입자 등록정보를 입력·접근·변경·삭제 등에 관한 내역
② “정보인증”의 전자서명생성정보를 생성·접근·파기한 내역
③ 인증서를 생성·발급·갱신 또는 폐지한 내역
④ 가입자인증서 등을 등록 및 관리한 사실
⑤ 인증시스템의 시작과 종료 사실
⑥ 로그인(Login) 및 로그오프(Logoff) 사실
⑦ 기타 인증시스템 관리자의 주요 활동 사실

5.4.2 감사기록 검토 등 보호조치
감사관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.

5.4.3 감사기록 백업주기 및 절차
가. "정보인증"은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
나. 백업과 관련한 상세한 절차는 내부지침 '데이터센터 운영매뉴얼'에 따라 실시합니다.

5.5 기록 보존

5.5.1 보존되는 기록의 유형
"정보인증"은 다음 업무와 관련된 내역을 기록, 보존합니다.
가. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
나. "정보인증" 인증시스템 등의 운영 업무

5.5.2 기록의 보존 기간
"정보인증"은 가입자로부터 개인정보 수집 시에 동의받은 개인정보 보유·이용 기간에 따라 본 준칙 "5.5.1 보존되는 기록의 유형"의 보존 대상 기록을 인증서 폐지일 또는 유효기간 만료일로부터 5년간 보존합니다.

5.5.3 보존기록 보호조치
"정보인증"은 보존기록에 대해 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.

5.5.4 보존기록의 백업주기 및 백업절차
가. "정보인증"은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
나. 백업과 관련한 상세한 절차는 내부지침 ‘데이터센터 운영매뉴얼’에 따라 실시합니다.

5.6 전자서명인증사업자의 전자서명생성정보 갱신
"정보인증"은 "정보인증"의 전자서명생성정보를 갱신하지 않고 본 준칙 "6.1.1 전자서명생성정보 생성"을 준용하여 신규 생성합니다.

5.7 장애 및 재해 복구

5.7.1 전자서명인증업무 장애 및 재해 유형별 처리 및 복구 절차
"정보인증"은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 다음과 같이 유형별로 나누어 내부지침 ‘데이터센터 운영매뉴얼’에 규정하여 신고 및 복구 절차를 진행합니다.
가. 센터 내 외부침입 경보 발생
나. 센터 내 화재 발생
다. 센터 내 수재 발생
라. 하드웨어 장애 발생
마. 시스템 자원 및 소프트웨어 장애 발생
바. 데이터 손상 발생
사. 이중화 시스템 장애 발생
아. 기타 비상반출

5.7.2 업무 장애방지 등 연속성 보장 대책
가. "정보인증"은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
나. "정보인증"은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 기록 보존된 자료를 이용하여 복구합니다.
다. "정보인증"은 전자서명인증업무 운영 인력을 주·야간으로 운영하여 연중무휴로 인증서비스를 제공합니다.
라. "정보인증"과 "S-PASS 인증서 관리기관"은 시스템 장애 등 재난상황 발생을 대비하여 상호 비상연락망을 공유하며, 상호간 장애시에 협조체계가 긴급히 이뤄질 수 있도록 대비합니다.

5.8 업무 휴지, 폐지, 종료

5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 "정보인증"이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐기 등 가입자 보호조치 내용을 게시합니다.

5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 "정보인증"이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐기 등 가입자 보호조치 내용을 게시합니다.

6. 기술적 보호조치

6.1 전자서명생성정보 보호

6.1.1 전자서명생성정보 생성
가. "정보인증"은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
나. "정보인증"은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
다. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.

6.1.2 전자서명생성정보의 크기 및 해쉬 값
"정보인증"은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
가. 최상위 인증기관
- RSA : 4,096bits
- SHA-256 : 256bits
나. 인증기관
- RSA : 2,048bits
- SHA-256 : 256bits
다. 가입자
- RSA : 2,048bits
- SHA-256 : 256bits

6.2 전자서명생성정보 보호조치

6.2.1 전자서명생성정보의 저장 시 보호조치
"정보인증"은 "정보인증"의 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 안전하게 저장합니다.

6.2.2 전자서명생성정보의 이용 시 보호조치
"정보인증"은 "정보인증"의 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.

6.2.3 전자서명생성정보의 백업 보관 시 보호조치
가. "정보인증"은 "정보인증"의 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
나. "정보인증"은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
다. "정보인증"은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.

6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
가. "정보인증"은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
나. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
다. "정보인증"은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 파기합니다.

6.3 전자서명생정정보 및 전자서명검증정보의 관리
"정보인증"은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.

6.4 데이터 보호조치
"정보인증"은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
가. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
나. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
다. 부적절한 접근 권한일 경우 회수 및 철회합니다.

6.5 시스템 보안 통제
가. "정보인증"은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
나. "정보인증"은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
다. “정보인증”은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.

6.6 시스템 운영 관리
"정보인증"은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리

6.7 네트워크 보호조치
가. "정보인증"은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
나. "정보인증"은 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.

7. 인증서 형식

7.1 최상위인증기관 인증서 프로파일

기본필드명	선택여부		입력값
기본필드명	생성	처리	입력값
버전 (Version)	m	m	V3
일련번호 (Serial Number)	m	m	고유일련번호 (up to 20Byte)
서명 알고리즘 (Signature)	m	m	sha256RSA
발급자 (Issuer)	m	m	CN=KICA_ROOT_CA OU=AccreditedCA O=Korea Information Certificate Authority C=KR
유효기간 (Validity)	m	m	인증서 유효기간
주체 (Subject)	m	m	CN=KICA_ROOT_CA OU=AccreditedCA O=Korea Information Certificate Authority C=KR
공개 키 (Subject Public Key Info)	m	m	사용자 공개키에 대한 정보
확장필드 (Extensions)	m	m	아래참조

확장필드(Extensions)	Critical	선택여부		입력값
확장필드(Extensions)	Critical	생성	처리	입력값
주체 키 식별자 (Subject Key Identifier)	n	m	m	사용자의 공개키 hash값
키 사용 (Key Usage)	n	m	m	Certificate Signing Off-line CRL Signing CRL Signing (06)
기본 제한 (BasicConstraints)	c	m	m	Subject Type=CA Path Length Constraint=None
정책 제약 조건 (PolicyConstraints)	c	o	m	Required Explicit Policy Skip Certs=0

c : critical, n : non-critical, m : 생성, o : 선택 , x : 생성하지 않음

7.2 "정보인증" 인증서 프로파일

기본필드명	선택여부		입력값
기본필드명	생성	처리	입력값
버전 (Version)	m	m	V3
일련번호 (Serial Number)	m	m	고유일련번호(up to 20Byte)
서명 알고리즘 (Signature)	m	m	sha256RSA
발급자 (Issuer)	m	m	CN=KICA_ROOT_CA OU=AccreditedCA O=Korea Information Certificate Authority C=KR
유효기간 (Validity)	m	m	인증서 유효기간
주체 (Subject)	m	m	CN=KICA_Signing_CA OU=AccreditedCA O=Korea Information Certificate Authority C=KR
공개 키 (Subject Public Key Info)	m	m	사용자 공개키에 대한 정보
확장필드 (Extensions)	m	m	아래참조

확장필드(Extensions)	Critical	선택여부		입력값
확장필드(Extensions)	Critical	생성	처리	입력값
기관 키 식별자 (Authority Key Identifier)	n	m	m	발급기관의 공개키 hash값 인증기관 인증서의 발급자 DN 인증기관 인증서의 일련번호
주체 키 식별자 (Subject Key Identifier)	n	m	m	사용자의 공개키 hash값
키 사용 (Key Usage)	c	m	m	Certificate Signing Off-line CRL Signing CRL Signing (06)
인증서 정책 (Certificate Policies)	c	m	m	[1]Certificate Policy: Policy Identifier=모든 발급 정책 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://spass.signgate.com [1,2]Policy Qualifier Info: Policy Qualifier Id=사용자 알림 Qualifier: Notice Text=Notice Text=This certificate is issued from Korea Information Certificate Authority Inc.(KICA_Root_CA)
기본 제한 (BasicConstraints)	c	m	m	Subject Type=CA Path Length Constraint=0
정책 제약 조건 (Policy Constraints)	c	m	m	Required Explicit Policy Skip Certs=0
확장된 키 사용 (Extended Key Usage)	n	o	m	문서 서명 (1.3.6.1.4.1.311.10.3.12)
CRL 배포 지점 (CRL Distribution Points)	n	m	m	[1]CRL Distribution Point Distribution Point Name: Full Name: URL=ldap://signds.signgate.com:389/cn=KICA_ROOT_CA,ou=AccreditedCA,o=Korea Information Certificate Authority,c=KR?authorityRevocationList
기관 정보 액세스 (Authority Information Access)	n	o	m	[1]Authority Info Access Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://signocsp.signgate.com:9020/OCSPServer

7.3 OCSP 인증서 프로파일

기본필드명	선택여부		입력값
기본필드명	생성	처리	입력값
버전 (Version)	m	m	V3
일련번호 (Serial Number)	m	m	고유일련번호(up to 20Byte)
서명 알고리즘 (Signature)	m	m	sha256RSA
발급자 (Issuer)	m	m	CN=KICA_ROOT_CA OU=AccreditedCA O=Korea Information Certificate Authority C=KR
유효기간 (Validity)	m	m	인증서 유효기간
주체 (Subject)	m	m	CN=KICA_Signing_OCSP OU=AccreditedCA O=Korea Information Certificate Authority C=KR
공개 키 (Subject Public Key Info)	m	m	공개키에 대한 정보
확장필드 (Extensions)	m	m	아래참조

확장필드(Extensions)	Critical	선택여부		입력값
확장필드(Extensions)	Critical	생성	처리	입력값
기관 키 식별자 (Authority Key Identifier)	n	m	m	발급기관의 공개키 hash값 인증기관 인증서의 발급자 DN 인증기관 인증서의 일련번호
주체 키 식별자 (Subject Key Identifier)	n	m	m	사용자의 공개키 hash값
키 사용 (Key Usage)	c	m	m	Certificate Signing Off-line CRL Signing CRL Signing (06)
인증서 정책 (Certificate Policies)	c	m	m	[1]Certificate Policy: Policy Identifier=인증기관 정책 OID [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://spass.signgate.com [1,2]Policy Qualifier Info: Policy Qualifier Id=사용자 알림 Qualifier: Notice Text=This certificate is issued from Korea Information Certificate Authority Inc.(KICA_Root_CA)
기본 제한 (BasicConstraints)	c	m	m	Subject Type=CA Path Length Constraint=0
정책 제약 조건 (Policy Constraints)	c	m	m	Required Explicit Policy Skip Certs=0
확장된 키 사용 (Extended Key Usage)	c	o	m	OCSP 서명 (1.3.6.1.5.5.7.3.9)
CRL 배포 지점 (CRL Distribution Points)	n	m	m	[1]CRL Distribution Point Distribution Point Name: Full Name: URL=ldap://signds.signgate.com:389/ocn=KICA_ROOT_CA,ou=AccreditedCA,o=Korea Information Certificate Authority,c=KR?authorityRevocationList
기관 정보 액세스 (Authority Information Access)	n	o	m	[1]Authority Info Access Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://signocsp.signgate.com:9020/OCSPServer

7.4 가입자 인증서 프로파일

기본필드명	선택여부		입력값
기본필드명	생성	처리	입력값
버전 (Version)	m	m	V3
일련번호 (Serial Number)	m	m	고유일련번호(up to 20Byte)
서명 알고리즘 (Signature)	m	m	sha256RSA
발급자 (Issuer)	m	m	CN=KICA_Signing_CA OU=AccreditedCA O=Korea Information Certificate Authority C=KR
유효기간 (Validity)	m	m	인증서 유효기간
주체 (Subject)	m	m	CN=사용자명-전화번호 해쉬값 OU=SAMSUNG OU=AccreditedCA O=Korea Information Certificate Authority C=KR
공개 키 (Subject Public Key Info)	m	m	사용자 공개키에 대한 정보
확장필드 (Extensions)	m	m	아래참조

확장필드(Extensions)	Critical	선택여부		입력값
확장필드(Extensions)	Critical	생성	처리	입력값
기관 키 식별자 (Authority Key Identifier)	n	m	m	발급기관의 공개키 hash값
주체 키 식별자 (Subject Key Identifier)	n	m	m	사용자의 공개키 hash값
키 사용 (Key Usage)	c	m	m	Digital Signature Non-Repudiation
인증서 정책 (Certificate Policies)	c	m	m	[1]Certificate Policy: Policy Identifier=인증기관 정책 OID [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://spass.signgate.com [1,2]Policy Qualifier Info: Policy Qualifier Id=사용자 알림 Qualifier Notice Text= This certificate is issued from Korea Information Certificate Authority Inc.(KICA Signing CA)
기본 제한 (BasicConstraints)	n	x	x	Subject Type=End Entity Path Length Constraint=None
CRL 배포 지점 (CRL Distribution Points)	n	m	m	[1]CRL Distribution Point Distribution Point Name: Full Name: URL=ldap://signds.signgate.com:389/ou=해당dp,ou=crl,ou=AccreditedCA,o=Korea Information Certificate Authority,c=KR
기관 정보 액세스 (Authority Information Access)	n	m	m	[1]Authority Info Access Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://signocsp.signgate.com:9020/OCSPServer

7.5 인증기관 인증서 폐지목록(ARL) 프로파일

기본필드명	선택여부		입력값
기본필드명	생성	처리	입력값
버전	m	m	V2
서명 알고리즘	m	m	sha256RSA
서명 해시 알고리즘	m	m	sha256
발급자	m	m	CN=KICA_Root_CA OU=AccreditedCA O=KICA C=KR
개시날짜	m	m	게시날짜
다음 업데이트	m	m	만료 날짜 (유효기간: 100일)
해지된 인증서 - 일련번호 - 해지 날짜 - CRL 엔트리 확장필드	- m m m	- m m m	제공됨 (목록이 없는 경우 값이 없음) 폐지된 인증서의 일련번호 입력 폐지날짜 입력 아래 참고
CRL 확장필드	m	m	아래 참고

인증서 효력정지 및 폐지목록 확장필드명	Critical	선택여부		입력값
인증서 효력정지 및 폐지목록 확장필드명	Critical	생성	처리	입력값
기관 키 식별자	n	m	m	발급기관의 공개키 hash값 인증기관 인증서의 발급자 DN 인증기관 인증서의 일련번호
CRL 숫자	n	m	m	CRL 일련번호

7.6 가입자 인증서 폐지목록(CRL) 프로파일

기본필드명	선택여부		입력값
기본필드명	생성	처리	입력값
버전 (Version)	m	m	V2
서명 알고리즘 (Signature)	m	m	sha256RSA
발급자 (Issuer Name)	m	m	CN=KICA_Signing_CA OU=AccreditedCA O=KICA C=KR
개시 날자 (This Update)	m	m	게시날짜
다음 업데이트 (Next Update)	m	m	만료 날짜 (유효기간: 24시간)
해지된 인증서 - 일련번호 - 해지 날짜 - CRL 엔트리 확장필드	- m m m	- m m m	제공됨 (목록이 없는 경우 값이 없음) 폐지된 인증서의 일련번호 입력 폐지날짜 입력 아래 참고
CRL 확장필드 (CRL Extensions)	m	m	아래 참고

인증서 효력정지 및 폐지목록 확장필드명	Critical	선택여부		입력값
인증서 효력정지 및 폐지목록 확장필드명	Critical	생성	처리	입력값
기관 키 식별자 (Authority Key Identifier)	n	m	m	발급기관의 공개키 hash값 인증기관 인증서의 발급자 DN 인증기관 인증서의 일련번호
CRL 숫자 (CRL Number)	n	m	m	CRL 일련번호
배포 지점 발급 중 (Issuing Distribution Point)	c	o	m	Distribution Point Name: Full Name: URL=ldap://signds.signgate.com:389/ou=해당 dp,ou=crl,ou=AccreditedCA,o=Korea Information Certificate Authority,c=KR Only Contains User Certs=예 Only Contains CA Certs=아니요 Indirect CRL=아니요

8. 감사 및 평가

8.1 감사 및 평가 현황
가. "정보인증"은 전자서명법 및 동법 시행령에 따라 인정기관으로부터 운영기준 준수사실의 인정을 받기 위해 매년 평가기관에 평가를 받습니다.
나. "정보인증"은 전자서명인증업무의 독립성 및 신뢰성 유지를 위해 S-PASS 인증서 업무분장 내 감사업무를 수행할 내부감사자를 선임하며, 매년 1회이상 감사를 수행합니다.

8.2 평가자의 신원, 자격
가. 평가자의 신원 및 자격은 전자서명법 시행령 제5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
나. 내부감사는 전문성을 갖춘 전문 인력으로 구성하여 실시합니다.

8.3 평가 대상과 평가자의 관계
가. 평가기관은 전자서명 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성의 확보’한 것으로 인정받은 기관으로 평가자와 평가 대상과는 독립성 등이 유지되고 있습니다.
나. 내부감사는 인증업무 담담부서와 별도조직인 정보보호팀에 의해서 수행되며, 인증업무와 독립성을 유지하고 있습니다.

8.4 평가 목적 및 내용
가. "정보인증"은 인정기관으로부터 운영기준의 준수 사실에 대해 인정받기 위해 평가기관으로부터 평가를 받습니다.
평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대하여 평가를 하며, 자세한 사항은 평가기관이 정한 세부평가 기준에 따릅니다.
나. 내부감사자는 인증서 발급 및 관리에 대한 감사를 진행합니다.

8.5 부적합 사항에 대한 조치
"정보인증"은 전자서명인증업무 운영기준 준수사실에 대한 인정을 받을 수 있도록, 평가
결과 발생한 부적합 사항에 대해 조치합니다.

8.6 결과 보고
평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.

9. 전자서명인증업무 보증 등 기타사항

9.1 인증서비스 이용요금
가. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 이용요금이 부과되지 않습니다.
나. 이용자가 전자서명인증서비스를 이용하는 데 있어서 이용자가 지불하는 이용요금과 환불 정책은 이용자와의 별도 계약에 따릅니다.

9.2 배상

9.2.1 배상책임
가. "정보인증"은 전자서명인증업무 수행과 관련하여 고의 또는 과실로 가입자 또는 인증서를 신뢰한 이용자에게 손해를 입힌 때에는 가입자 또는 이용자에게 그 손해를 배상합니다.
나. "정보인증"은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술 규격을 사용하는 것을 원칙으로 합니다. 만약 신뢰할 수 없는 암호화 모듈 또는 기술 규격을 이용하여 가입자 또는 이용자에게 손해를 입힌 때에는 이에 대한 책임을 부담합니다.
다. S-PASS 인증서 관리기관인 삼성전자의 행위로 발생하는 모든 문제에 대하여 "정보인증"은 일차적으로 손해배상책임을 집니다. S-PASS 인증서 관리기관인 삼성전자에 귀책사유가 있으면 "정보인증"은 삼성전자에게 차후 구상권을 행사합니다.

9.2.2 배상책임 면책
"정보인증"은 "정보인증"이 발급한 인증서 및 전자서명인증업무와 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상하여야 합니다. 다만, "정보인증"이 전자서명법 제20조(손해배상책임) 제1항에 따라 고의 또는 과실이 없음을 입증하면 그 배상책임이 면제됩니다.

9.3 영업비밀
"정보인증"은 "부정경쟁방지 및 영업비밀보호에 관한 법률"을 준수하고 있으며, "전자서명인증체계 관계자"는 정보인증의 인증서비스 이용과정에서 취득한 정보인증의 영업비밀에 대해 누설하거나 이를 부정하게 사용한 경우 그 손해에 대해 배상하여야 합니다.

9.4 개인정보보호
가. "정보인증"은 인증서 발급과정에서 취득한 가입자 정보를 가입자의 동의나 법에 정한 경우를 제외하고는 유출할 수 없으며, 이러한 의무 위반 시 "정보인증"은 가입자에 대해 손해배상 책임을 집니다.
나. "정보인증"은 가입자의 개인정보를 보호하기 위하여, 「개인정보 보호법」 등 관계 법규를 준수하고 있습니다.
다. "정보인증"은 개인정보보호와 관련하여 별도의 '개인정보처리방침'을 정하여 운영하고 있으며, 자세한 사항은 홈페이지에서 확인할 수 있습니다.
개인정보처리방침 정보저장 위치 - https://spass.signgate.com/spass/privacy.sg

9.6 보증
"정보인증"은 본 준칙에 한하여 보증하며, 이외의 보증사항은 없습니다.

9.7 보증 예외 사항
"정보인증"은 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 본 준칙 "9.6 보증"에서 정한 사항 이외의 사항(인증서 발급신청 당시 가입자 신용 또는 가입자 관련 정보의 불변성 등)을 보증하지 않습니다.

9.8 보험의 보상 범위
"정보인증"은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 연간 총 보상한도가 20억원인 보험에 가입하고 있습니다.

9.9 배상 한계
"정보인증"은 전자서명법 제20조(손해배상책임)에 따라 전자서명인증업무 수행과 관련하여 "정보인증"의 과실로 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다.

9.10 준칙의 효력
준칙이 개정되면 개정 전 내용은 개정 준칙의 효력 발생일에 그 효력이 종료됩니다. 제⦁개정된 준칙은 "정보인증"이 준칙 정보저장위치에 공고하는 날로부터 시행합니다.

9.11 통지 및 의사소통
"정보인증"은 "정보인증"의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.

9.12 이력 관리
"정보인증"은 준칙의 변경 이력을 관리하여야 합니다.

9.13 분쟁 해결
가. 전자서명인증업무와 관련하여 "정보인증"과 가입자 또는 이용자 간 분쟁이 발생한 경우 상호 협의하여 이를 원만히 해결하도록 노력해야 합니다.
나. 본 인증체계 관련자에게 전달되는 문서(전자문서 포함)는 다음과 같은 법적 효력을 갖습니다.
- 전자문서법 제4조(전자문서의 효력)의 각 항에 따른 사항
- 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
다. 전자서명인증업무와 관련하여 정보인증과 가입자 또는 이용자간 분쟁이 발생한 경우에는 전자서명법 제22조에 따라 전자문서 및 전자거래 기본법 제32조에 따른 전자문서∙전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 분쟁을 해결할 수 있습니다.

9.14 준거법 및 관할기관
가. 본 준칙은 대한민국의 법 및 관계 법령에 따라서 해석되고 적용됩니다.
나. "정보인증"과 가입자 또는 이용자와의 인증업무와 관련한 분쟁이 발생한 경우 관할법원은 민사소송법에서 정한 바에 따릅니다.

9.15 관련 법률 준수
"정보인증"은 전자서명법, 전자서명법시행령, 전자서명법시행규칙 및 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 관련 법령을 준수하여야 합니다.

9.16 기타 규정
해당 사항 없습니다.