- 3.2.2, 3.2.3 : 영업점 실명확인 절차 구체화, 영업점 신청번호 유효시간 변경, 신원확인 단계별 명칭 정비
- 4.3.2 인증서 부정발급 모니터링 내용 구체화
- 5.3.4 교육 내용 구체화
2026/03/26
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
① 본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하 ’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 ㈜우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
② 본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리WON뱅킹, 우리WON글로벌, 우리WON뱅킹 기업의 우리은행 어플리케이션(이하 ‘앱’이라 함) 및 우리은행 기업 인터넷뱅킹을 통해 발급하는 “우리WON인증서 및 우리WON인증서(기업)”(이하 ‘인증서’라 함)과 관련된 전자서명인증업무를 대상으로 합니다.
③ 본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 우리은행 최상위인증기관(WooriBank Root CA 1, 이하 ‘최상위인증기관’), 우리은행 인증기관(WooriBank CA 1, 이하 ‘인증기관’)으로 전자서명인증체계를 구성하여 관리합니다.
① 최상위인증기관
1. 안전한 전자서명인증체계 구축 및 운영
2. 전자서명 인증기술의 개발 및 보급
3. 인증기관 검사 및 안전한 운영지원
4. 인증기관 전자서명생성정보에 대한 인증 등 전자서명인증업무 수행
5. 오프라인으로 관리 운영
② 인증기관
1. 가입자의 신원확인
2. 가입자 인증서 발급/갱신발급/재발급/폐지 업무
3. 인증서 유효성 확인
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
① 역할
1. 인증서비스 제공과 관련된 가입자의 신원확인 업무
2. 인증서 발급/갱신발급/재발급/폐지 업무
3. 인증서 관련 정보 공고
4. 실시간 인증서 유효성 확인
5. 기타 인증서비스와 관련된 업무
② 책임 및 의무사항
1. 우리은행은 정당한 사유없이 전자서명인증서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
2. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
가. 전자서명인증업무 운영기준 준수사실 인정 또는 취소
나. 전자서명인증업무 휴지·정지 또는 폐지
다. 전자서명인증업무의 양도·양수·합병 등
라. 준칙의 제·개정
마. 기타 전자서명인증업무 수행 관련 정보 등
3. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
4. 우리은행은 인증사업자로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서 정보가 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
5. 우리은행은 인증사업자 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지하고 이를 가입자에게 통보합니다.
6. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하여 전자서명인증서비스를 제공하는 것을 원칙으로 합니다. 만약 인증이 없는 암호화 모듈 및 보안 기술 규격을 적용하여 전자서명인증서비스를 제공하는 경우, 우리은행은 안전성을 확보하기 위한 충분한 기술적 검토 및 조치를 수행하며, 이에 대한 책임을 부담합니다.
7. 우리은행은 안전한 전자서명인증서비스를 위해 이상거래 탐지 및 차단 정책을 운영합니다.
1.3.2 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.3 가입자
① 가입자란 전자서명법상 가입자로서 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
② 가입자는 다음과 같은 책임과 의무를 가집니다.
1. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
가. 인증서 발급 신청
나. 인증서의 폐지 신청
다. 가입자 정보 변경
라. 인증서의 갱신발급 신청
마. 인증서의 재발급 신청
2. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
3. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명생성정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
4. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지할 수 있도록 협조하여야 합니다.
1.3.4 이용자
① 이용자란 전자서명법상 이용자로서 우리은행이 제공하는 인증서비스의 이용기관을 말합니다.
② 이용자는 다음과 같은 책임과 의무를 가집니다.
1. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
2. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
가. 인증서 유효 여부의 확인
나. 인증서의 만료 또는 폐지 여부의 확인
다. 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.3.5 기타 관련자
해당 사항 없습니다.
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서 및 우리WON인증서(기업) 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인
주민등록번호를 보유한 대한민국 국민 외국인등록번호를 보유한 외국인
전자서명인증이 필요한 전자거래 업무
- 금융기관업무
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 업무
발급일로부터 3년
기업
우리은행 사업자 계좌를 보유한 개인사업자 및 법인사업자
발급일로부터 1년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지된 인증서를 사용하여서는 안 됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 전자서명인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
① 부서: 인증사업플랫폼부 전자서명인증사업팀
② 이메일: wooriauth@wooribank.com
③ 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
④ 전화번호: 02) 2002-3000
1.5.3 준칙 개정 사유
우리은행의 준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
① 기술적 변경이 필요한 경우
② 절차적 변경이 필요한 경우
③ 기타 준칙의 변경이 필요한 경우
1.5.4 준칙 개정 관리
우리은행의 준칙 제정 이후 기술적 또는 절차적인 변경의 사유로 준칙의 변경이 필요한 경우 우리은행의 인증정책 관리자는 인증업무 관리 책임자의 최종 승인을 받아 이를 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리합니다.
① 준칙의 버전
② 적용 업무 및 범위의 개요
③ 준칙의 제·개정 기록(기존 준칙의 규정, 제·개정 내용 및 사유)
1.5.5 준칙의 승인 절차
우리은행은 준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 공고합니다. 우리은행이 준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 또는 전자우편 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
① "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
② "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
1. 서명자의 신원
2. 서명자가 해당 전자문서에 서명하였다는 사실
③ "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
④ "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
⑤ "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
⑥ "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
⑦ “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
⑧ "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
⑨ “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다.
⑩ “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
⑪ "인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
1. 가입자의 등록정보를 관리하기 위한 시스템
2. 전자서명생성정보를 생성·관리하기 위한 시스템
3. 인증서를 생성·발급·관리하기 위한 시스템
4. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
⑫ “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
⑬ “주체(Subject)”란 인증서에 이름이 지정된 개인 또는 기업을 말합니다.
⑭ “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
⑮ "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
⑯ “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
⑰ “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
⑱ “인증서 폐지”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
⑲ “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서를 저장하고, 필요시 서버에 저장된 인증서를 이용하거나, 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서버를 말합니다.
⑳ “우리은행 웹 보관 서비스”란 우리은행 웹 보관서버(CERT 서버)에 저장된 인증서와 전자서명생성정보를 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서비스를 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
① 우리은행은 준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 언제든 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
② 우리은행은 인증서 폐지 목록 등 전자서명인증업무와 관련된 정보가 있는 공고설비를 이중화 구성(Active-Standby)으로 무중단 운영 및 관리하고, 누구든지 그 사실을 확인할 수 있도록 공고합니다.
③ 우리은행은 우리은행의 최상위인증기관 인증서와 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 뒤 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
① 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0155&fromSite=pib
② 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0153&fromSite=pib
③ 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
④ 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
⑤ CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389/cn=WooriBank Root CA 1,ou=WooriBank Cert,o=WooriBank,c=KR?authorityRevocationList
2.3 공고 주기
① 우리은행은 준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
② 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
③ 우리은행은 가입자 인증서 폐지목록(CRL)을 24시간마다 주기적으로 갱신하며 인증기관 인증서 폐지 목록(ARL)을 100일마다 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 준칙 및 서비스 이용약관에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
3.1.1 명칭의 종류
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다.
인증서 내의 DN(Distinguished Name)는 X.500 표준 및 ASN.1 구문을 사용합니다.
3.1.5 명칭의 고유성
우리은행 가입자 인증서는 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
① 우리WON인증서
1. CN=가입자 이름
2. SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
3. OU=Individual
4. OU=WooriBank Cert
5. O=WooriBank
6. C=KR
② 우리WON인증서(기업)
1. CN=사업자명
2. SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
3. OU=Corporate
4. OU=WooriBank Cert
5. O=WooriBank
6. C=KR
3.1.6 상호명의 인식, 인증 및 역할
가입자는 제3자의 지식재산권을 침해하는 내용이 포함된 인증서를 요청할 수 없습니다. 우리WON인증서(기업)의 DN(Distinguished Name)에는 가입자의 사업자명이 기술되어야 하며, 제3자가 타 사업자명을 이용하여 인증서를 발급하거나 이용할 수 없습니다.
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 기업 신원확인 방법
① 개인사업자는 대면 채널에서 우리WON인증서(기업)을 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 영업점 실명확인 : 영업점 창구 직원은 사업자등록증 또는 사업자등록증명원(90일 이내 발급), 대표자의 실명확인증표를 제출받아 대표자 정보의 일치 여부를 확인합니다. 또한 국세청 홈택스 시스템을 통해 사업자등록상태를 조회하여 사업체의 휴폐업 사실을 확인합니다. 만일 사업자등록증을 통해 대표자 정보의 일치 여부 확인이 불가할 경우, 사업자등록증명원(90일 이내 발급)을 필히 징구합니다. 개인사업자의 경우 대리인에 의한 발급은 불가합니다.
2. 본인확인 또는 SMS인증 : 가입신청자가 앱을 통해 발급을 진행하는 경우, 본인확인기관으로 지정된 통신사에서 제공하는 본인확인 절차를 수행합니다. 가입신청자가 인터넷뱅킹을 통해 발급을 진행하는 경우, 대표자 명의의 휴대전화로 SMS 인증을 수행합니다.
3. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 영업점 신청번호는 신청번호 부여 후 120시간(5일)까지만 유효하며, 제한 시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
4. 사업자 계좌 인증 : 가입신청 사업자 명의의 당행계좌 또는 출금계좌로 등록한 대표자 명의의 당행계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
② 개인사업자는 비대면 채널에서 우리WON인증서(기업)을 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사에서 제공하는 본인확인 절차를 수행합니다.
2. 신분증 진위확인 : 가입신청자는 실명확인증표(주민등록증, 모바일 주민등록증, 운전면허증, 모바일 운전면허증, 여권, 국가보훈증, 모바일 국가보훈증, 외국인등록증, 모바일 외국인등록증, 영주증, 모바일 영주증, 외국국적동포국내거소신고증, 모바일 외국국적동포국내거소신고증)를 촬영하고 진위확인을 진행합니다.
3. 안면인식 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 사업자등록증명원 제출 : 가입신청자는 정부24 전자문서지갑을 통해 전자문서의 형태로 사업자등록증명원을 제출하며, 해당 정보는 우리은행에 등록된 사업자 정보와 비교하여 대표자 정보의 일치 여부, 단독대표 여부, 휴폐업 여부를 확인합니다.
5. 사업자 계좌 인증 : 가입신청 사업자 명의의 당행계좌 또는 출금계좌로 등록한 대표자 명의의 당행계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
③ 법인사업자는 대면 채널에서 우리WON인증서(기업)을 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 영업점 실명확인 : 영업점 창구 직원은 사업자등록증 또는 사업자등록증명원(90일 이내 발급), 법인등기사항전부증명서(3개월 이내 발급), 법인인감증명서(3개월 이내 발급), 대표자의 실명확인증표를 제출받아 대표자 정보의 일치 여부를 확인합니다. 또한 국세청 홈택스 시스템을 통해 사업자등록상태를 조회하여 사업체의 휴폐업 사실을 확인합니다. 만일 사업자등록증을 통해 대표자 정보의 일치성 확인이 불가할 경우, 사업자등록증명원(90일 이내 발급)을 필히 징구합니다. 법인사업자 대리인의 경우 위임관계 서류(대표자의 위임장), 대리인의 실명확인증표와 자격확인서류(재직증명서, 사원증 등)를 추가로 제출받아 대리인의 신분과 위임 여부를 확인합니다.
2. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 1회용 신청번호를 입력하기 위해서는 앱에 로그인해야만 합니다. 영업점 신청번호는 신청번호 부여 후 120시간(5일)까지만 유효하며, 제한 시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
3. 사업자 계좌 인증 : 가입신청 사업자 명의의 당행계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
3.2.3 개인 신원확인 방법
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
① 대면 채널에 의한 발급
1. 영업점 실명확인 : 영업점 창구 직원은 대면으로 실명확인증표를 제출받아 신원을 확인합니다. 단, 14세 미만 내국인 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며 법정대리인의 신분증과 가족관계 확인서류 및 기본증명서를 통해 신원을 확인합니다. 이때 기본증명서는 미성년자 가입신청자 기준으로 발급된 서류이어야 합니다. 외국인등록번호를 보유한 외국인 가입신청자가 대면으로 신원확인을 진행하는 경우 외국인등록증, 영주증, 외국국적동포국내거소신고증 중 하나를 확인합니다. 단, 14세 미만 외국인 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며 외국인등록사실증명, 국적국의 가족관계증명서 및 해당 증명서를 번역 공증한 서류를 통해 신원을 확인합니다. 이때 외국인등록사실증명은 동거가족사항란에 자녀 및 부모의 관계 및 성명, 실명확인번호가 확인되는 서류이어야 합니다.
2. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사가 제공하는 본인확인 절차를 수행합니다.
3. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 영업점 신청번호는 신청번호 부여 후 4시간까지만 유효하며, 제한시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
② 비대면 채널에 의한 발급
1. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사 또는 전자서명인증사업자가 제공하는 본인확인 절차를 수행합니다.
2. 신분증 진위확인 : 가입신청자는 실명확인증표(주민등록증, 모바일 주민등록증, 운전면허증, 모바일 운전면허증, 여권, 국가보훈증, 모바일 국가보훈증, 외국인등록증, 모바일 외국인등록증, 영주증, 모바일 영주증, 외국국적동포국내거소신고증, 모바일 외국국적동포국내거소신고증)를 촬영하고 진위확인을 진행합니다.
3. 안면인식 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
가. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌번호를 입력하고 해당 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
나. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌번호를 입력하고 해당 계좌에 우리은행이 송금한 ‘1원 입금 내역의 적요란 인증코드(’우리‘ 뒤의 숫자 4자리)’를 입력하여 신원확인을 진행합니다.
③ 재외국민 비대면 신원확인 시스템에 의한 발급
1. 여권정보 입력 및 이메일 인증 : 가입신청자는 본인의 거주국가, 휴대폰번호, 주민등록번호, 이메일주소를 입력하고 입력한 이메일로 받은 인증번호를 통해 이메일 인증을 진행합니다.
2. 전자여권 OCR 촬영 : 가입신청자는 전자여권 인적사항 페이지를 촬영하고 위변조 및 등록정보 검증을 진행합니다.
3. 전자여권 IC칩 인식 : 가입신청자는 휴대전화의 NFC 안테나가 위치한 곳을 여권 IC칩이 위치한 곳에 접촉하여 전자여권 위변조 검증을 진행합니다.
4. 안면인식 : 가입신청자는 본인의 얼굴을 촬영하여 여권 인적사항 페이지 상 사진과 여권IC칩 내 사진, 셀피촬영 이미지를 매칭하여 실제 여권소유자가 가입신청자인지를 확인합니다.
5. 추가 신원확인 : 가입신청자가 입력한 정보 및 여권정보를 재외동포인증센터로 보내 정합성 및 신원을 확인합니다.
3.2.4 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.5 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.2.6 상호 운용 기준
해당 사항 없습니다.
3.3 인증서 갱신발급, 재발급, 변경 시 신원확인
3.3.1 인증서 갱신발급 시 신원확인
우리WON인증서 및 우리WON인증서(기업)을 갱신발급하는 경우, 갱신발급 대상인 인증서의 전자서명을 통해 신원확인을 합니다.
3.3.2 인증서 재발급 시 신원확인
우리WON인증서의 경우, 재발급 절차가 존재하지 않습니다. 우리WON인증서(기업)을 재발급하는 경우, 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지 시 가입자는 앱을 통해 폐지 신청하여 본 준칙 “4.9.3 인증서 폐지 절차”에 따라 전자서명 후 인증서를 직접 폐지할 수 있습니다. 앱을 통한 우리WON인증서의 폐지 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
우리은행 사업자계좌를 보유한 개인사업자, 법인사업자는 우리WON인증서(기업) 발급을 신청할 수 있습니다. 단, 법인사업자, 공동대표인 개인사업자, 14세 이상 19세 미만의 개인사업자는 영업점 신청을 통해서만 발급을 신청할 수 있습니다. 개인사업자는 대리인에 의한 발급이 불가합니다.
4.1.2 신청 절차
가입신청자는 우리은행 인증서 발급 어플리케이션과 영업점 방문을 통해 인증서 발급을 신청할 수 있습니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서 및 우리WON인증서(기업)을 발급받는 경우 신원확인의 방법은 다음과 같습니다.
① 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
② 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2 인증서 신규발급 시 신원확인”에 정한 방법을 준용합니다.
③ 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
① 신청 내용이 허위라고 판단되는 경우
② 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
③ 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
④ 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
1. IOS의 Keychain을 지원하지 않는 기기
2. IOS 15.0 미만 또는 Android 8.0 미만의 OS버전을 사용하는 기기
3. OS Custom 또는 앱 위 변조가 탐지됨
4. 재외국민 비대면 신원확인 시스템을 이용할 경우, NFC 기능을 제공하지 않는 기기
5. 우리은행 인터넷뱅킹의 브라우저 지원환경에 해당하지 않는 경우
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 때로부터 1영업일 내 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
① 가입자의 단말기 내에서 키 쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호를 전송합니다.
② 우리은행은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 가입자가 인증서 PIN번호, 패턴 혹은 생체정보를 등록하면 인증서를 발급하여 전송합니다.
③ 우리은행에서 전송받은 인증서와 전자서명생성정보를 가입자의 단말기에 저장합니다. 우리은행은 웹 보관 서비스를 제공하기 위해 우리은행 웹 보관 서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다. 우리WON인증서의 경우 가입자의 선택에 따라 웹 보관 서비스를 제공하며, 우리WON인증서(기업)의 경우 필수적으로 웹 보관 서비스를 제공합니다.
4.3.2 인증서 발급 사실 공지
① 우리은행은 생성된 가입자의 인증서를 안전하게 전달하고 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 발급 사실을 알립니다.
② 우리은행은 인증서 발급 시도 횟수 및 IP주소 등을 통해 인증서 부정발급 시도 등을 탐지, 대응할 수 있도록 인증서 부정발급 상황을 상시 모니터링합니다. 만약 인증서를 부정발급한 사실을 우리은행이 인지한 경우에는 인증서 폐지 후 그 사실을 가입자에게 공지합니다.
4.4 인증서 수령
4.4.1 인증서 수령
우리은행이 생성한 인증서 및 전자서명생성정보는 우리은행이 제공하는 앱을 통해 가입자 단말기에 안전하게 저장합니다. 단, 인증서를 발급한 앱을 삭제할 경우 가입자 단말기에 저장된 인증서 및 전자서명생성정보는 삭제됩니다.
4.4.2 인증서 게시
우리은행은 우리은행의 최상위인증기관, 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하며, 가입자의 인증서는 게시하지 않습니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
4.4.3 다른 개인 또는 기업에 인증서 발급 공지
해당 사항 없습니다.
4.5 인증서 이용
4.5.1 전자서명생성정보 및 인증서 이용
① 우리은행은 가입자의 전자서명생성정보와 인증서의 무결성을 보장하고, 유효기간 동안 안전하게 보호합니다. 또한 인증서의 이용범위, 용도, 유효기간 등 인증서 이용 시 유의해야 할 사항을 가입자가 확인할 수 있도록 합니다.
② 가입자는 정확한 정보 제공, 인증서의 용도 내 사용, 전자서명생성정보의 보호, 전자서명생성정보 안전조치에 대해서 책임과 의무를 집니다. 가입자는 전자서명생성정보가 분실, 훼손, 도난, 유출 등 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지할 수 있도록 협조해야 합니다.
4.5.2 전자서명검증정보 및 인증서 이용
① 우리은행은 가입자의 전자서명검증정보와 인증서의 무결성을 보장하고, 유효기간 동안 안전하게 보호합니다. 또한 인증서의 이용범위, 용도, 유효기간 등 인증서 이용 시 유의해야 할 사항을 이용자가 확인할 수 있도록 합니다.
② 이용자는 본 준칙에서 명시한 인증서 내 확장필드에 정의된 용도로만 전자서명검증정보와 인증서를 이용해야 합니다.
4.6 인증서 갱신발급
4.6.1 인증서 갱신발급 기준
가입자는 앱 내 유효한 인증서가 있는 상태에서 인증서 갱신발급을 신청할 수 있습니다. 우리은행은 인증서 종류별로 인증서 갱신발급에 대한 안내를 앱 푸시, SMS 메시지 또는 카카오 알림톡을 통해 진행할 수 있습니다. 우리WON인증서(기업)의 경우 만료일 90일 전에 갱신발급 안내를 진행할 수 있습니다.
4.6.2 인증서 갱신발급 신청자
인증서 갱신발급 기준에 해당하는 가입자만이 인증서 갱신발급을 신청할 수 있습니다.
4.6.3 인증서 갱신발급 절차
인증서 갱신발급 기준에 해당하는 가입자는 인증서의 유효기간 만료 전까지 아래의 절차에 따라 인증서 갱신발급을 신청할 수 있습니다.
① 가입자는 인증서 이용약관 및 동의서에 동의합니다.
② 가입자는 갱신발급 대상 인증서 PIN번호를 통해 인증서의 소유자임을 인증합니다.
③ 우리은행은 갱신발급요청정보의 전자서명을 검증하고, 새로운 키 쌍을 생성하여 유효기간을 갱신합니다.
4.6.4 인증서 갱신발급 통지
인증서가 가입자에게 전달되면 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 갱신발급 사실을 알립니다.
4.6.5 인증서 갱신발급 승인
“4.4.1 인증서 수령” 항목을 참조합니다.
4.6.6 인증서 갱신발급 게시
“4.4.2 인증서 게시” 항목을 참조합니다.
4.6.7 다른 개인 또는 기업에 인증서 갱신발급 공지
해당 사항 없습니다.
4.7 인증서 재발급
4.7.1 인증서 재발급 기준
우리WON인증서(기업)의 경우 우리은행 앱 내 유효한 인증서가 있는 상태에서 가입자의 키 손상, 유출 및 개인정보 변경 등으로 인해 키 교체가 필요한 경우 인증서 재발급을 진행할 수 있습니다.
4.7.2 인증서 재발급 신청자
인증서 재발급 기준에 해당하는 가입자는 인증서 재발급을 신청할 수 있습니다.
4.7.3 인증서 재발급 절차
“4.3.1 인증서 발급절차” 항목을 참조합니다.
4.7.4 인증서 재발급 통지
인증서 재발급이 완료되면 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 재발급 사실을 알립니다.
4.7.5 인증서 재발급 승인
“4.4.1 인증서 수령” 항목을 참조합니다.
4.7.6 인증서 재발급 게시
“4.4.2 인증서 게시” 항목을 참조합니다.
4.7.7 다른 개인 또는 기업에 인증서 재발급 공지
해당 사항 없습니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지하고 인증서를 신규로 발급을 받아야합니다.
4.8.1 인증서 변경 기준
해당 사항 없습니다.
4.8.2 인증서 변경 신청자
해당 사항 없습니다.
4.8.3 인증서 변경 절차
해당 사항 없습니다.
4.8.4 인증서 변경 통지
해당 사항 없습니다.
4.8.5 인증서 변경 승인
해당 사항 없습니다.
4.8.6 인증서 변경 게시
해당 사항 없습니다.
4.8.7 다른 개인 또는 기업에 인증서 변경 공지
해당 사항 없습니다.
4.9 인증서 효력정지·효력회복·폐지
우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다. 가입자는 인증서를 직접 폐지하거나 영업점 혹은 고객센터를 통해 우리은행에 인증서 폐지를 신청할 수 있습니다.
4.9.1 인증서 폐지 기준
우리은행은 다음 사유 발생 시 해당 인증서를 폐지합니다.
① 가입자가 인증서 폐지를 신청한 경우
② 가입자의 사망, 실종선고 등의 사유가 발생한 경우
③ 가입자의 중요한 정보가 변경(우리WON인증서의 경우 개명 또는 주민등록번호 변경, 우리WON인증서(기업)의 경우 사업자명 변경 또는 대표자 변경)됨을 인지한 경우
④ 가입자가 타인명의의 휴대전화, 신분증, 계좌를 사용하거나 해킹 시도와 같은 부정한 방법으로 인증서를 발급받거나 이용한 사실을 인지한 경우
⑤ 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
⑥ 가입자가 우리은행의 이용약관을 위반한 경우
⑦ 가입자가 우리은행이 정한 신원확인 절차를 수행하지 않고 인증서를 발급받은 사실을 인지한 경우
4.9.2 인증서 폐지 신청자
가입자는 인증서를 폐지하고자 하는 경우 본인이 직접 신청해야 합니다. 인증서 정보의 분실, 훼손, 도난, 유출 등의 사유로 인증서 폐지 신청을 하는 경우 신청인은 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지를 신청할 수 있습니다.
4.9.3 인증서 폐지 절차
우리은행은 다음과 같은 인증서 폐지 요청이 있을 경우 인증서를 폐지합니다.
① 가입자의 신청에 따른 폐지
1. 앱을 통한 폐지
가. 가입자는 앱의 인증서 메뉴에서 ‘삭제’ 버튼을 선택합니다.
나. 가입자는 이전에 등록한 인증서 PIN번호를 입력합니다.
다. 가입자의 전자서명생성정보를 이용하여 폐지 요청 정보를 전자서명 합니다.
라. 우리은행은 가입자 단말기에 저장된 인증서 및 CA서버, 웹 보관 서버의 인증서를 폐지한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
2. 인터넷뱅킹을 통한 폐지
가. 우리WON인증서(기업) 가입자는 인터넷뱅킹의 인증서 메뉴에서 ‘삭제’ 버튼을 선택합니다.
나. 가입자는 이전에 등록한 인증서 PIN번호를 입력합니다.
다. 가입자의 전자서명생성정보를 이용하여 폐지 요청 정보를 전자서명 합니다.
라. 우리은행은 CA서버, 웹 보관 서버의 인증서를 폐지한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
3. 고객센터를 통한 폐지 신청
가. 우리WON인증서 가입자는 고객센터를 통해 인증서 폐지를 신청합니다.
나. 고객센터에서는 위 1. 앱을 통한 폐지 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
다. 우리은행은 인증서를 폐지한 후 폐지 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
4. 영업점 방문을 통한 폐지 신청
가. 우리WON인증서 가입자는 영업점 방문을 통해 인증서 폐지를 신청합니다.
나. 영업점 직원은 위 1. 앱을 통한 폐지 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
다. 우리은행은 인증서를 폐지한 후 폐지 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
② 우리은행의 정책에 따른 폐지
우리은행은 본 준칙 “4.9.1 인증서 폐지 기준”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 우리은행의 정책으로 인증서를 폐지합니다. 이후 가입자 인증서 폐지 결과를 반영한 인증서 폐지목록(CRL)을 24시간 주기로 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
4.9.4 인증서 폐지 신청 유예 기간
해당 사항 없습니다.
4.9.5 인증서 폐지 신청 처리 시간
우리은행은 인증서 폐지 신청자의 동의 의사와 신원을 확인한 후 1영업일 이내에 해당 인증서의 폐지 처리를 완료합니다.
4.9.6 인증서 폐지 확인 요구사항
이용자는 인증서 폐지목록(CRL) 또는 온라인 인증서 상태 프로토콜(OCSP)을 확인하여 인증서의 유효성을 검증할 수 있습니다.
4.9.7 인증서 폐지목록 발행 빈도
우리은행은 인증서 폐지목록(CRL)을 매일 1회 이상 발행합니다.
4.9.8 인증서 폐지목록 발행 최대 소요 시간
인증서 폐지 시 인증서 폐지목록(CRL) 생성 후 공고설비에 게시되기까지 영업일 기준 최대 24시간 소요됩니다.
4.9.9 온라인 인증서 폐지 및 상태 확인
우리은행은 온라인 인증서 유효성 확인 서비스(OCSP)를 사용합니다.
4.9.10 온라인 인증서 폐지 확인 요구사항
우리은행의 온라인 인증서 유효성 확인 서비스(OCSP)는 우리은행과 별도의 계약을 체결한 이용자만이 사용할 수 있습니다. OCSP 응답 메시지 관련 모든 필드는 RFC 6960을 준수합니다.
4.9.11 그 외의 인증서 폐지 알림 수단
인증서 폐지 시 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 인증서 폐지 사실을 알립니다.
4.9.12 키 교체 또는 손상의 특수 요구 사항
해당 사항 없습니다.
4.9.13 인증서 효력 정지 기준
해당 사항 없습니다.
4.9.14 인증서 효력 정지 대상
해당 사항 없습니다.
4.9.15 인증서 효력 정지 절차
해당 사항 없습니다.
4.9.16 인증서 효력 정지 기간
해당 사항 없습니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항 없습니다.
4.11 서비스 가입 철회
가입자는 인증서 폐지 신청을 통하여 전자서명인증서비스의 가입을 철회할 수 있습니다. 서비스 가입 철회 시 가입자 인증서는 폐지되며, 가입자의 개인정보는 우리은행의 개인정보처리방침에 따라 인증서 폐지된 날로부터 5년까지 보유 후 파기됩니다.
4.12 기타 부가 서비스
우리은행은 기타 부가서비스는 제공하지 않습니다.
4.12.1 키 위탁 · 복구 정책 및 절차
해당 사항 없습니다.
4.12.2 세션 키 캡슐화, 복구 정책 및 절차
해당 사항 없습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다.
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
① 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
② 우리은행의 출입통제시스템은 신원확인카드, 안면인식을 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
③ 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
④ 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토합니다.
⑤ 우리은행은 CCTV 카메라 및 모니터링시스템, 보안 검색대 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
⑥ 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 정전 방지
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무정전 전원 공급장치를 사용합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.7 폐기물 처리
① 우리은행은 문서, 이동식 저장매체 등을 폐기하는 경우 물리적으로 이를 파기합니다.
② 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
① 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
② 외벽 재질은 루버 강판으로 축조되어 있으며, Root CA 격실은 3T 이상의 철판으로 보강
5.1.10 항온, 항습, 통풍
① 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
② 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.2 절차적 보호조치
5.2.1 신뢰할 수 있는 역할(Trusted Roles)
① 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 전자서명인증업무를 총괄하며 준칙(CPS) 등 인증서 정책 승인 및 주요 사안의 의사결정과 책임 등을 이행합니다.
2. 인증정책 관리자는 전자서명인증업무 정책의 수립 및 개정, 인증관리 담당자에 대한 정기적인 교육을 수행합니다.
3. 보안관리자는 전자서명인증업무 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 관리하며, 키 생성 및 파기 절차 감독업무를 수행합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성/파기 관리자(HSM관리자)는 키 생성 및 파기 절차 수립 및 이행 관리 업무를 수행하며, 하드웨어 보안모듈(HSM)의 활성화에 필요한 물품과 정보를 제공하는 등 키 생명주기 관리 업무를 수행합니다.
6. 키 생성 소유자는 키 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다.
7. 인증서 발급/생성 관리자는 인증시스템의 설치, 구성 및 유지보수를 담당하며 인증서 발급/갱신발급/재발급/폐지를 관리 및 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 가입자 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 개발자는 인증시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 전자서명인증업무에 필요한 개발을 수행하고 관리합니다.
10. 운영자는 인증센터의 시설 및 장비와 인증시스템의 운영, 백업 및 복구 업무를 수행합니다.
② 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
③ 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 주요 업무별 수행 인력
① 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
② 인증시스템과 하드웨어 보안모듈(HSM)의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
③ 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 신원확인 및 인증
① 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
② 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.2.4 직무 분리가 필요한 역할
우리은행은 할당된 책임 및 업무를 문서화하여 관리하고, 책임 범위 및 보안 관점에서 분리되어야 하는 직무는 동일인이 겸업할 수 없도록 규정합니다.
5.3 인적보안
5.3.1 자격요건
① 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
② 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 인력만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 신원확인 절차
우리은행의 정보보안정책 또는 인사관리정책에 따라 직원 채용 시 필요한 사항에 대해 검증합니다.
5.3.3 교육 및 훈련
① 전자서명인증업무 주요업무 담당자는 업무담당 1년 이내에 업무수행에 필요한 전자서명인증업무 법제, 정책 및 인증서 관리 교육을 이수합니다.
② 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등 필요한 조치를 합니다.
5.3.4 재교육 및 훈련
우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 및 전자서명인증업무 관련 교육을 이수하도록 합니다.
5.3.5 직무 이동 및 순환
① 우리은행은 인증시스템을 관리하는 직원에 대해 업무상 취득한 기밀사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
② 업무순환 및 업무환경의 변화 등으로 인해 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
③ 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.6 비인가 행위 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.3.7 독립 계약자 요건
해당 사항 없습니다.
5.3.8 직원의 문서 공개
해당 사항 없습니다.
5.4 감사 기록
5.4.1 감사기록의 유형
우리은행은 전자서명인증업무 운영과 관련해 다음의 내용을 기록합니다.
① 인증서 관리에 관한 기록(인증서 발급/갱신발급/재발급/폐지)
② 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
③ 인증서 발급에 사용되는 개인정보 등
④ 내부 직원에 의한 운영 및 관리 행위
5.4.2 감사기록 검토 주기
우리은행은 감사기록을 격월 단위로 내부감사자가 검토하고 있습니다.
5.4.3 감사기록의 보존 기간
우리은행은 감사기록을 5년간 보존합니다.
5.4.4 감사기록 보호조치
각 시스템의 감사기록은 내부감사자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.5 감사기록 백업 절차
우리은행은 감사기록을 매일 백업하고 있으며, 전체 데이터는 주 단위로 백업합니다.
5.4.6 감사기록 취합 시스템
우리은행은 감사기록을 직접 취합합니다.
5.4.7 감사기록 대상에 대한 통보
해당 사항 없습니다.
5.4.8 취약점 점검
우리은행은 최소 연 1회 이상 정기적으로 취약점 점검을 수행합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 “5.4.1 감사기록의 유형”에 정의된 내역을 기록 및 보존합니다.
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 폐지일 또는 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지합니다. 보존기록은 허용된 업무범위에 한하여 조회 가능하며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한 보존장소는 항온항습기, 통풍창, 화재경보기를 설치하여 운영합니다.
5.5.4 보존기록의 백업주기 및 백업절차
① 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
② 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.5.5 보존기록의 시간 기준
우리은행은 정확한 기록 유지를 위해 GPS 위성기반 한국 표준시 기반의 NTP(Network Time Protocol) 서버와 동기화합니다.
5.5.6 보존기록 취합시스템
우리은행은 보존기록을 직접 취합합니다.
5.5.7 보존기록 확보 및 검증 절차
우리은행은 정기적으로 보관된 정보의 통계 샘플을 테스트하여 정보의 지속적인 무결성과 가독성을 확인합니다. 인증된 우리은행의 장비, 신뢰할 수 있는 역할 및 기타 인증된 사람만 보존기록에 접근할 수 있습니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신발급된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 컴퓨팅 자원, 소프트웨어, 데이터 훼손에 대한 대책
우리은행은 가입자 인증서에 관련된 주요 데이터가 훼손되거나 파괴가 발생하는 경우에 보존 기록된 자료를 이용하여 복구합니다.
5.7.3 가입자 전자서명생성정보 손상 시 복구 절차
우리은행은 가입자의 전자서명생성정보가 안전하지 않다는 사실을 인지한 경우 가입자 인증서를 폐지하고 신규 키 쌍을 생성하여 가입자 인증서를 다시 발급합니다.
5.7.4 업무 장애방지 등 연속성 보장 대책
① 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
② 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
③ 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 파기와 같은 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 파기와 같은 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 생성 시 보호
6.1.1 전자서명생성정보 생성
① 우리은행은 인가된 자만이 최상위인증기관 및 인증기관의 전자서명생성정보를 생성할 수 있습니다.
② 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 하드웨어 보안모듈(HSM)을 사용하여 최상위인증기관 및 인증기관의 전자서명생성정보를 생성합니다.
③ 최상위인증기관 및 인증기관의 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보 전달
우리은행은 가입자의 전자서명생성정보를 생성하지 않으며 전자서명생성정보는 가입자의 단말 내에서 생성됩니다.
6.1.3 전자서명검증정보 전달
우리은행은 CMP(Certificate Management Protocol) 통신을 통해 서명 요청 및 검증을 하고 인증서를 발급하여 가입자 단말에 저장합니다.
6.1.4 가입자 및 이용자에게 인증기관 전자서명검증정보 전달
우리은행은 우리은행의 최상위인증기관 인증서와 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
6.1.5 키 길이
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 길이의 키 및 해쉬 값을 이용합니다.
① 최상위인증기관
1. RSA 전자서명검증정보: 4,096 bit
2. 해쉬 알고리즘: SHA-2 256 bit
② 인증기관 및 OCSP
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘 : SHA-2 256 bit
③ 가입자
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘: SHA-2 256 bit
6.1.6 전자서명검증정보 매개변수 생성 및 품질검사
우리은행은 전자서명검증정보 매개변수를 생성합니다. 우리은행 인증기관 키는 FIPS 140-2 레벨 3 이상을 준수하는 하드웨어 보안모듈(HSM)에서 생성합니다.
6.1.7 키 사용 용도
① 최상위인증기관 전자서명생성정보 사용 용도
1. 최상위인증기관임을 스스로 보증하기 위한 자체 서명 인증서 발급
2. 인증기관 인증서, OCSP 인증서 등 발급
3. 인증기관 인증서 폐지목록(ARL) 생성
② 인증기관 전자서명생성정보 사용 용도
1. 가입자 인증서 발급
2. 가입자 인증서 폐지목록(CRL) 생성
③ 가입자 전자서명생성정보 사용 용도
1. 가입자 인증서 발급
2. 이용자의 요청에 따른 전자서명 생성
3. 가입자 인증서 폐지 시 폐지하는 전자서명생성정보 소유여부를 확인하기 위한 전자서명 생성
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보 저장장치
우리은행은 인증기관의 전자서명생성정보와 가입자의 전자서명생성정보를 안전하게 저장하기 위해 FIPS 140-2 레벨3 인증을 받은 하드웨어 보안모듈(HSM)을 사용합니다.
6.2.2 전자서명생성정보 다중통제
우리은행은 인증기관의 전자서명생성정보 생성 및 사용 시 최소 5명 중 3인 이상의 키 생성 소유자가 참여합니다.
6.2.3 전자서명생성정보 위탁
해당 사항 없습니다.
6.2.4 전자서명생성정보 백업 보관
① 우리은행은 인증기관의 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
② 우리은행은 백업된 인증기관의 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
③ 우리은행은 인증기관의 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
④ 우리은행은 가입자의 신청에 의해 가입자의 전자서명생성정보를 백업하는 경우, 안전한 암호 알고리즘을 적용하여 웹 보관 서버에 저장합니다.
⑤ 우리은행은 “6.2.10 전자서명생성정보의 삭제 및 파기”에 정한 바에 따라 전자서명생성정보의 삭제 및 파기를 수행합니다.
6.2.5 전자서명생성정보 기록 보존
우리은행은 인증기관의 전자서명생성정보를 “6.2.4 전자서명생성정보의 백업 보관”에 명시된 용도 이외에 별도로 기록을 보존하지 않습니다.
6.2.6 전자서명생성정보 전송 또는 추출
① 인증기관의 전자서명생성정보 백업 및 복구 목적으로 우리은행 승인하에 키 관리 절차서에 정한 바에 따라 인증기관 전자서명생성정보를 추출할 수 있습니다.
② 우리은행에 백업된 가입자의 전자서명생성정보는 가입자의 본인확인 후 신뢰할 수 있는 보안 기술규격을 준용해 추출 후 가입자의 단말기로 안전하게 복원될 수 있습니다.
6.2.7 전자서명생성정보 저장
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보를 “6.2.1 전자서명생성정보 저장장치” 항목의 요건을 충족하는 하드웨어 보안모듈(HSM)에 저장합니다.
6.2.8 전자서명생성정보 활성화
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보가 저장된 하드웨어 보안모듈(HSM)을 활성화할 수 있습니다.
6.2.9 전자서명생성정보 비활성화
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보가 저장된 하드웨어 보안모듈(HSM)을 비활성화할 수 있습니다.
6.2.10 전자서명생성정보의 삭제 및 파기
① 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
1. 인증서 유효기간의 만료
2. 전자서명생성정보의 분실·훼손 또는 도난·유출과 같은 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
② 우리은행 웹 보관 서버에 백업된 가입자의 전자서명생성정보는 다음과 같은 경우 삭제 및 파기할 수 있습니다.
1. 가입자의 신청이 있는 경우
2. 가입자의 인증서가 폐지된 경우
3. 인증서 유효기간의 만료
③ 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있으며, 하드웨어 보안 모듈(HSM) 공급업체가 지정한 절차에 따라 삭제 및 파기합니다.
④ 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
⑤ 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.2.11 암호화 모듈 등급
우리은행은 “6.2.1 전자서명생성정보 저장장치” 인증 요건을 충족하는 하드웨어 보안모듈(HSM)을 사용합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
6.3.1 전자서명검증정보의 보관
인증기관 및 가입자의 인증서는 우리은행 백업절차에 따라 보관됩니다. 우리은행의 전자서명검증정보와 전자서명생성정보는 분실, 훼손, 도난, 유출 방지를 위해 관리적·기술적 보호조치를 하여 인증센터 내 내화금고에 안전하게 보관됩니다.
6.3.2 인증서 운영기간 및 키 쌍 유효기간
인증서는 인증서 내 유효기간 시작일시와 종료일시 사이의 기간동안 유효합니다. 가입자 인증서의 유효기간은 인증서 종류에 따라 1년 또는 3년으로 설정됩니다.
6.4 데이터 보호 조치
6.4.1 활성화 데이터 생성 및 설치
우리은행 인증기관 활성화 데이터는 하드웨어 보안모듈(HSM)로 생성하며, 활성화 데이터는 인증기관 전자서명생성정보를 생성하거나 전자서명 기능 및 하드웨어 보안모듈(HSM)의 세션을 활성화할 때 사용됩니다.
6.4.2 활성화 데이터 보호
① 최상위인증기관 및 인증기관 활성화 데이터는 인증기관 전자서명생성정보와 동일한 수준의 물리적 보호조치를 적용한 공간에 위치하며 내화금고 등의 안전한 장소에 보관합니다.
② 키 생성/파기 관리자는 활성화 데이터를 안전하게 보관 관리하며, 필요시 지정된 키 생성 소유자에게 할당될 수 있도록 배분합니다.
6.4.3 활성화 데이터 추가 고려사항
해당 사항 없습니다.
6.5 시스템 보안 통제
6.5.1 구체적인 컴퓨터 보안 요건
① 우리은행은 인증시스템을 이중화하여 구성합니다.
② 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
③ 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
④ 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.5.2 컴퓨터 보안 등급
해당 사항 없습니다.
6.6 시스템 운영 관리
6.6.1 시스템 개발 통제
우리은행은 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
① 인증시스템의 S/W 등록에 대한 형상관리
② 인증시스템의 변경사항과 운영관리에 대한 형상관리
6.6.2 보안 관리 통제
우리은행은 정보보호 조직을 운영하고 있으며, 정보보호 및 정보 자산에 대한 기밀성, 무결성, 가용성을 위해 정보보호 원칙에 따라 업무를 수행할 수 있도록 관리 및 통제하고 있습니다.
① 전자서명인증업무와 관련된 프로세스의 동작 여부를 점검할 수 있도록 시스템을 운영하고 있습니다.
② 인증시스템 운영에 필요한 최소한의 프로그램만 설치하여 관리하고 있습니다.
③ 인증시스템의 접근을 최소화하고 제한된 인원에 한해 접근권한을 부여하고 있습니다.
④ 인증시스템의 S/W 개발, 도입, 폐지에 대한 적절한 형상 관리를 진행합니다.
6.6.3 생명주기 보안 통제
해당 사항 없습니다.
6.7 네트워크 보호조치
① 우리은행은 인증시스템 관련 네트워크를 이중화하여 장애 발생에 대비하고 안정적인 서비스를 제공합니다.
② 우리은행은 로그기록을 주기적으로 분석하여 인증서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
③ 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 인증시스템을 지속적으로 모니터링 합니다.
6.8 시점확인서비스 보호조치
우리은행은 정확한 기록 유지를 위해 GPS 위성기반 한국 표준시 기반의 NTP(Network Time Protocol) 서버와 동기화합니다.
우리은행 인증서 유효성 확인 서비스 응답자는 RFC 6960에 정의된 ver1을 준수합니다. 인증서 유효성 확인 서비스 요청 메시지가 RFC 6960을 준수하지 않는 경우 응답을 거부할 수 있습니다.
7.3.2 인증서 유효성 확인 서비스 Response
① 기본 필드
번호
필드명
ASN.1 type
비고
1
responseStatus
ENUMERATED
응답코드
2
responseType
OID
id-pkix-ocsp-basic {1.3.6.1.5.5.7.48.1.1}
3
ResponseData
version
INTEGER
V1
responderID
OCTET STRING
OCSP 서버의 주체키 식별자
producedAT
UTCTime
OCSP 응답을 생성한 시간
ResponseData/ responses
요청한 가입자 인증서의 상태 정보
certID
OCSP Request 의 CertID 와 동일
(가입자의 인증서 식별 정보)
certStatus
인증서 상태
(0 – 유효, 1 – 폐지, 2 – 알 수 없음)
thisUpdate
UTCTime
OCSP 갱신 시간
4
signatureAlgorithm
OID
SHA256WithRSAEncryption
5
signature
BIT STRING
OCSP 서버의 전자서명 값
6
certs
OCSP 서버의 인증서 정보
② 확장 필드
번호
필드명
ASN.1 type
비고
1
responseExtensions
ENUMERATED
ocsp-nonce
2
extnld
OID
ocsp-nonce OID
3
extnValue
OCTET STRING
OCTET STRING
8. 감사 및 평가
8.1 감사 및 평가 현황
① 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
② 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
③ 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
④ 우리은행은 인증서 발급 및 관리, 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
① 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
② 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
③ 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
① 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
② 내부감사는 인증부서와는 별도의 다른 조직에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
① 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
② 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
8.5 부적합 사항에 대한 조치
① 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
② 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
① 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
② 내부감사자는 감사에 대한 결과보고 및 결재 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
9.1.1 인증서 발급 및 갱신발급 요금
① 우리WON인증서 가입자에게는 별도의 발급 또는 갱신발급 수수료가 부과되지 않습니다.
② 우리WON인증서(기업) 가입자에게는 발급 또는 갱신발급 수수료가 부과됩니다. 다만, 우리은행의 내부 정책에 따라 수수료를 면제 또는 할인하여 서비스를 제공할 수 있습니다.
③ 이용자가 지불하는 수수료와 환불 정책은 이용자와의 별도 계약에 따릅니다.
9.1.2 인증서 접근 수수료
별도의 인증서 접근 수수료가 부과되지 않습니다.
9.1.3 인증서 폐지목록 정보 확인 수수료
별도의 인증서 폐지목록(CRL 및 ARL) 정보 확인 수수료가 부과되지 않습니다.
9.1.4 기타 서비스 수수료
별도의 기타 서비스 수수료가 부과되지 않습니다.
9.1.5 환불 정책
① 우리WON인증서 가입자의 경우 무료로 서비스를 제공하여, 별도의 환불 정책을 적용하고 있지 않습니다. 우리WON인증서(기업) 가입자의 경우 수수료 납부일 당일을 포함하여 7일 이내에 인증서를 활용한 인증 이력이 존재하지 않는 경우에 한하여 수수료 환급을 요청할 수 있으며, 수수료를 환급받기 위해서는 인증서를 폐지해야 합니다.
② 이용자가 지불하는 수수료 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 배상 적용 범위
우리은행은 우리은행이 전자서명법, 동법 시행령, 동법 시행규칙, 준칙, 이용약관 등을 위반하였거나, 안전하지 않은 알고리즘 등에 따른 기술적 내용의 결함으로 인해 가입자 또는 이용자에게 손해를 입힌 경우 전자서명법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
9.2.2 기타 자산
해당 사항 없습니다.
9.2.3 보험 및 보증의 범위
① 우리은행은 전자서명법, 동법 시행령, 동법 시행규칙, 준칙, 이용약관 등을 위반하여 가입자 또는 이용자에게 손해를 입힌 경우 전자서명법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
② 가입자는 가입자의 고의 또는 과실로 전자서명법, 동법 시행령, 동법 시행규칙, 이용약관 등을 위반하여 우리은행 및 기타 관련자(다른 가입자, 이용자 등)에게 손해를 입힌 경우에는 그 손해를 배상해야 합니다.
③ 이용자는 이용자의 고의 또는 과실로 전자서명법, 동법 시행령, 동법 시행규칙, 이용약관 등을 위반하여 우리은행 및 기타 관련자(가입자, 다른 이용자 등)에게 손해를 입힌 경우에는 그 손해를 배상해야 합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 전자서명인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
① 전자서명생성정보
② 전자서명인증업무 시스템(CA, CERT, OCSP, RA 등)에 접근할 때 사용되는 활성화 데이터
③ 업무연속성 장애대응 비상대책 및 재해 복구 계획
④ 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
⑤ 개인정보로 보유하는 정보
⑥ 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 아래에 게시된 개인정보처리방침에 따라 개인정보를 처리합니다.
① 우리은행 인터넷뱅킹 > 인증센터(개인) > 우리WON인증서 안내 > 개인정보 처리방침 :
https://spib.wooribank.com/pib/Dream?withyou=CTCER0154&fromSite=pib
② 우리WON뱅킹 앱 > 전체 메뉴 > 인증/보안 > 우리WON인증서 > 개인정보처리방침
9.4.2 개인정보로 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보로 간주되지 않는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.4 개인정보 보호의 책임
우리은행은 전자서명인증업무 수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.5 개인정보 수집 및 이용에 대한 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 및 이용 시 개인정보 수집 및 이용에 대한 동의를 받습니다.
9.4.6 사법 또는 행정 절차에 따른 공개
우리은행은 가입자의 개인정보를 “9.4.5 개인정보 수집 및 이용에 대한 동의”에서 가입자에게 동의받은 목적 범위 내에서 처리하며, 고객의 동의 없이는 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다. 다만, 다음 각항의 경우에는 가입자 또는 제3자의 이익을 부당하게 침해할 가능성이 없는 경우에 한하여 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있습니다.
① 전자서명인증서비스의 제공에 따른 요금 정산을 위해 필요한 경우
② 통계·학술연구 또는 시장조사를 위해 필요한 경우로 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우
③ 전자서명법 또는 관련 법령에 규정이 있는 경우
9.4.7 기타 정보 공개 기준
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
① 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
② 본 준칙 및 이용약관
③ 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 지식재산
9.6 보증
① 인증서는 본 준칙에 따라 발급됨을 보증합니다.
② 인증서 내에 포함된 내용이 발급 당시 기준으로 우리은행에 등록된 사실임을 보증합니다.
9.6.1 인증기관 보증
우리은행은 본 준칙의 “9.6 보증” 또는 별도의 계약서에 명시된 경우를 제외하고 우리WON인증 서비스에 대한 어떠한 보증도 일절 하지 않습니다.
9.6.2 등록대행기관 보증
우리은행은 등록대행 기관을 운영하지 않습니다.
9.6.3 가입자 보증
해당 사항 없습니다.
9.6.4 이용자 보증
해당 사항 없습니다.
9.6.5 기타 참가자 보증
해당 사항 없습니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법 시행령 및 시행규칙, 본 준칙, 이용약관 등에서 정한 사항 이외의 사항, 예컨대 가입자의 신용 또는 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
준칙은 홈페이지 및 앱에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지 및 앱에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
① 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
② 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
③ 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
④ 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
준칙은 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.12.1 개정 절차
우리은행은 인증정책 관리자와 인증업무 관리책임자의 결재를 통해 준칙을 개정합니다.
9.12.2 개정 공지
우리은행은 본 준칙의 개정 시 준칙과 그 변경사항을 홈페이지 및 앱에 공지합니다.
9.12.3 인증서 정책 객체식별자(OID) 변경 기준
본 준칙의 개정으로 인해 인증서 정책 객체식별자(Object Identifier) 변경이 요구되는지에 대한 판단은 전적으로 우리은행에 책임이 있습니다.
9.13 분쟁 해결
① 전자서명인증체계 관련자에게 전달되는 전자문서 또는 전자서명은 아래와 같이 법적 효력을 갖습니다.
1. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
2. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
② 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
① 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관련 법령을 준수하여야 합니다.
① 본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하 ’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 ㈜우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
② 본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리WON뱅킹 등 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 “우리WON인증서 및 우리WON인증서(기업)”(이하 ‘인증서’라 함)과 관련된 전자서명인증업무를 대상으로 합니다.
③ 본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 우리은행 최상위인증기관(WooriBank Root CA 1, 이하 ‘최상위인증기관’), 우리은행 인증기관(WooriBank CA 1, 이하 ‘인증기관’)으로 전자서명인증체계를 구성하여 관리합니다.
① 최상위인증기관
1. 안전한 전자서명인증체계 구축 및 운영
2. 전자서명 인증기술의 개발 및 보급
3. 인증기관 검사 및 안전한 운영지원
4. 인증기관 전자서명생성정보에 대한 인증 등 전자서명인증업무 수행
5. 오프라인으로 관리 운영
② 인증기관
1. 가입자의 신원확인
2. 가입자 인증서 발급/갱신/재발급/폐지 업무
3. 인증서 유효성 확인
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
① 역할
1. 인증서비스 제공과 관련된 가입자의 신원확인 업무
2. 인증서 발급/갱신/재발급/폐지 업무
3. 인증서 관련 정보 공고
4. 실시간 인증서 유효성 확인
5. 기타 인증서비스와 관련된 업무
② 책임 및 의무사항
1. 우리은행은 정당한 사유없이 전자서명인증서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
2. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
가. 전자서명인증업무 운영기준 준수사실 인정 또는 취소
나. 전자서명인증업무 휴지·정지 또는 폐지
다. 전자서명인증업무의 양도·양수·합병 등
라. 준칙의 제·개정
마. 기타 전자서명인증업무 수행 관련 정보 등
3. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
4. 우리은행은 인증사업자로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서 정보가 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
5. 우리은행은 인증사업자 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지하고 이를 가입자에게 통보합니다.
6. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하여 전자서명인증서비스를 제공하는 것을 원칙으로 합니다. 만약 인증이 없는 암호화 모듈 및 보안 기술 규격을 적용하여 전자서명인증서비스를 제공하는 경우, 우리은행은 안전성을 확보하기 위한 충분한 기술적 검토 및 조치를 수행하며, 이에 대한 책임을 부담합니다.
7. 우리은행은 안전한 전자서명인증서비스를 위해 이상거래 탐지 및 차단 정책을 운영합니다.
1.3.2 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.3 가입자
① 가입자란 전자서명법상 가입자로서 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
② 가입자는 다음과 같은 책임과 의무를 가집니다.
1. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
가. 인증서 발급 신청
나. 인증서의 폐지 신청
다. 가입자 정보 변경
라. 인증서의 갱신 신청
마. 인증서의 재발급 신청
2. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
3. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명생성정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
4. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지할 수 있도록 협조하여야 합니다.
1.3.4 이용자
① 이용자란 전자서명법상 이용자로서 우리은행이 제공하는 인증서비스의 이용기관을 말합니다.
② 이용자는 다음과 같은 책임과 의무를 가집니다.
1. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
2. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
가. 인증서 유효 여부의 확인
나. 인증서의 만료 또는 폐지 여부의 확인
다. 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.3.5 기타 관련자
해당 사항 없습니다.
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서 및 우리WON인증서(기업) 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인
주민등록번호를 보유한 대한민국 국민 외국인등록번호를 보유한 외국인
전자서명인증이 필요한 전자거래 업무
- 금융기관업무
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 업무
발급일로부터 3년
기업
우리은행 사업자 계좌를 보유한 개인사업자 및 법인사업자
발급일로부터 1년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지된 인증서를 사용하여서는 안 됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 전자서명인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
① 부서: 인증사업플랫폼부 전자서명인증사업팀
② 이메일: wooriauth@wooribank.com
③ 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
④ 전화번호: 02) 2002-3000
1.5.3 준칙 개정 사유
우리은행의 준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
① 기술적 변경이 필요한 경우
② 절차적 변경이 필요한 경우
③ 기타 준칙의 변경이 필요한 경우
1.5.4 준칙 개정 관리
우리은행의 준칙 제정 이후 기술적 또는 절차적인 변경의 사유로 준칙의 변경이 필요한 경우 인증기관의 인증정책 관리자와 최상위인증기관의 인증정책 관리자가 사전 협의를 진행합니다. 이후 전자서명인증업무 관리책임자의 최종 승인을 받아 이를 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리합니다.
① 준칙의 버전
② 적용 업무 및 범위의 개요
③ 준칙의 제·개정 기록(기존 준칙의 규정, 제·개정 내용 및 사유)
1.5.5 준칙의 승인 절차
우리은행은 준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 공고합니다. 우리은행이 준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 또는 전자우편 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
① "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
② "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
1. 서명자의 신원
2. 서명자가 해당 전자문서에 서명하였다는 사실
③ "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
④ "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
⑤ "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
⑥ "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
⑦ “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
⑧ "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
⑨ “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다.
⑩ “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
⑪ "인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
1. 가입자의 등록정보를 관리하기 위한 시스템
2. 전자서명생성정보를 생성·관리하기 위한 시스템
3. 인증서를 생성·발급·관리하기 위한 시스템
4. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
⑫ “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
⑬ “주체(Subject)”란 인증서에 이름이 지정된 개인 또는 기업을 말합니다.
⑭ “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
⑮ "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
⑯ “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
⑰ “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
⑱ “인증서 폐지”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
⑲ “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서를 저장하고, 필요시 서버에 저장된 인증서를 이용하거나, 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서버를 말합니다.
⑳ “우리은행 웹 보관 서비스”란 우리은행 웹 보관서버(CERT 서버)에 저장된 인증서와 전자서명생성정보를 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서비스를 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
① 우리은행은 준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 언제든 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
② 우리은행은 인증서 폐지 목록 등 전자서명인증업무와 관련된 정보가 있는 공고설비를 이중화 구성(Active-Standby)으로 무중단 운영 및 관리하고, 누구든지 그 사실을 확인할 수 있도록 공고합니다.
③ 우리은행은 우리은행의 최상위인증기관 인증서와 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 뒤 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
① 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0155&fromSite=pib
② 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0153&fromSite=pib
③ 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
④ 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
⑤ CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389/cn=WooriBank Root CA 1,ou=WooriBank Cert,o=WooriBank,c=KR?authorityRevocationList
2.3 공고 주기
① 우리은행은 준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
② 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
③ 우리은행은 가입자 인증서 폐지목록(CRL)을 24시간마다 주기적으로 갱신하며 인증기관 인증서 폐지 목록(ARL)을 100일마다 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 준칙 및 서비스 이용약관에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
3.1.1 명칭의 종류
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다.
인증서 내의 DN(Distinguished Name)는 X.500 표준 및 ASN.1 구문을 사용합니다.
3.1.5 명칭의 고유성
우리은행 가입자 인증서는 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
① 우리WON인증서
1. CN=가입자 이름
2. SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
3. OU=Individual
4. OU=WooriBank Cert
5. O=WooriBank
6. C=KR
② 우리WON인증서(기업)
1. CN=사업자명
2. SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
3. OU=Corporate
4. OU=WooriBank Cert
5. O=WooriBank
6. C=KR
3.1.6 상호명의 인식, 인증 및 역할
가입자는 제3자의 지식재산권을 침해하는 내용이 포함된 인증서를 요청할 수 없습니다. 우리WON인증서(기업)의 DN(Distinguished Name)에는 가입자의 사업자명이 기술되어야 하며, 제3자가 타 사업자명을 이용하여 인증서를 발급하거나 이용할 수 없습니다.
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 기업 신원확인 방법
① 개인사업자는 대면 채널에서 우리WON인증서(기업)을 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 영업점 실명확인증표 확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 개인사업자 대표자의 경우 사업자등록증(또는 사업자등록증명원)과 대표자의 실명확인증표를 통해 신원을 확인합니다.
2. 본인확인 또는 SMS인증 : 가입신청자가 앱을 통해 발급을 진행하는 경우, 본인확인기관으로 지정된 통신사에서 제공하는 본인확인 절차를 수행합니다. 가입신청자가 인터넷뱅킹을 통해 발급을 진행하는 경우, 대표자 명의의 휴대전화로 SMS 인증을 수행합니다.
3. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 영업점 신청번호는 신청번호 부여 후 30분까지만 유효하며, 제한 시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
4. 사업자 계좌 검증 : 가입신청 사업자 명의의 당행계좌 또는 출금계좌로 등록한 대표자 명의의 당행계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
② 개인사업자는 비대면 채널에서 우리WON인증서(기업)을 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사에서 제공하는 본인확인 절차를 수행합니다.
2. 실명확인증표 확인 : 가입신청자는 실명확인증표(주민등록증, 모바일 주민등록증, 운전면허증, 모바일 운전면허증, 여권, 국가보훈증, 모바일 국가보훈증, 외국인등록증, 모바일 외국인등록증, 영주증, 모바일 영주증, 외국국적동포국내거소신고증, 모바일 외국국적동포국내거소신고증)를 촬영하고 진위확인을 진행합니다.
3. 안면인증 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 사업자 상태조회 : 가입신청자는 정부24 전자문서지갑을 통해 전자문서의 형태로 사업자등록증명원을 제출하며, 해당 정보는 우리은행에 등록된 사업자 정보와 비교하여 대표자 정보의 일치 여부, 단독대표 여부, 휴폐업 여부를 확인합니다.
5. 사업자 계좌 검증 : 가입신청 사업자 명의의 당행계좌 또는 출금계좌로 등록한 대표자 명의의 당행계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
③ 법인사업자는 대면 채널에서 우리WON인증서(기업)을 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 영업점 실명확인증표 확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 법인사업자 대표자의 경우 사업자등록증(또는 사업자등록증명원), 법인등기사항전부증명서, 법인인감증명서와 대표자의 실명확인증표를 통해 신원을 확인하며, 법인사업자 대리인의 경우 위임관계 서류(대표자의 위임장), 대리인의 실명확인증표와 자격확인서류(재직증명서, 사원증 등)가 추가로 필요합니다.
2. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 1회용 신청번호를 입력하기 위해서는 앱에 로그인해야만 합니다. 영업점 신청번호는 신청번호 부여 후 30분까지만 유효하며, 제한 시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
3. 사업자 계좌 검증 : 가입신청 사업자 명의의 당행계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
3.2.3 개인 신원확인 방법
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
① 대면 채널에 의한 발급
1. 영업점 실명확인증표 확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 단, 14세 미만 내국인 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며 법정대리인의 신분증과 가족관계 확인서류 및 기본증명서를 통해 신원을 확인합니다. 이때 기본증명서는 미성년자 가입신청자 기준으로 발급된 서류이어야 합니다. 외국인등록번호를 보유한 외국인 가입신청자가 대면으로 신원확인을 진행하는 경우 외국인등록증, 영주증, 외국국적동포국내거소신고증 중 하나를 확인합니다. 단, 14세 미만 외국인 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며 외국인등록사실증명, 국적국의 가족관계증명서 및 해당 증명서를 번역 공증한 서류를 통해 신원을 확인합니다. 이때 외국인등록사실증명은 동거가족사항란에 자녀 및 부모의 관계 및 성명, 실명확인번호가 확인되는 서류이어야 합니다.
2. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사가 제공하는 본인확인 절차를 수행합니다.
3. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 영업점 신청번호는 신청번호 부여 후 30분까지만 유효하며, 제한시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
② 비대면 채널에 의한 발급
1. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사 또는 전자서명인증사업자가 제공하는 본인확인 절차를 수행합니다.
2. 실명확인증표 확인 : 가입신청자는 실명확인증표(주민등록증, 모바일 주민등록증, 운전면허증, 모바일 운전면허증, 여권, 국가보훈증, 모바일 국가보훈증, 외국인등록증, 모바일 외국인등록증, 영주증, 모바일 영주증, 외국국적동포국내거소신고증, 모바일 외국국적동포국내거소신고증)를 촬영하고 진위확인을 진행합니다.
3. 안면인증 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
가. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌번호를 입력하고 해당 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
나. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌번호를 입력하고 해당 계좌에 우리은행이 송금한 ‘1원 입금 내역의 적요란 인증코드(’우리‘ 뒤의 숫자 4자리)’를 입력하여 신원확인을 진행합니다.
③ 재외국민 비대면 신원확인 시스템에 의한 발급
1. 개인정보 입력 : 가입신청자는 본인의 거주국가, 휴대폰번호, 주민등록번호, 이메일주소를 입력하고 입력한 이메일로 받은 인증번호를 통해 이메일 검증을 진행합니다.
2. 여권 인적사항 페이지 스캔 : 가입신청자는 전자여권 인적사항 페이지를 촬영하고 위변조 및 등록정보 검증을 진행합니다.
3. 여권 IC칩 스캔 : 가입신청자는 휴대전화의 NFC 안테나가 위치한 곳을 여권 IC칩이 위치한 곳에 접촉하여 전자여권 위변조 검증을 진행합니다.
4. 전자여권 소유자 얼굴인증 : 가입신청자는 본인의 얼굴인증을 진행하여 여권 인적사항 페이지 상 사진과 여권IC칩 내 사진, 셀피촬영 이미지를 매칭하여 실제 여권소유자가 가입신청자인지를 확인합니다.
5. 추가 신원확인 : 가입신청자가 입력한 정보 및 여권정보를 재외동포인증센터로 보내 정합성 및 신원을 확인합니다.
3.2.4 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.5 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.2.6 상호 운용 기준
해당 사항 없습니다.
3.3 인증서 갱신, 재발급, 변경 시 신원확인
3.3.1 인증서 갱신 시 신원확인
우리WON인증서를 갱신하는 경우, 갱신 대상인 인증서의 전자서명을 통해 신원확인을 합니다. 우리WON인증서(기업)을 갱신하는 경우, 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.3.2 인증서 재발급 시 신원확인
우리WON인증서의 경우, 재발급 절차가 존재하지 않습니다. 우리WON인증서(기업)을 재발급하는 경우, 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지 시 가입자는 앱을 통해 폐지 신청하여 본 준칙 “4.9.3 인증서 폐지 절차”에 따라 전자서명 후 인증서를 직접 폐지할 수 있습니다. 앱을 통한 우리WON인증서의 폐지 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
우리은행 사업자계좌를 보유한 개인사업자, 법인사업자는 우리WON인증서(기업) 발급을 신청할 수 있습니다. 단, 법인사업자, 공동대표인 개인사업자, 14세 이상 19세 미만의 개인사업자는 영업점 신청을 통해서만 발급을 신청할 수 있습니다. 개인사업자는 대리인에 의한 발급이 불가합니다.
4.1.2 신청 절차
가입신청자는 우리은행 인증서 발급 어플리케이션과 영업점 방문을 통해 인증서 발급을 신청할 수 있습니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서 및 우리WON인증서(기업)을 발급받는 경우 신원확인의 방법은 다음과 같습니다.
① 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
② 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2 인증서 신규발급 시 신원확인”에 정한 방법을 준용합니다.
③ 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
① 신청 내용이 허위라고 판단되는 경우
② 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
③ 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
④ 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
1. IOS의 Keychain을 지원하지 않는 기기
2. IOS 15.0 미만 또는 Android 8.0 미만의 OS버전을 사용하는 기기
3. OS Custom 또는 앱 위 변조가 탐지됨
4. 재외국민 비대면 신원확인 시스템을 이용할 경우, NFC 기능을 제공하지 않는 기기
5. 우리은행 인터넷뱅킹의 브라우저 지원환경에 해당하지 않는 경우
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 때로부터 1영업일 내 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
① 가입자의 단말기 내에서 키 쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호를 전송합니다.
② 우리은행은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 가입자가 인증서 PIN번호, 패턴 혹은 생체정보를 등록하면 인증서를 발급하여 전송합니다.
③ 우리은행에서 전송받은 인증서와 전자서명생성정보를 가입자의 단말기에 저장합니다. 우리은행은 웹 보관 서비스를 제공하기 위해 우리은행 웹 보관 서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다. 우리WON인증서의 경우 가입자의 선택에 따라 웹 보관 서비스를 제공하며, 우리WON인증서(기업)의 경우 필수적으로 웹 보관 서비스를 제공합니다.
4.3.2 인증서 발급 사실 공지
① 우리은행은 생성된 가입자의 인증서를 안전하게 전달하고 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 발급 사실을 알립니다.
② 우리은행은 인증서 부정발급 시도 등을 탐지, 대응할 수 있도록 인증서 부정발급 상황을 상시 모니터링합니다. 만약 인증서를 부정발급한 사실을 우리은행이 인지한 경우에는 인증서 폐지 후 그 사실을 가입자에게 공지합니다.
4.4 인증서 수령
4.4.1 인증서 수령
우리은행이 생성한 인증서 및 전자서명생성정보는 우리은행이 제공하는 앱을 통해 가입자 단말기에 안전하게 저장합니다. 단, 인증서를 발급한 앱을 삭제할 경우 가입자 단말기에 저장된 인증서 및 전자서명생성정보는 삭제됩니다.
4.4.2 인증서 게시
우리은행은 우리은행의 최상위인증기관, 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하며, 가입자의 인증서는 게시하지 않습니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
4.4.3 다른 개인 또는 기업에 인증서 발급 공지
해당 사항 없습니다.
4.5 인증서 이용
4.5.1 전자서명생성정보 및 인증서 이용
① 우리은행은 가입자의 전자서명생성정보와 인증서의 무결성을 보장하고, 유효기간 동안 안전하게 보호합니다. 또한 인증서의 이용범위, 용도, 유효기간 등 인증서 이용 시 유의해야 할 사항을 가입자가 확인할 수 있도록 합니다.
② 가입자는 정확한 정보 제공, 인증서의 용도 내 사용, 전자서명생성정보의 보호, 전자서명생성정보 안전조치에 대해서 책임과 의무를 집니다. 가입자는 전자서명생성정보가 분실, 훼손, 도난, 유출 등 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지할 수 있도록 협조해야 합니다.
4.5.2 전자서명검증정보 및 인증서 이용
① 우리은행은 가입자의 전자서명검증정보와 인증서의 무결성을 보장하고, 유효기간 동안 안전하게 보호합니다. 또한 인증서의 이용범위, 용도, 유효기간 등 인증서 이용 시 유의해야 할 사항을 이용자가 확인할 수 있도록 합니다.
② 이용자는 본 준칙에서 명시한 인증서 내 확장필드에 정의된 용도로만 전자서명검증정보와 인증서를 이용해야 합니다.
4.6 인증서 갱신
4.6.1 인증서 갱신 기준
가입자는 앱 내 유효한 인증서가 있는 상태에서 인증서 갱신을 신청할 수 있습니다. 우리은행은 인증서 종류별로 인증서 갱신에 대한 안내를 앱 푸시, SMS 메시지 또는 카카오 알림톡을 통해 진행할 수 있습니다. 우리WON인증서(기업)의 경우 만료일 90일 전에 갱신 안내를 진행할 수 있습니다.
4.6.2 인증서 갱신 신청자
인증서 갱신 기준에 해당하는 가입자만이 인증서 갱신을 신청할 수 있습니다.
4.6.3 인증서 갱신 절차
인증서 갱신 기준에 해당하는 가입자는 인증서의 유효기간 만료 전까지 아래의 절차에 따라 인증서 갱신을 신청할 수 있습니다. 단, 우리WON인증서(기업)의 경우 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 인증서 갱신을 신청할 수 있습니다.
① 가입자는 인증서 이용약관 및 동의서에 동의합니다.
② 가입자는 갱신 대상 인증서 PIN번호를 통해 인증서의 소유자임을 인증합니다.
③ 우리은행은 갱신요청정보의 전자서명을 검증하고, 새로운 키 쌍을 생성하여 유효기간을 갱신합니다.
4.6.4 인증서 갱신 통지
인증서가 가입자에게 전달되면 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 갱신 사실을 알립니다.
4.6.5 인증서 갱신 승인
“4.4.1 인증서 수령” 항목을 참조합니다.
4.6.6 인증서 갱신 게시
“4.4.2 인증서 게시” 항목을 참조합니다.
4.6.7 다른 개인 또는 기업에 인증서 갱신 공지
해당 사항 없습니다.
4.7 인증서 재발급
4.7.1 인증서 재발급 기준
우리WON인증서(기업)의 경우 우리은행 앱 내 유효한 인증서가 있는 상태에서 가입자의 키 손상, 유출 및 개인정보 변경 등으로 인해 키 교체가 필요한 경우 인증서 재발급을 진행할 수 있습니다.
4.7.2 인증서 재발급 신청자
인증서 재발급 기준에 해당하는 가입자는 인증서 재발급을 신청할 수 있습니다.
4.7.3 인증서 재발급 절차
“4.3.1 인증서 발급절차” 항목을 참조합니다.
4.7.4 인증서 재발급 통지
인증서 재발급이 완료되면 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 재발급 사실을 알립니다.
4.7.5 인증서 재발급 승인
“4.4.1 인증서 수령” 항목을 참조합니다.
4.7.6 인증서 재발급 게시
“4.4.2 인증서 게시” 항목을 참조합니다.
4.7.7 다른 개인 또는 기업에 인증서 재발급 공지
해당 사항 없습니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지하고 인증서를 신규로 발급을 받아야합니다.
4.8.1 인증서 변경 기준
해당 사항 없습니다.
4.8.2 인증서 변경 신청자
해당 사항 없습니다.
4.8.3 인증서 변경 절차
해당 사항 없습니다.
4.8.4 인증서 변경 통지
해당 사항 없습니다.
4.8.5 인증서 변경 승인
해당 사항 없습니다.
4.8.6 인증서 변경 게시
해당 사항 없습니다.
4.8.7 다른 개인 또는 기업에 인증서 변경 공지
해당 사항 없습니다.
4.9 인증서 효력정지·효력회복·폐지
우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다. 가입자는 인증서를 직접 폐지하거나 영업점 혹은 고객센터를 통해 우리은행에 인증서 폐지를 신청할 수 있습니다.
4.9.1 인증서 폐지 기준
우리은행은 다음 사유 발생 시 해당 인증서를 폐지합니다.
① 가입자가 인증서 폐지를 신청한 경우
② 가입자의 사망, 실종선고 등의 사유가 발생한 경우
③ 가입자의 중요한 정보가 변경(우리WON인증서의 경우 개명 또는 주민등록번호 변경, 우리WON인증서(기업)의 경우 사업자명 변경 또는 대표자 변경)됨을 인지한 경우
④ 가입자가 타인명의의 휴대전화, 신분증, 계좌를 사용하거나 해킹 시도와 같은 부정한 방법으로 인증서를 발급받거나 이용한 사실을 인지한 경우
⑤ 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
⑥ 가입자가 우리은행의 이용약관을 위반한 경우
⑦ 가입자가 우리은행이 정한 신원확인 절차를 수행하지 않고 인증서를 발급받은 사실을 인지한 경우
4.9.2 인증서 폐지 신청자
가입자는 인증서를 폐지하고자 하는 경우 본인이 직접 신청해야 합니다. 인증서 정보의 분실, 훼손, 도난, 유출 등의 사유로 인증서 폐지 신청을 하는 경우 신청인은 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지를 신청할 수 있습니다.
4.9.3 인증서 폐지 절차
우리은행은 다음과 같은 인증서 폐지 요청이 있을 경우 인증서를 폐지합니다.
① 가입자의 신청에 따른 폐지
1. 앱을 통한 폐지
가. 가입자는 앱의 인증서 메뉴에서 ‘삭제’ 버튼을 선택합니다.
나. 가입자는 이전에 등록한 인증서 PIN번호를 입력합니다.
다. 가입자의 전자서명생성정보를 이용하여 폐지 요청 정보를 전자서명 합니다.
라. 우리은행은 가입자 단말기에 저장된 인증서 및 CA서버, 웹 보관 서버의 인증서를 폐지한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
2. 인터넷뱅킹을 통한 폐지
가. 우리WON인증서(기업) 가입자는 인터넷뱅킹의 인증서 메뉴에서 ‘삭제’ 버튼을 선택합니다.
나. 가입자는 이전에 등록한 인증서 PIN번호를 입력합니다.
다. 가입자의 전자서명생성정보를 이용하여 폐지 요청 정보를 전자서명 합니다.
라. 우리은행은 CA서버, 웹 보관 서버의 인증서를 폐지한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
3. 고객센터를 통한 폐지 신청
가. 우리WON인증서 가입자는 고객센터를 통해 인증서 폐지를 신청합니다.
나. 고객센터에서는 위 1. 앱을 통한 폐지 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
다. 우리은행은 인증서를 폐지한 후 폐지 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
4. 영업점 방문을 통한 폐지 신청
가. 우리WON인증서 가입자는 영업점 방문을 통해 인증서 폐지를 신청합니다.
나. 영업점 직원은 위 1. 앱을 통한 폐지 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
다. 우리은행은 인증서를 폐지한 후 폐지 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
② 우리은행의 정책에 따른 폐지
우리은행은 본 준칙 “4.9.1 인증서 폐지 기준”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 우리은행의 정책으로 인증서를 폐지합니다. 이후 가입자 인증서 폐지 결과를 반영한 인증서 폐지목록(CRL)을 24시간 주기로 갱신하고 그 사실을 확인할 수 있도록 공고합니다.
4.9.4 인증서 폐지 신청 유예 기간
해당 사항 없습니다.
4.9.5 인증서 폐지 신청 처리 시간
우리은행은 인증서 폐지 신청자의 동의 의사와 신원을 확인한 후 1영업일 이내에 해당 인증서의 폐지 처리를 완료합니다.
4.9.6 인증서 폐지 확인 요구사항
이용자는 인증서 폐지목록(CRL) 또는 온라인 인증서 상태 프로토콜(OCSP)을 확인하여 인증서의 유효성을 검증할 수 있습니다.
4.9.7 인증서 폐지목록 발행 빈도
우리은행은 인증서 폐지목록(CRL)을 매일 1회 이상 발행합니다.
4.9.8 인증서 폐지목록 발행 최대 소요 시간
인증서 폐지 시 인증서 폐지목록(CRL) 생성 후 공고설비에 게시되기까지 영업일 기준 최대 24시간 소요됩니다.
4.9.9 온라인 인증서 폐지 및 상태 확인
우리은행은 온라인 인증서 유효성 확인 서비스(OCSP)를 사용합니다.
4.9.10 온라인 인증서 폐지 확인 요구사항
우리은행의 온라인 인증서 유효성 확인 서비스(OCSP)는 우리은행과 별도의 계약을 체결한 이용자만이 사용할 수 있습니다. OCSP 응답 메시지 관련 모든 필드는 RFC 6960을 준수합니다.
4.9.11 그 외의 인증서 폐지 알림 수단
인증서 폐지 시 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 인증서 폐지 사실을 알립니다.
4.9.12 키 교체 또는 손상의 특수 요구 사항
해당 사항 없습니다.
4.9.13 인증서 효력 정지 기준
해당 사항 없습니다.
4.9.14 인증서 효력 정지 대상
해당 사항 없습니다.
4.9.15 인증서 효력 정지 절차
해당 사항 없습니다.
4.9.16 인증서 효력 정지 기간
해당 사항 없습니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항 없습니다.
4.11 서비스 가입 철회
가입자는 인증서 폐지 신청을 통하여 전자서명인증서비스의 가입을 철회할 수 있습니다. 서비스 가입 철회 시 가입자 인증서는 폐지되며, 가입자의 개인정보는 우리은행의 개인정보처리방침에 따라 인증서 폐지된 날로부터 5년까지 보유 후 파기됩니다.
4.12 기타 부가 서비스
우리은행은 기타 부가서비스는 제공하지 않습니다.
4.12.1 키 위탁 · 복구 정책 및 절차
해당 사항 없습니다.
4.12.2 세션 키 캡슐화, 복구 정책 및 절차
해당 사항 없습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다.
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
① 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
② 우리은행의 출입통제시스템은 신원확인카드, 안면인식을 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
③ 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
④ 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토합니다.
⑤ 우리은행은 CCTV 카메라 및 모니터링시스템, 보안 검색대 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
⑥ 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 정전 방지
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무정전 전원 공급장치를 사용합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.7 폐기물 처리
① 우리은행은 문서, 이동식 저장매체 등을 폐기하는 경우 물리적으로 이를 파기합니다.
② 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
① 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
② 외벽 재질은 루버 강판으로 축조되어 있으며, Root CA 격실은 3T 이상의 철판으로 보강
5.1.10 항온, 항습, 통풍
① 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
② 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.2 절차적 보호조치
5.2.1 신뢰할 수 있는 역할(Trusted Roles)
① 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 전자서명인증업무를 총괄하며 준칙(CPS) 등 인증서 정책 승인 및 주요 사안의 의사결정과 책임 등을 이행합니다.
2. 인증정책 관리자는 전자서명인증업무 정책의 수립 및 개정, 인증관리 담당자에 대한 정기적인 교육을 수행합니다.
3. 보안관리자는 전자서명인증업무 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 관리하며, 키 생성 및 파기 절차 감독업무를 수행합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성/파기 관리자(HSM관리자)는 키 생성 및 파기 절차 수립 및 이행 관리 업무를 수행하며, 하드웨어 보안모듈(HSM)의 활성화에 필요한 물품과 정보를 제공하는 등 키 생명주기 관리 업무를 수행합니다.
6. 키 생성 소유자는 키 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다.
7. 인증서 발급/생성 관리자는 인증시스템의 설치, 구성 및 유지보수를 담당하며 인증서 발급/갱신/재발급/폐지를 관리 및 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 가입자 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 개발자는 인증시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 전자서명인증업무에 필요한 개발을 수행하고 관리합니다.
10. 운영자는 인증센터의 시설 및 장비와 인증시스템의 운영, 백업 및 복구 업무를 수행합니다.
② 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
③ 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 주요 업무별 수행 인력
① 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
② 인증시스템과 하드웨어 보안모듈(HSM)의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
③ 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 신원확인 및 인증
① 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
② 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.2.4 직무 분리가 필요한 역할
우리은행은 할당된 책임 및 업무를 문서화하여 관리하고, 책임 범위 및 보안 관점에서 분리되어야 하는 직무는 동일인이 겸업할 수 없도록 규정합니다.
5.3 인적보안
5.3.1 자격요건
① 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
② 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 인력만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 신원확인 절차
우리은행의 정보보안정책 또는 인사관리정책에 따라 직원 채용 시 필요한 사항에 대해 검증합니다.
5.3.3 교육 및 훈련
① 전자서명인증업무 주요업무 담당자는 업무담당 1년 이내에 업무수행에 필요한 전자서명인증업무 법제, 정책 및 인증서 관리 교육을 이수합니다.
② 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등 필요한 조치를 합니다.
5.3.4 재교육 및 훈련
우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
5.3.5 직무 이동 및 순환
① 우리은행은 인증시스템을 관리하는 직원에 대해 업무상 취득한 기밀사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
② 업무순환 및 업무환경의 변화 등으로 인해 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
③ 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.6 비인가 행위 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.3.7 독립 계약자 요건
해당 사항 없습니다.
5.3.8 직원의 문서 공개
해당 사항 없습니다.
5.4 감사 기록
5.4.1 감사기록의 유형
우리은행은 전자서명인증업무 운영과 관련해 다음의 내용을 기록합니다.
① 인증서 관리에 관한 기록(인증서 발급/갱신/재발급/폐지)
② 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
③ 인증서 발급에 사용되는 개인정보 등
④ 내부 직원에 의한 운영 및 관리 행위
5.4.2 감사기록 검토 주기
우리은행은 감사기록을 격월 단위로 내부감사자가 검토하고 있습니다.
5.4.3 감사기록의 보존 기간
우리은행은 감사기록을 5년간 보존합니다.
5.4.4 감사기록 보호조치
각 시스템의 감사기록은 내부감사자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.5 감사기록 백업 절차
우리은행은 감사기록을 매일 백업하고 있으며, 전체 데이터는 주 단위로 백업합니다.
5.4.6 감사기록 취합 시스템
우리은행은 감사기록을 직접 취합합니다.
5.4.7 감사기록 대상에 대한 통보
해당 사항 없습니다.
5.4.8 취약점 점검
우리은행은 최소 연 1회 이상 정기적으로 취약점 점검을 수행합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 “5.4.1 감사기록의 유형”에 정의된 내역을 기록 및 보존합니다.
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 폐지일 또는 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지합니다. 보존기록은 허용된 업무범위에 한하여 조회 가능하며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한 보존장소는 항온항습기, 통풍창, 화재경보기를 설치하여 운영합니다.
5.5.4 보존기록의 백업주기 및 백업절차
① 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
② 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.5.5 보존기록의 시간 기준
우리은행은 정확한 기록 유지를 위해 GPS 위성기반 한국 표준시 기반의 NTP(Network Time Protocol) 서버와 동기화합니다.
5.5.6 보존기록 취합시스템
우리은행은 보존기록을 직접 취합합니다.
5.5.7 보존기록 확보 및 검증 절차
우리은행은 정기적으로 보관된 정보의 통계 샘플을 테스트하여 정보의 지속적인 무결성과 가독성을 확인합니다. 인증된 우리은행의 장비, 신뢰할 수 있는 역할 및 기타 인증된 사람만 보존기록에 접근할 수 있습니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 컴퓨팅 자원, 소프트웨어, 데이터 훼손에 대한 대책
우리은행은 가입자 인증서에 관련된 주요 데이터가 훼손되거나 파괴가 발생하는 경우에 보존 기록된 자료를 이용하여 복구합니다.
5.7.3 가입자 전자서명생성정보 손상 시 복구 절차
우리은행은 가입자의 전자서명생성정보가 안전하지 않다는 사실을 인지한 경우 가입자 인증서를 폐지하고 신규 키 쌍을 생성하여 가입자 인증서를 다시 발급합니다.
5.7.4 업무 장애방지 등 연속성 보장 대책
① 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
② 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
③ 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 파기와 같은 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 파기와 같은 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 생성 시 보호
6.1.1 전자서명생성정보 생성
① 우리은행은 인가된 자만이 최상위인증기관 및 인증기관의 전자서명생성정보를 생성할 수 있습니다.
② 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 하드웨어 보안모듈(HSM)을 사용하여 최상위인증기관 및 인증기관의 전자서명생성정보를 생성합니다.
③ 최상위인증기관 및 인증기관의 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보 전달
우리은행은 가입자의 전자서명생성정보를 생성하지 않으며 전자서명생성정보는 가입자의 단말 내에서 생성됩니다.
6.1.3 전자서명검증정보 전달
우리은행은 CMP(Certificate Management Protocol) 통신을 통해 서명 요청 및 검증을 하고 인증서를 발급하여 가입자 단말에 저장합니다.
6.1.4 가입자 및 이용자에게 인증기관 전자서명검증정보 전달
우리은행은 우리은행의 최상위인증기관 인증서와 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
6.1.5 키 길이
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 길이의 키 및 해쉬 값을 이용합니다.
① 최상위인증기관
1. RSA 전자서명검증정보: 4,096 bit
2. 해쉬 알고리즘: SHA-2 256 bit
② 인증기관 및 OCSP
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘 : SHA-2 256 bit
③ 가입자
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘: SHA-2 256 bit
6.1.6 전자서명검증정보 매개변수 생성 및 품질검사
우리은행은 전자서명검증정보 매개변수를 생성합니다. 우리은행 인증기관 키는 FIPS 140-2 레벨 3 이상을 준수하는 하드웨어 보안모듈(HSM)에서 생성합니다.
6.1.7 키 사용 용도
① 최상위인증기관 전자서명생성정보 사용 용도
1. 최상위인증기관임을 스스로 보증하기 위한 자체 서명 인증서 발급
2. 인증기관 인증서, OCSP 인증서 등 발급
3. 인증기관 인증서 폐지목록(ARL) 생성
② 인증기관 전자서명생성정보 사용 용도
1. 가입자 인증서 발급
2. 가입자 인증서 폐지목록(CRL) 생성
③ 가입자 전자서명생성정보 사용 용도
1. 가입자 인증서 발급
2. 이용자의 요청에 따른 전자서명 생성
3. 가입자 인증서 폐지 시 폐지하는 전자서명생성정보 소유여부를 확인하기 위한 전자서명 생성
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보 저장장치
우리은행은 인증기관의 전자서명생성정보와 가입자의 전자서명생성정보를 안전하게 저장하기 위해 FIPS 140-2 레벨3 인증을 받은 하드웨어 보안모듈(HSM)을 사용합니다.
6.2.2 전자서명생성정보 다중통제
우리은행은 인증기관의 전자서명생성정보 생성 및 사용 시 최소 5명 중 3인 이상의 키 생성 소유자가 참여합니다.
6.2.3 전자서명생성정보 위탁
해당 사항 없습니다.
6.2.4 전자서명생성정보 백업 보관
① 우리은행은 인증기관의 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
② 우리은행은 백업된 인증기관의 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
③ 우리은행은 인증기관의 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
④ 우리은행은 가입자의 신청에 의해 가입자의 전자서명생성정보를 백업하는 경우, 안전한 암호 알고리즘을 적용하여 웹 보관 서버에 저장합니다.
⑤ 우리은행은 “6.2.10 전자서명생성정보의 삭제 및 파기”에 정한 바에 따라 전자서명생성정보의 삭제 및 파기를 수행합니다.
6.2.5 전자서명생성정보 기록 보존
우리은행은 인증기관의 전자서명생성정보를 “6.2.4 전자서명생성정보의 백업 보관”에 명시된 용도 이외에 별도로 기록을 보존하지 않습니다.
6.2.6 전자서명생성정보 전송 또는 추출
① 인증기관의 전자서명생성정보 백업 및 복구 목적으로 우리은행 승인하에 키 관리 절차서에 정한 바에 따라 인증기관 전자서명생성정보를 추출할 수 있습니다.
② 우리은행에 백업된 가입자의 전자서명생성정보는 가입자의 본인확인 후 신뢰할 수 있는 보안 기술규격을 준용해 추출 후 가입자의 단말기로 안전하게 복원될 수 있습니다.
6.2.7 전자서명생성정보 저장
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보를 “6.2.1 전자서명생성정보 저장장치” 항목의 요건을 충족하는 하드웨어 보안모듈(HSM)에 저장합니다.
6.2.8 전자서명생성정보 활성화
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보가 저장된 하드웨어 보안모듈(HSM)을 활성화할 수 있습니다.
6.2.9 전자서명생성정보 비활성화
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보가 저장된 하드웨어 보안모듈(HSM)을 비활성화할 수 있습니다.
6.2.10 전자서명생성정보의 삭제 및 파기
① 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
1. 인증서 유효기간의 만료
2. 전자서명생성정보의 분실·훼손 또는 도난·유출과 같은 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
② 우리은행 웹 보관 서버에 백업된 가입자의 전자서명생성정보는 다음과 같은 경우 삭제 및 파기할 수 있습니다.
1. 가입자의 신청이 있는 경우
2. 가입자의 인증서가 폐지된 경우
3. 인증서 유효기간의 만료
③ 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있으며, 하드웨어 보안 모듈(HSM) 공급업체가 지정한 절차에 따라 삭제 및 파기합니다.
④ 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
⑤ 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.2.11 암호화 모듈 등급
우리은행은 “6.2.1 전자서명생성정보 저장장치” 인증 요건을 충족하는 하드웨어 보안모듈(HSM)을 사용합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
6.3.1 전자서명검증정보의 보관
인증기관 및 가입자의 인증서는 우리은행 백업절차에 따라 보관됩니다. 우리은행의 전자서명검증정보와 전자서명생성정보는 분실, 훼손, 도난, 유출 방지를 위해 관리적·기술적 보호조치를 하여 인증센터 내 내화금고에 안전하게 보관됩니다.
6.3.2 인증서 운영기간 및 키 쌍 유효기간
인증서는 인증서 내 유효기간 시작일시와 종료일시 사이의 기간동안 유효합니다. 가입자 인증서의 유효기간은 인증서 종류에 따라 1년 또는 3년으로 설정됩니다.
6.4 데이터 보호 조치
6.4.1 활성화 데이터 생성 및 설치
우리은행 인증기관 활성화 데이터는 하드웨어 보안모듈(HSM)로 생성하며, 활성화 데이터는 인증기관 전자서명생성정보를 생성하거나 전자서명 기능 및 하드웨어 보안모듈(HSM)의 세션을 활성화할 때 사용됩니다.
6.4.2 활성화 데이터 보호
① 최상위인증기관 및 인증기관 활성화 데이터는 인증기관 전자서명생성정보와 동일한 수준의 물리적 보호조치를 적용한 공간에 위치하며 내화금고 등의 안전한 장소에 보관합니다.
② 키 생성/파기 관리자는 활성화 데이터를 안전하게 보관 관리하며, 필요시 지정된 키 생성 소유자에게 할당될 수 있도록 배분합니다.
6.4.3 활성화 데이터 추가 고려사항
해당 사항 없습니다.
6.5 시스템 보안 통제
6.5.1 구체적인 컴퓨터 보안 요건
① 우리은행은 인증시스템을 이중화하여 구성합니다.
② 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
③ 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
④ 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.5.2 컴퓨터 보안 등급
해당 사항 없습니다.
6.6 시스템 운영 관리
6.6.1 시스템 개발 통제
우리은행은 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
① 인증시스템의 S/W 등록에 대한 형상관리
② 인증시스템의 변경사항과 운영관리에 대한 형상관리
6.6.2 보안 관리 통제
우리은행은 정보보호 조직을 운영하고 있으며, 정보보호 및 정보 자산에 대한 기밀성, 무결성, 가용성을 위해 정보보호 원칙에 따라 업무를 수행할 수 있도록 관리 및 통제하고 있습니다.
① 전자서명인증업무와 관련된 프로세스의 동작 여부를 점검할 수 있도록 시스템을 운영하고 있습니다.
② 인증시스템 운영에 필요한 최소한의 프로그램만 설치하여 관리하고 있습니다.
③ 인증시스템의 접근을 최소화하고 제한된 인원에 한해 접근권한을 부여하고 있습니다.
④ 인증시스템의 S/W 개발, 도입, 폐지에 대한 적절한 형상 관리를 진행합니다.
6.6.3 생명주기 보안 통제
해당 사항 없습니다.
6.7 네트워크 보호조치
① 우리은행은 인증시스템 관련 네트워크를 이중화하여 장애 발생에 대비하고 안정적인 서비스를 제공합니다.
② 우리은행은 로그기록을 주기적으로 분석하여 인증서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
③ 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 인증시스템을 지속적으로 모니터링 합니다.
6.8 시점확인서비스 보호조치
우리은행은 정확한 기록 유지를 위해 GPS 위성기반 한국 표준시 기반의 NTP(Network Time Protocol) 서버와 동기화합니다.
우리은행 인증서 유효성 확인 서비스 응답자는 RFC 6960에 정의된 ver1을 준수합니다. 인증서 유효성 확인 서비스 요청 메시지가 RFC 6960을 준수하지 않는 경우 응답을 거부할 수 있습니다.
7.3.2 인증서 유효성 확인 서비스 Response
① 기본 필드
번호
필드명
ASN.1 type
비고
1
responseStatus
ENUMERATED
응답코드
2
responseType
OID
id-pkix-ocsp-basic {1.3.6.1.5.5.7.48.1.1}
3
ResponseData
version
INTEGER
V1
responderID
OCTET STRING
OCSP 서버의 주체키 식별자
producedAT
UTCTime
OCSP 응답을 생성한 시간
ResponseData/ responses
요청한 가입자 인증서의 상태 정보
certID
OCSP Request 의 CertID 와 동일
(가입자의 인증서 식별 정보)
certStatus
인증서 상태
(0 – 유효, 1 – 폐지, 2 – 알 수 없음)
thisUpdate
UTCTime
OCSP 갱신 시간
4
signatureAlgorithm
OID
SHA256WithRSAEncryption
5
signature
BIT STRING
OCSP 서버의 전자서명 값
6
certs
OCSP 서버의 인증서 정보
② 확장 필드
번호
필드명
ASN.1 type
비고
1
responseExtensions
ENUMERATED
ocsp-nonce
2
extnld
OID
ocsp-nonce OID
3
extnValue
OCTET STRING
OCTET STRING
8. 감사 및 평가
8.1 감사 및 평가 현황
① 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
② 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
③ 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
④ 우리은행은 인증서 발급 및 관리, 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
① 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
② 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
③ 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
① 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
② 내부감사는 인증부서와는 별도의 다른 조직에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
① 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
② 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
8.5 부적합 사항에 대한 조치
① 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
② 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
① 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
② 내부감사자는 감사에 대한 결과보고 및 결재 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
9.1.1 인증서 발급 및 갱신 요금
① 우리WON인증서 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
② 우리WON인증서(기업) 가입자에게는 발급 또는 갱신 수수료가 부과됩니다. 다만, 우리은행의 내부 정책에 따라 수수료를 면제 또는 할인하여 서비스를 제공할 수 있습니다.
③ 이용자가 지불하는 수수료와 환불 정책은 이용자와의 별도 계약에 따릅니다.
9.1.2 인증서 접근 수수료
별도의 인증서 접근 수수료가 부과되지 않습니다.
9.1.3 인증서 폐지목록 정보 확인 수수료
별도의 인증서 폐지목록(CRL 및 ARL) 정보 확인 수수료가 부과되지 않습니다.
9.1.4 기타 서비스 수수료
별도의 기타 서비스 수수료가 부과되지 않습니다.
9.1.5 환불 정책
① 우리WON인증서 가입자의 경우 무료로 서비스를 제공하여, 별도의 환불 정책을 적용하고 있지 않습니다. 우리WON인증서(기업) 가입자의 경우 수수료 납부일 당일을 포함하여 7일 이내에 인증서를 활용한 인증 이력이 존재하지 않는 경우에 한하여 수수료 환급을 요청할 수 있으며, 수수료를 환급받기 위해서는 인증서를 폐지해야 합니다.
② 이용자가 지불하는 수수료 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 배상 적용 범위
우리은행은 우리은행이 전자서명법, 동법 시행령, 동법 시행규칙, 준칙, 이용약관 등을 위반하였거나, 안전하지 않은 알고리즘 등에 따른 기술적 내용의 결함으로 인해 가입자 또는 이용자에게 손해를 입힌 경우 전자서명법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
9.2.2 기타 자산
해당 사항 없습니다.
9.2.3 보험 및 보증의 범위
① 우리은행은 전자서명법, 동법 시행령, 동법 시행규칙, 준칙, 이용약관 등을 위반하여 가입자 또는 이용자에게 손해를 입힌 경우 전자서명법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
② 가입자는 가입자의 고의 또는 과실로 전자서명법, 동법 시행령, 동법 시행규칙, 이용약관 등을 위반하여 우리은행 및 기타 관련자(다른 가입자, 이용자 등)에게 손해를 입힌 경우에는 그 손해를 배상해야 합니다.
③ 이용자는 이용자의 고의 또는 과실로 전자서명법, 동법 시행령, 동법 시행규칙, 이용약관 등을 위반하여 우리은행 및 기타 관련자(가입자, 다른 이용자 등)에게 손해를 입힌 경우에는 그 손해를 배상해야 합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 전자서명인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
① 전자서명생성정보
② 전자서명인증업무 시스템(CA, CERT, OCSP, RA 등)에 접근할 때 사용되는 활성화 데이터
③ 업무연속성 장애대응 비상대책 및 재해 복구 계획
④ 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
⑤ 개인정보로 보유하는 정보
⑥ 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 아래에 게시된 개인정보처리방침에 따라 개인정보를 처리합니다.
① 우리은행 인터넷뱅킹 > 인증센터(개인) > 우리WON인증서 안내 > 개인정보 처리방침 :
https://spib.wooribank.com/pib/Dream?withyou=CTCER0154&fromSite=pib
② 우리WON뱅킹 앱 > 전체 메뉴 > 인증/보안 > 우리WON인증서 > 개인정보처리방침
9.4.2 개인정보로 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보로 간주되지 않는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.4 개인정보 보호의 책임
우리은행은 전자서명인증업무 수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.5 개인정보 수집 및 이용에 대한 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 및 이용 시 개인정보 수집 및 이용에 대한 동의를 받습니다.
9.4.6 사법 또는 행정 절차에 따른 공개
우리은행은 가입자의 개인정보를 “9.4.5 개인정보 수집 및 이용에 대한 동의”에서 가입자에게 동의받은 목적 범위 내에서 처리하며, 고객의 동의 없이는 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다. 다만, 다음 각항의 경우에는 가입자 또는 제3자의 이익을 부당하게 침해할 가능성이 없는 경우에 한하여 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있습니다.
① 전자서명인증서비스의 제공에 따른 요금 정산을 위해 필요한 경우
② 통계·학술연구 또는 시장조사를 위해 필요한 경우로 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우
③ 전자서명법 또는 관련 법령에 규정이 있는 경우
9.4.7 기타 정보 공개 기준
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
① 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
② 본 준칙 및 이용약관
③ 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 지식재산
9.6 보증
① 인증서는 본 준칙에 따라 발급됨을 보증합니다.
② 인증서 내에 포함된 내용이 발급 당시 기준으로 우리은행에 등록된 사실임을 보증합니다.
9.6.1 인증기관 보증
우리은행은 본 준칙의 “9.6 보증” 또는 별도의 계약서에 명시된 경우를 제외하고 우리WON인증 서비스에 대한 어떠한 보증도 일절 하지 않습니다.
9.6.2 등록대행기관 보증
우리은행은 등록대행 기관을 운영하지 않습니다.
9.6.3 가입자 보증
해당 사항 없습니다.
9.6.4 이용자 보증
해당 사항 없습니다.
9.6.5 기타 참가자 보증
해당 사항 없습니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법 시행령 및 시행규칙, 본 준칙, 이용약관 등에서 정한 사항 이외의 사항, 예컨대 가입자의 신용 또는 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
준칙은 홈페이지 및 앱에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지 및 앱에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
① 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
② 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
③ 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
④ 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
준칙은 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.12.1 개정 절차
우리은행은 인증정책 관리자와 인증업무 관리책임자의 결재를 통해 준칙을 개정합니다.
9.12.2 개정 공지
우리은행은 본 준칙의 개정 시 준칙과 그 변경사항을 홈페이지 및 앱에 공지합니다.
9.12.3 인증서 정책 객체식별자(OID) 변경 기준
본 준칙의 개정으로 인해 인증서 정책 객체식별자(Object Identifier) 변경이 요구되는지에 대한 판단은 전적으로 우리은행에 책임이 있습니다.
9.13 분쟁 해결
① 전자서명인증체계 관련자에게 전달되는 전자문서 또는 전자서명은 아래와 같이 법적 효력을 갖습니다.
1. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
2. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
② 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
① 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관련 법령을 준수하여야 합니다.
① 본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 ㈜우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
② 본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리WON뱅킹 등 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
③ 본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관, 인증기관으로 전자서명인증체계를 구성하여 관리합니다.
① 우리은행 최상위인증기관
1. 안전한 전자서명인증체계 구축 및 운영
2. 전자서명 인증기술의 개발 및 보급
3. 인증기관 검사 및 안전한 운영지원
4. 인증기관 전자서명생성정보에 대한 인증 등 전자서명인증업무 수행
5. 오프라인으로 관리 운영
② 우리은행 인증기관
1. 가입자의 신원확인
2. 가입자 인증서 발급, 갱신, 재발급, 폐지(삭제) 업무
3. 인증서 유효성 확인
4. 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
① 역할
1. 인증서비스 제공과 관련된 가입자의 신원확인 업무
2. 인증서 발급·갱신·폐지(삭제) 등 업무
3. 인증서 관련 정보 공고
4. 실시간 인증서 유효성 확인
5. 기타 인증서비스와 관련된 업무
② 책임 및 의무사항
1. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
2. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
가. 전자서명인증업무 운영기준 준수사실 인정 또는 취소
나. 전자서명인증업무 휴지·정지 또는 폐지
다. 전자서명인증업무의 양도·양수·합병 등
라. 준칙의 제·개정
마. 기타 전자서명인증업무 수행 관련 정보 등
3. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
4. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
5. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다.
6. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하여 전자서명인증서비스를 제공하는 것을 원칙으로 합니다. 만약 인증이 없는 암호화 모듈 및 보안 기술 규격을 적용하여 전자서명인증서비스를 제공하는 경우, 우리은행은 안전성을 확보하기 위한 충분한 기술적 검토 및 조치를 수행하며, 이에 대한 책임을 부담합니다.
1.3.2 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.3 가입자
① 가입자란 전자서명법상 가입자로서 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
② 가입자는 다음과 같은 책임과 의무를 가집니다.
1. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
가. 인증서 발급 신청
나. 인증서의 폐지(삭제) 신청
다. 가입자 정보 변경 등
라. 인증서의 갱신 발급 신청
마. 인증서의 재발급 신청
2. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
3. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명생성정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
4. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.4 이용자
① 이용자란 전자서명법상 이용자로서 우리은행이 제공하는 인증서비스의 이용기관을 말합니다.
② 이용자는 다음과 같은 책임과 의무를 가집니다.
1. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
2. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
가. 인증서 유효 여부의 확인
나. 인증서의 만료 또는 폐지(삭제) 여부의 확인
다. 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인
주민등록번호를 보유한 대한민국 국민 외국인등록번호를 보유한 외국인
전자서명인증이 필요한 전자거래 업무
- 금융기관업무
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 업무
발급일로부터 3년
사업자
우리은행 계좌를 보유한 개인사업자 및 법인사업자
발급일로부터 1년, 2년, 3년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 전자서명인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
① 부서: 인증사업플랫폼부 전자서명인증사업팀
② 이메일: wooriauth@wooribank.com
③ 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
④ 전화번호: 02) 2002-3000
1.5.3 준칙 개정 사유
우리은행의 준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
① 기술적 변경이 필요한 경우
② 절차적 변경이 필요한 경우
③ 기타 준칙의 변경이 필요한 경우
1.5.4 준칙 개정 관리
우리은행의 준칙 제정 이후 기술적 또는 절차적인 변경 등의 사유로 준칙의 변경이 필요한 경우 인증기관의 인증정책 관리자와 최상위인증기관의 인증정책 관리자가 사전 협의를 진행합니다. 이후 전자서명인증업무 관리책임자의 최종 승인을 받아 이를 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리합니다.
① 준칙의 버전
② 적용 업무 및 범위의 개요
③ 준칙의 제·개정 기록(기존 준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 또는 전자우편 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
① "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
② "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
1. 서명자의 신원
2. 서명자가 해당 전자문서에 서명하였다는 사실
③ "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
④ "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
⑤ "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
⑥ "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
⑦ “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
⑧ "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
⑨ “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다.
⑩ “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
⑪ "인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
1. 가입자의 등록정보를 관리하기 위한 시스템
2. 전자서명생성정보를 생성·관리하기 위한 시스템
3. 인증서를 생성·발급·관리하기 위한 시스템
4. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
⑫ “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
1. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
2. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
⑬ “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
⑭ “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
⑮ "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
⑯ “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
⑰ “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
⑱ “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
⑲ “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서를 저장하고, 필요시 서버에 저장된 인증서를 이용하거나, 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서버를 말합니다.
⑳ “우리은행 웹 보관 서비스”란 우리은행 웹 보관서버(CERT 서버)에 저장된 인증서와 전자서명생성정보를 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서비스를 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
① 우리은행은 준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 언제든 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
② 우리은행은 인증서 폐지 목록 등 전자서명인증업무와 관련된 정보가 있는 공고설비를 이중화 구성(Active-Standby)으로 무중단 운영 및 관리하고, 누구든지 그 사실을 확인할 수 있도록 공고합니다.
③ 우리은행은 우리은행의 최상위인증기관 인증서와 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
① 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0155&fromSite=pib
② 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0153&fromSite=pib
③ 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
④ 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
⑤ CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389/cn=WooriBank Root CA 1,ou=WooriBank Cert,o=WooriBank,c=KR?authorityRevocationList
2.3 공고 주기
① 우리은행은 준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
② 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
③ 우리은행은 인증서 폐지 목록(ARL)을 100일마다 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 준칙 및 서비스 이용약관에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
3.1.1 명칭의 종류
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다.
3.1.2 명칭의 의미
우리은행 가입자 인증서의 DN은 가입자의 실지명의 성명을 CN(Common Name)으로 활용합니다.
3.1.3 가입자를 식별할 수 없는 익명 또는 가명 인증서
우리은행은 익명 또는 가명 인증서를 발급하지 않습니다.
3.1.4 명칭의 해석 규정
인증서 내의 DN는 X.500 표준 및 ASN.1 구문을 사용합니다.
3.1.5 명칭의 고유성
우리은행 가입자 인증서는 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 사업자 신원확인 방법
① 개인사업자는 대면 채널에서 우리WON인증서를 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 영업점 실명확인증표 확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 개인사업자 대표자의 경우 사업자등록증(또는 사업자등록증명원)과 대표자의 실명확인증표를 통해 신원을 확인하며, 개인사업자 대리인의 경우 위임관계 서류(대표자의 위임장, 대표자의 인감증명서), 대리인의 실명확인증표와 자격확인서류(재직증명서, 사원증 등)가 추가로 필요합니다.
2. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사에서 제공하는 본인확인 절차를 수행합니다.
3. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 영업점 신청번호는 신청번호 부여 후 30분까지만 유효하며, 제한 시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
4. 사업자 계좌 검증 : 가입신청 사업자 명의의 당행 계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
② 개인사업자는 비대면 채널에서 우리WON인증서를 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사에서 제공하는 본인확인 절차를 수행합니다.
2. 실명확인증표 확인 : 가입신청자는 실명확인증표(주민등록증, 모바일 주민등록증, 운전면허증, 모바일 운전면허증, 여권, 국가보훈증, 모바일 국가보훈증)를 촬영하고 진위확인을 진행합니다.
3. 안면인증 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 사업자 상태조회 : 가입신청자는 정부24 전자문서지갑을 통해 전자문서의 형태로 사업자등록증명원을 제출하며, 해당 정보는 우리은행에 등록된 사업자 정보와 비교하여 대표자 정보의 일치 여부, 단독대표 여부, 휴폐업 여부를 확인합니다.
5. 사업자 계좌 검증 : 가입신청 사업자 명의의 당행 계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
③ 법인사업자는 대면 채널에서 우리WON인증서를 발급할 수 있으며, 다음과 같이 신원을 확인합니다.
1. 영업점 실명확인증표 확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 법인사업자 대표자의 경우 사업자등록증(또는 사업자등륵증명원), 법인등기사항전부증명서, 법인인감증명서와 대표자의 실명확인증표를 통해 신원을 확인하며, 법인사업자 대리인의 경우 위임관계 서류(대표자의 위임장), 대리인의 실명확인증표와 자격확인서류(재직증명서, 사원증 등)가 추가로 필요합니다.
2. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 1회용 신청번호를 입력하기 위해서는 앱에 로그인해야만 합니다. 영업점 신청번호는 신청번호 부여 후 30분까지만 유효하며, 제한 시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
3. 사업자 계좌 검증 : 가입신청 사업자 명의의 당행 계좌를 이용하여 해당 계좌의 비밀번호를 입력하여 인증하는 방식으로 신원을 확인합니다.
3.2.3 개인 신원확인 방법
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
① 대면 채널에 의한 발급
1. 영업점 실명확인증표 확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 단, 14세 미만 내국인 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며 가족관계 확인서류 및 기본증명서를 통해 신원을 확인합니다. 이때 기본증명서는 미성년자 가입신청자 기준으로 발급된 서류이어야 합니다. 외국인등록번호를 보유한 외국인 가입신청자가 대면으로 신원확인을 진행하는 경우 외국인등록증, 영주증, 외국국적동포국내거소신고증 중 하나를 확인합니다. 단, 14세 미만 외국인 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며 외국인등록사실증명, 국적국의 가족관계증명서 및 해당 증명서를 번역 공증한 서류를 통해 신원을 확인합니다. 이때 외국인등록사실증명은 동거가족사항란에 자녀 및 부모의 관계 및 성명, 실명확인번호가 확인되는 서류이어야 합니다.
2. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사 또는 전자서명인증사업자가 제공하는 본인확인 절차를 수행합니다.
3. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 영업점 신청번호는 신청번호 부여 후 30분까지만 유효하며, 제한시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
② 비대면 채널에 의한 발급
1. 본인확인 : 가입신청자는 본인확인기관으로 지정된 통신사 또는 전자서명인증사업자가 제공하는 본인확인 절차를 수행합니다.
2. 실명확인증표 확인 : 가입신청자는 실명확인증표(주민등록증, 모바일 주민등록증, 운전면허증, 모바일 운전면허증, 여권, 국가보훈증, 모바일 국가보훈증, 외국인등록증, 모바일 외국인등록증, 영주증, 모바일 영주증, 외국국적동포국내거소신고증, 모바일 외국국적동포국내거소신고증)를 촬영하고 진위확인을 진행합니다.
3. 안면인증 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
나. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌번호를 입력하고 해당 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다. 만일 계좌 비밀번호 인증에 실패할 경우, 우리은행이 송금한 ‘1원 입금 내역의 적요란 인증코드(’우리‘ 뒤의 숫자 4자리)’를 입력하여 신원확인을 진행합니다.
③ 재외국민 비대면 신원확인 시스템에 의한 발급
1. 개인정보 입력 : 가입신청자는 본인의 거주국가, 휴대폰번호, 주민등록번호, 이메일주소를 입력하고 입력한 이메일로 받은 인증번호를 통해 이메일 검증을 진행합니다.
2. 여권 인적사항 페이지 스캔 : 가입신청자는 전자여권 인적사항 페이지를 촬영하고 위변조 및 등록정보 검증을 진행합니다.
3. 여권 IC칩 스캔 : 가입신청자는 휴대전화의 NFC 안테나가 위치한 곳을 여권 IC칩이 위치한 곳에 접촉하여 전자여권 위변조 검증을 진행합니다.
4. 전자여권 소유자 얼굴인증 : 가입신청자는 본인의 얼굴인증을 진행하여 여권 인적사항 페이지 상 사진과 여권IC칩 내 사진, 셀피촬영 이미지를 매칭하여 실제 여권소유자가 가입신청자인지를 확인합니다.
5. 추가 신원확인 : 가입신청자가 입력한 정보 및 여권정보를 재외동포인증센터로 보내 정합성 및 신원을 확인합니다.
3.2.4 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.5 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.2.6 상호 운용 기준
우리은행은 타 인증기기관과 전자서명인증업무를 상호 운용하지 않습니다.
3.3 인증서 갱신발급, 폐지 후 발급, 변경 시 신원확인
3.3.1 인증서 갱신발급 시 신원확인
갱신 대상인 인증서의 전자서명을 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 발급 시 신원확인
가입자가 기존 인증서 폐지(삭제) 후 발급 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 전자서명 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
4.1.2 신청 절차
가입신청자는 우리은행 인증서 발급 어플리케이션과 영업점 방문을 통해 인증서 발급을 신청할 수 있습니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
① 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
② 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
③ 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
① 신청 내용이 허위라고 판단되는 경우
② 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
③ 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
④ 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
1. IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
2. IOS 11.0 미만 또는 Android 5.0 미만의 OS버전을 사용하는 기기
3. OS Custom 또는 앱 위 변조가 탐지됨
4. 재외국민 비대면 신원확인 시스템을 이용할 경우, NFC 기능을 제공하지 않는 기기
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
① 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
② 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 가입자가 PIN, 패턴 혹은 생체정보를 등록하면 인증서를 발급하여 전송합니다.
③ 인증기관에서 전송받은 인증서와 전자서명생성정보를 가입자의 단말기에 저장합니다. 우리은행은 웹 보관 서비스를 제공하기 위해 우리은행 웹 보관 서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다. 개인 인증서의 경우 가입자의 선택에 따라 웹 보관 서비스를 제공하며, 사업자 인증서의 경우 필수적으로 웹 보관 서비스를 제공합니다.
4.3.2 인증서 발급 사실 공지
① 우리은행은 생성된 가입자의 인증서를 안전하게 전달하고 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 발급 사실을 알립니다.
② 우리은행은 인증서 부정발급 시도 등을 탐지, 대응할 수 있도록 인증서 부정발급 상황을 상시 모니터링합니다. 만약 인증서를 부정발급한 사실을 우리은행이 인지한 경우에는 인증서 폐지 후 그 사실을 가입자에게 공지합니다.
4.4 인증서 수령
4.4.1 인증서 수령
우리은행이 생성한 인증서 및 전자서명생성정보는 우리은행이 제공하는 앱을 통해 가입자 단말기에 안전하게 저장합니다. 단, 인증서를 발급한 앱을 삭제할 경우 가입자 단말기에 저장된 인증서 및 전자서명생성정보는 삭제됩니다.
4.4.2 인증서 게시
우리은행은 우리은행의 최상위인증기관, 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하며, 가입자의 인증서는 게시하지 않습니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
4.4.3 다른 관련자에 대한 인증서 발급 공지
우리은행은 인증서 발급 사실에 대해 가입자 외에는 전자서명인증체계 상 다른 관련자에게 공지하지 않습니다.
4.5 인증서 이용
4.5.1 전자서명생성정보 및 인증서 이용
① 우리은행은 가입자의 전자서명생성정보와 인증서의 무결성을 보장하고, 유효기간 동안 안전하게 보호합니다. 또한 인증서의 이용범위, 용도, 유효기간 등 인증서 이용 시 유의해야 할 사항을 가입자가 확인할 수 있도록 합니다.
② 가입자는 정확한 정보 제공, 인증서의 용도 내 사용, 전자서명생성정보의 보호, 전자서명생성정보 안전조치에 대해서 책임과 의무를 집니다. 가입자는 전자서명생성정보가 분실, 훼손, 도난, 유출 등 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지할 수 있도록 협조해야 합니다.
4.5.2 전자서명검증정보 및 인증서 이용
① 우리은행은 가입자의 전자서명검증정보와 인증서의 무결성을 보장하고, 유효기간 동안 안전하게 보호합니다. 또한 인증서의 이용범위, 용도, 유효기간 등 인증서 이용 시 유의해야 할 사항을 이용자가 확인할 수 있도록 합니다.
② 이용자는 본 준칙에서 명시한 인증서 내 확장필드에 정의된 용도로만 전자서명검증정보와 인증서를 이용해야 합니다.
4.6 인증서 갱신발급
4.6.1 인증서 갱신 기준
가입자는 앱 내 유효한 인증서가 있는 상태에서 인증서 갱신을 신청할 수 있습니다. 우리은행은 인증서 종류별로 인증서 갱신에 대한 안내를 앱 푸시, SMS 메시지 또는 카카오 알림톡을 통해 진행할 수 있습니다. 개인 인증서의 경우 만료일 30일 전, 사업자 인증서의 경우 만료일 90일 전에 갱신 안내를 진행할 수 있습니다.
4.6.2 인증서 갱신 신청자
인증서 갱신 기준에 해당하는 가입자만이 인증서 갱신을 신청할 수 있습니다.
4.6.3 인증서 갱신 절차
인증서 갱신 기준에 해당하는 가입자는 인증서의 유효기간 만료 전까지 아래의 절차에 따라 인증서 갱신을 신청할 수 있습니다.
① 가입자는 인증서 이용약관 및 동의서에 동의합니다.
② 가입자는 갱신 대상 인증서의 비밀번호를 통해 인증서의 소유자임을 인증합니다.
③ 우리은행은 갱신요청정보의 전자서명을 검증하고, 유효기간을 갱신합니다.
4.6.4 인증서 갱신 통지
인증서가 가입자에게 전달되면 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 갱신 사실을 알립니다.
4.6.5 인증서 갱신 승인
“4.4.1 인증서 수령” 항목을 참조합니다.
4.6.6 인증서 갱신 게시
“4.4.2 인증서 게시” 항목을 참조합니다.
4.6.7 다른 관련자에 대한 인증서 갱신 공지
우리은행은 인증서 갱신 사실에 대해 가입자 외에는 전자서명인증체계 상 다른 관련자에게 공지하지 않습니다.
4.7 인증서 재발급
4.7.1 인증서 재발급 기준
가입자 당 1개의 인증서 발급을 원칙으로 하며, 우리은행 앱 내 유효한 인증서가 있는 상태에서 가입자의 키 손상, 유출 및 개인정보 변경 등으로 인해 키 교체가 필요한 경우 인증서 재발급을 진행할 수 있습니다.
4.7.2 인증서 재발급 신청자
인증서 재발급 기준에 해당하는 가입자는 인증서 재발급을 신청할 수 있습니다.
4.7.3 인증서 재발급 절차
“4.3.1 인증서 발급절차” 항목을 참조합니다.
4.7.4 인증서 재발급 통지
인증서 재발급이 완료되면 SMS 메시지 혹은 카카오 알림톡을 통해 가입자에게 재발급 사실을 알립니다.
4.7.5 인증서 재발급 승인
“4.4.1 인증서 수령” 항목을 참조합니다.
4.7.6 인증서 재발급 게시
“4.4.2 인증서 게시” 항목을 참조합니다.
4.7.7 다른 관련자에 대한 인증서 재발급 공지
우리은행은 인증서 재발급 사실에 대해 가입자 외에는 전자서명인증체계 상 다른 관련자에게 공지하지 않습니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.8.1 인증서 변경 기준
해당 사항 없습니다.
4.8.2 인증서 변경 신청자
해당 사항 없습니다.
4.8.3 인증서 변경 절차
해당 사항 없습니다.
4.8.4 인증서 변경 통지
해당 사항 없습니다.
4.8.5 인증서 변경 승인
해당 사항 없습니다.
4.8.6 인증서 변경 게시
해당 사항 없습니다.
4.8.7 다른 관련자에 대한 인증서 변경 공지
해당 사항 없습니다.
4.9 인증서 효력정지·효력회복·폐지
우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다. 가입자는 인증서를 직접 폐지하거나 영업점 혹은 고객센터를 통해 우리은행에 인증서 폐지를 신청할 수 있습니다.
4.9.1 인증서 폐지 기준
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
① 가입자가 인증서 폐지(삭제)를 신청한 경우
② 가입자의 사망, 실종선고 등의 사유가 발생한 경우
③ 가입자의 중요한 정보가 변경(개인의 경우 개명 또는 주민등록번호 변경, 사업자의 경우 상호명 변경 또는 대표자 변경 등)됨을 인지한 경우
④ 가입자가 타인명의의 휴대전화, 신분증, 계좌를 사용하거나 해킹 시도 등 부정한 방법으로 인증서를 발급받거나 이용한 사실을 인지한 경우
⑤ 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
⑥ 가입자가 우리은행의 이용약관을 위반한 경우
⑦ 가입자가 우리은행이 정한 신원확인 절차를 수행하지 않고 인증서를 발급받은 사실을 인지한 경우
4.9.2 인증서 폐지 신청자
가입자는 인증서를 폐지하고자 하는 경우 본인이 직접 신청해야 합니다. 인증서 정보의 분실, 훼손, 도난, 유출 등의 사유로 인증서 폐지 신청을 하는 경우 신청인은 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.3 인증서 폐지 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
① 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
가. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
나. 가입자는 이전에 등록한 인증서 비밀번호를 입력합니다.
다. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
라. 우리은행은 가입자 단말기에 저장된 인증서 및 CA서버, 웹 보관 서버의 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
가. 가입자는 고객센터를 통해 인증서 폐지(삭제)를 신청합니다.
나. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
다. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
가. 가입자는 영업점 방문을 통해 인증서 폐지(삭제)를 신청합니다.
나. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
다. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
② 우리은행의 정책에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.1 인증서 폐지 기준”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 우리은행의 정책으로 인증서를 폐지(삭제)합니다. 이후 가입자 인증서 폐지 결과를 반영한 인증서 폐지목록(CRL)을 24시간 주기로 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
4.9.4 인증서 폐지 신청 유예 기간
해당 사항 없습니다.
4.9.5 인증서 폐지 신청 처리 시간
우리은행은 인증서 폐지 신청자의 동의 의사와 신원을 확인한 후 1영업일 이내에 해당 인증서의 폐지 처리를 완료합니다.
4.9.6 인증서 폐지 확인 요구사항
이용자는 인증서 폐지목록(CRL) 또는 온라인 인증서 상태 프로토콜(OCSP)을 확인하여 인증서의 유효성을 검증할 수 있습니다.
4.9.7 인증서 폐지목록 발행 빈도
우리은행은 인증서 폐지목록(CRL)을 매일 1회 이상 발행합니다.
4.9.8 인증서 폐지목록 발행 최대 소요 시간
인증서 폐지 시 인증서 폐지목록(CRL) 생성 후 공고설비에 게시되기까지 영업일 기준 최대 24시간 소요됩니다.
4.9.9 실시간 인증서 폐지 및 상태 확인 유효성
우리은행은 인증서 유효성 확인 서비스(OCSP)를 사용합니다.
4.9.10 실시간 인증서 폐지 확인 요구사항
우리은행의 인증서 유효성 확인 서비스(OCSP)는 우리은행과 별도의 계약을 체결한 이용자만이 사용할 수 있습니다. OCSP 응답 메시지 관련 모든 필드는 RFC 6960을 준수합니다.
4.9.11 인증서 폐지 정보 유효성 검증의 다른 방법
해당 사항 없습니다.
4.9.12 키 교체 또는 손상의 특수 요구 사항
해당 사항 없습니다.
4.9.13 인증서 효력 정지 기준
해당 사항 없습니다.
4.9.14 인증서 효력 정지 대상
해당 사항 없습니다.
4.9.15 인증서 효력 정지 절차
해당 사항 없습니다.
4.9.16 인증서 효력 정지 기간
해당 사항 없습니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 철회
가입자는 인증서 폐지 신청을 통하여 전자서명인증 서비스의 가입을 철회할 수 있습니다. 서비스 가입 철회 시 가입자 인증서는 즉시 폐지되며, 가입자의 개인정보는 우리은행의 개인정보처리방침에 따라 인증서 폐지(삭제)된 날로부터 5년까지 보유 후 파기됩니다.
4.12 기타 부가 서비스
우리은행은 기타 부가서비스는 제공하지 않습니다.
4.12.1 키 위탁 · 복구 정책 및 절차
해당 사항 없습니다.
4.12.2 세션 키 캡슐화, 복구 정책 및 절차
해당 사항 없습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다.
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
① 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
② 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
③ 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
④ 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토합니다.
⑤ 우리은행은 CCTV 카메라 및 모니터링시스템, 보안 검색대 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
⑥ 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원 및 공조시설
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.7 폐기물 처리
① 우리은행은 문서, 이동식 저장매체 등을 폐기하는 경우 물리적으로 이를 파기합니다.
② 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
① 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
② 외벽 재질은 루버 강판으로 축조되어 있거나, 철골구조물에 3T 이상의 철판으로 보강
5.1.10 항온/항습, 통풍설비에 관한 사항
① 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
② 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.2 절차적 보호조치
5.2.1 신뢰할 수 있는 역할(Trusted Roles)
① 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 전자서명인증업무를 총괄하며 준칙(CPS) 등 인증서 정책 승인 및 주요 사안의 의사결정과 책임 등을 이행합니다.
2. 인증정책 관리자는 전자서명인증업무 정책의 수립 및 개정, 인증관리 담당자에 대한 정기적인 교육을 수행합니다.
3. 보안관리자는 인증기관 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 관리하며, 키 생성 및 파기 절차 감독업무를 수행합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자(HSM관리자)는 키 생성 및 파기 절차 수립 및 이행 관리 업무를 수행하며, 하드웨어 보안모듈(HSM)의 활성화에 필요한 물품과 정보를 제공하는 등 키 생명주기 관리 업무를 수행합니다.
6. 키 생성 소유자는 키 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다.
7. 인증서 발급/생성 관리자는 인증시스템의 설치, 구성 및 유지보수를 담당하며 인증서 발급/갱신/폐지(삭제)를 관리 및 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 가입자 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 개발자는 인증시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 전자서명인증업무에 필요한 개발을 수행하고 관리합니다.
10. 운영자는 인증센터의 시설 및 장비와 인증시스템의 운영, 백업 및 복구 업무를 수행합니다.
② 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
③ 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 주요 업무별 수행 인력
① 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
② 인증시스템과 하드웨어 보안모듈(HSM)의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
③ 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 신원확인 및 인증
① 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
② 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.2.4 직무 분리가 필요한 역할
우리은행은 할당된 책임 및 업무를 문서화하여 관리하고, 책임 범위 및 보안 관점에서 분리되어야 하는 직무는 동일인이 겸업할 수 없도록 규정합니다.
5.3 인적보안
5.3.1 자격요건
① 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
② 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 인력만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 신원확인 절차
우리은행의 정보보안정책 또는 인사괸리정책에 따라 직원 채용 시 필요한 사항에 대해 검증합니다.
5.3.3 교육 및 훈련
① 전자서명인증업무 주요업무 담당자는 업무담당 1년 이내에 업무수행에 필요한 전자서명인증업무 법제, 정책 및 인증서 관리 교육을 이수합니다.
② 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등 필요한 조치를 합니다.
5.3.4 재교육 및 훈련
우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
5.3.5 직무 이동 및 순환
① 우리은행은 인증시스템을 관리하는 직원에 대해 업무상 취득한 기밀사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
② 업무순환 및 업무환경의 변화 등으로 인해 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
③ 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.6 비인가 행위 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.3.7 독립 계약자 요건
해당 사항 없습니다.
5.3.8 직원의 문서 공개
해당 사항 없습니다.
5.4 감사 기록
5.4.1 감사기록의 유형
우리은행은 전자서명인증업무 운영과 관련해 다음의 내용을 기록합니다.
① 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
② 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
③ 인증서 발급에 사용되는 개인정보 등
④ 내부 직원에 의한 운영 및 관리 행위
5.4.2 감사기록 검토 주기
우리은행은 감사기록을 격월 단위로 내부감사자가 검토하고 있습니다.
5.4.3 감사기록의 보존 기간
우리은행은 감사기록을 5년간 보존합니다.
5.4.4 감사기록 보호조치
각 시스템의 감사기록은 내부감사자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.5 감사기록 백업 절차
우리은행은 감사기록을 매일 백업하고 있으며, 전체 데이터는 주 단위로 백업합니다.
5.4.6 감사기록 취합 시스템
우리은행은 감사기록을 매일 백업하고 있으며, 전체 데이터는 주 단위로 백업합니다.
5.4.7 감사기록 대상에 대한 통보
해당사항 없습니다.
5.4.8 취약점 점검
우리은행은 정기적으로 취약점 점검을 수행합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
① 가입자의 인증서 발급 및 관리 등 전자서명인증업무
② 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
① 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
② 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.5.5 보존기록의 시간 기준
우리은행은 정확한 기록 유지를 위해 GPS 위성기반 한국 표준시 기반의 NTP(Network Time Protocol) 서버와 동기화합니다.
5.5.6 보존기록 취합시스템
우리은행은 보존기록시스템을 직접 운영합니다.
5.5.7 보존기록 확보 및 검증 절차
우리은행은 정기적으로 보관된 정보의 통계 샘플을 테스트하여 정보의 지속적인 무결성과 가독성을 확인합니다. 인증된 우리은행의 장비, 신뢰할 수 있는 역할 및 기타 인증된 사람만 보존기록에 접근할 수 있습니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 컴퓨팅 자원, 소프트웨어, 데이터 훼손에 대한 대책
우리은행은 가입자 인증서에 관련된 주요 데이터가 훼손되거나 파괴가 발생하는 경우에 보존 기록된 자료를 이용하여 복구합니다.
5.7.3 가입자 전자서명생성정보 손상 시 복구 절차
우리은행은 가입자의 전자서명생성정보가 안전하지 않다는 사실을 인지한 경우 가입자 인증서를 폐지하고 신규 키 쌍을 생성하여 가입자 인증서를 다시 발급합니다.
5.7.4 업무 장애방지 등 연속성 보장 대책
① 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
② 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
③ 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 생성 시 보호
6.1.1 전자서명생성정보 생성
① 우리은행은 인가된 자만이 최상위인증기관 및 인증기관의 전자서명생성정보를 생성할 수 있습니다.
② 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 하드웨어 보안모듈(HSM)을 사용하여 최상위인증기관 및 인증기관의 전자서명생성정보를 생성합니다.
③ 최상위인증기관 및 인증기관의 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보 전달
우리은행은 가입자의 전자서명생성정보를 생성하지 않으며 전자서명생성정보는 가입자의 단말 내에서 생성됩니다.
6.1.3 전자서명검증정보 전달
가입자는 전자서명검증정보를 PKCS#8 형식의 인증서 서명 요청에 포함해 우리은행으로 전송하며 우리은행은 이를 검증하고 인증서를 발급하여 가입자 단말에 저장합니다.
6.1.4 가입자 및 이용자에게 인증기관 전자서명검증정보 전달
우리은행은 우리은행의 최상위인증기관 인증서와 인증기관 인증서 정보를 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다. (https://spib.wooribank.com/pib/Dream?withyou=CTCER0168&fromSite=pib)
6.1.5 키 길이
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 길이의 키 및 해쉬 값을 이용합니다.
① 최상위인증기관
1. RSA 전자서명검증정보: 4,096 bit
2. 해쉬 알고리즘: SHA-2 256 bit
② 인증기관 및 OCSP
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘 : SHA-2 256 bit
③ 가입자
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘: SHA-2 256 bit
6.1.6 전자서명검증정보 매개변수 생성 및 품질검사
우리은행은 전자서명검증정보 매개변수를 생성합니다. 우리은행 인증기관 키는 FIPS 140-2 레벨 3 이상을 준수하는 하드웨어 보안모듈(HSM)에서 생성합니다.
6.1.7 키 사용 용도
① 최상위인증기관 전자서명생성정보 사용 용도
1. 최상위인증기관임을 스스로 보증하기 위한 자체 서명 인증서 발급
2. 인증기관 인증서, OCSP 인증서 등 발급
3. 인증기관 인증서 폐지목록(ARL) 생성
② 인증기관 전자서명생성정보 사용 용도
1. 가입자 인증서 발급
2. 가입자 인증서 폐지목록(CRL) 생성
③ 가입자 전자서명생성정보 사용 용도
1. 이용자의 요청에 따른 전자서명 생성
2. 가입자 인증서 폐지 시 폐지하는 전자서명생성정보 소유여부를 확인하기 위한 전자서명 생성
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보 저장장치
우리은행은 인증기관의 전자서명생성정보와 가입자의 전자서명생성정보를 안전하게 저장하기 위해 FIPS 140-2 레벨3 인증을 받은 하드웨어 보안모듈(HSM)을 사용합니다.
6.2.2 전자서명생성정보 다중통제
우리은행은 인증기관의 전자서명생성정보 생성 및 사용 시 최소 5명 중 3인 이상의 키 소유자가 참여합니다.
6.2.3 전자서명생성정보 위탁
해당 사항 없습니다.
6.2.4 전자서명생성정보 백업 보관
① 우리은행은 인증기관의 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
② 우리은행은 백업된 인증기관의 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
③ 우리은행은 인증기관의 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
④ 우리은행은 가입자의 신청에 의해 가입자의 전자서명생성정보를 백업하는 경우, 안전한 암호 알고리즘을 적용하여 웹 보관 서버에 저장합니다.
⑤ 우리은행은 “6.2.10 전자서명생성정보의 삭제 및 파기”에 정한 바에 따라 전자서명생성정보의 삭제 및 파기를 수행합니다.
6.2.5 전자서명생성정보 기록 보존
우리은행은 인증기관의 전자서명생성정보를 “6.2.4 전자서명생성정보의 백업 보관”에 명시된 용도 이외에 별도로 기록을 보존하지 않습니다.
6.2.6 전자서명생성정보 전송 또는 추출
① 인증기관의 전자서명생성정보 백업 및 복구 목적으로 우리은행 승인하에 키 관리 절차서에 정한 바에 따라 인증기관 전자서명생성정보를 추출할 수 있습니다.
② 우리은행에 백업된 가입자의 전자서명생성정보는 가입자의 본인확인 후 신뢰할 수 있는 보안 기술규격을 준용해 추출 후 가입자의 단말기로 안전하게 복원될 수 있습니다.
6.2.7 전자서명생성정보 저장
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보를 “6.2.1 전자서명생성정보 저장장치” 항목의 요건을 충족하는 하드웨어 보안모듈(HSM)에 저장합니다.
6.2.8 전자서명생성정보 활성화
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보가 저장된 하드웨어 보안모듈(HSM)을 활성화할 수 있습니다.
6.2.9 전자서명생성정보 비활성화
우리은행은 하드웨어 보안모듈(HSM) 공급업체가 지정한 절차에 따라 인증기관의 전자서명생성정보가 저장된 하드웨어 보안모듈(HSM)을 비활성화할 수 있습니다.
6.2.10 전자서명생성정보의 삭제 및 파기
① 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
1. 인증서 유효기간의 만료
2. 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
3. 키 손상이 우려되는 경우(서버 해킹 등)
② 우리은행 웹 보관 서버에 백업된 가입자의 전자서명생성정보는 다음과 같은 경우 삭제 및 파기할 수 있습니다.
1. 가입자의 신청이 있는 경우
2. 가입자의 인증서가 폐지된 경우
3. 인증서 유효기간의 만료
③ 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있으며, 하드웨어 보안 모듈(HSM) 공급업체가 지정한 절차에 따라 삭제 및 파기합니다.
④ 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
⑤ 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.2.11 암호화 모듈 등급
우리은행은 “6.2.1 전자서명생성정보의 저장장치” 인증 요건을 충족하는 하드웨어 보안모듈(HSM)을 사용합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
6.3.1 전자서명검증정보의 보관
인증기관 및 가입자의 인증서는 우리은행 백업절차에 따라 보관됩니다. 우리은행의 전자서명검증정보와 전자서명생성정보는 분실, 훼손, 도난, 유출 방지를 위해 관리적·기술적 보호조치를 하여 인증센터 내 내화금고에 안전하게 보관됩니다.
6.3.2 인증서 운영기간 및 키 쌍 유효기간
인증서는 인증서 내 유효기간 시작일시와 종료일시 사이의 기간동안 유효합니다. 가입자 인증서의 유효기간은 인증서 종류에 따라 1년 또는 3년으로 설정됩니다.
6.4 데이터 보호 조치
6.4.1 활성화 데이터 생성 및 설치
우리은행 인증기관 활성화 데이터는 하드웨어 보안모듈(HSM)로 생성하며, 활성화 데이터는 인증기관 전자서명생성정보를 생성하거나 전자서명 기능 및 하드웨어 보안모듈(HSM)의 세션을 활성화할 때 사용됩니다.
6.4.2 활성화 데이터 보호
① 최상위인증기관 및 인증기관 활성화 데이터는 인증기관 전자서명생성정보와 동일한 수준의 물리적 보호조치를 적용한 공간에 위치하며 내화금고 등의 안전한 장소에 보관합니다.
② 인증기관 키 관리자는 활성화 데이터를 안전하게 보관 관리하며, 필요시 지정된 키 소유자에게 할당될 수 있도록 배분합니다.
6.4.3 활성화 데이터 추가 고려사항
해당 사항 없습니다.
6.5 시스템 보안 통제
6.5.1 구체적인 컴퓨터 보안 요건
① 우리은행은 인증시스템을 이중화하여 구성합니다.
② 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
③ 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
④ 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.5.2 컴퓨터 보안 등급
해당 사항 없습니다.
6.6 시스템 운영 관리
6.6.1 시스템 개발 통제
우리은행은 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
① 인증시스템의 S/W 등록에 대한 형상관리
② 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.6.2 보안 관리 통제
우리은행은 정보보호 조직을 운영하고 있으며, 정보보호 및 정보 자산에 대한 기밀성, 무결성, 가용성을 위해 정보보호 원칙에 따라 업무를 수행할 수 있도록 관리 및 통제하고 있습니다.
① 전자서명인증업무와 관련된 프로세스의 동작 여부를 점검할 수 있도록 시스템을 운영하고 있습니다.
② 인증시스템 운영에 필요한 최소한의 프로그램만 설치하여 관리하고 있습니다.
③ 인증시스템의 접근을 최소화하고 제한된 인원에 한해 접근권한을 부여하고 있습니다.
④ 인증시스템의 S/W 개발, 도입, 폐지에 대한 적절한 형상 관리를 진행합니다.
6.6.3 생명주기 보안 통제
해당 사항 없습니다.
6.7 네트워크 보호조치
① 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
② 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
③ 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
④ 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 인증시스템을 지속적으로 모니터링 합니다.
6.8 시점확인서비스 보호조치
우리은행은 정확한 기록 유지를 위해 GPS 위성기반 한국 표준시 기반의 NTP(Network Time Protocol) 서버와 동기화합니다.
우리은행 인증서 유효성 확인 서비스 응답자는 RFC 6960에 정의된 ver1을 준수합니다. 인증서 유효성 확인 서비스 요청 메시지가 RFC 6960을 준수하지 않는 경우 응답을 거부할 수 있습니다.
7.3.2 인증서 유효성 확인 서비스 Response
7.3.2.1 개인 인증서 프로파일
① 기본 필드
번호
필드명
ASN.1 type
비고
1
responseStatus
ENUMERATED
응답코드
2
responseType
OID
id-pkix-ocsp-basic {1.2.410.200116.1.1.2}
3
ResponseData
version
INTEGER
V1
responderID
OCTET STRING
OCSP 서버의 주체키 식별자
producedAT
UTCTime
OCSP 응답을 생성한 시간
ResponseData/ responses
요청한 가입자 인증서의 상태 정보
certID
OCSP Request 의 CertID 와 동일
(가입자의 인증서 식별 정보)
certStatus
인증서 상태
(0 – 유효, 1 – 폐지, 2 – 알 수 없음)
thisUpdate
UTCTime
OCSP 갱신 시간
4
signatureAlgorithm
OID
ecdsa-with-SHA256
5
signature
BIT STRING
OCSP 서버의 전자서명 값
6
certs
OCSP 서버의 인증서 정보
② 확장 필드
번호
필드명
ASN.1 type
비고
1
responseExtensions
ENUMERATED
ocsp-nonce
2
extnld
OID
ocsp-nonce OID
3
extnValue
OCTET STRING
OCTET STRING
7.3.2.2 사업자 인증서 프로파일
① 기본 필드
번호
필드명
ASN.1 type
비고
1
responseStatus
ENUMERATED
응답코드
2
responseType
OID
id-pkix-ocsp-basic {1.2.410.200116.1.2.1}
3
ResponseData
version
INTEGER
V1
responderID
OCTET STRING
OCSP 서버의 주체키 식별자
producedAT
UTCTime
OCSP 응답을 생성한 시간
ResponseData/ responses
요청한 가입자 인증서의 상태 정보
certID
OCSP Request 의 CertID 와 동일
(가입자의 인증서 식별 정보)
certStatus
인증서 상태
(0 – 유효, 1 – 폐지, 2 – 알 수 없음)
thisUpdate
UTCTime
OCSP 갱신 시간
4
signatureAlgorithm
OID
ecdsa-with-SHA256
5
signature
BIT STRING
OCSP 서버의 전자서명 값
6
certs
OCSP 서버의 인증서 정보
② 확장 필드
번호
필드명
ASN.1 type
비고
1
responseExtensions
ENUMERATED
ocsp-nonce
2
extnld
OID
ocsp-nonce OID
3
extnValue
OCTET STRING
OCTET STRING
8. 감사 및 평가
8.1 감사 및 평가 현황
① 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
② 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
③ 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
④ 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
① 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
② 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
③ 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
① 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
② 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
① 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
② 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
③ 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
① 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
② 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
① 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
② 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
9.1.1 인증서 발급 및 갱신 요금
① 우리WON인증서 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
② 우리WON인증서(기업) 가입자에게는 발급 또는 갱신 수수료가 부과됩니다. 다만, 우리은행의 내부 정책에 따라 수수료를 면제 또는 할인하여 서비스를 제공할 수 있습니다.
③ 이용자가 지불하는 수수료와 환불 정책은 이용자와의 별도 계약 및 우리WON인증서(기업) 상품 설명서에 따릅니다.
9.1.2 인증서 접근 수수료
별도의 인증서 접근 수수료가 부과되지 않습니다.
9.1.3 인증서 폐지목록 정보 확인 수수료
별도의 인증서 폐지목록(CRL 및 ARL) 정보 확인 수수료가 부과되지 않습니다.
9.1.4 기타 서비스 수수료
별도의 기타 서비스 수수료가 부과되지 않습니다.
9.1.5 환불 정책
① 우리WON인증서 가입자의 경우 무료로 서비스를 제공하여, 별도의 환불 정책을 적용하고 있지 않습니다. 우리WON인증서(기업) 가입자의 경우 수수료 납부일 당일을 포함하여 7일 이내에 인증서를 활용한 인증 이력이 존재하지 않는 경우에 한하여 수수료 환급을 요청할 수 있으며, 수수료를 환급받기 위해서는 인증서를 폐지해야 합니다.
② 이용자가 지불하는 수수료 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 배상 적용 범위
우리은행은 우리은행이 전자서명법, 동법 시행령, 동법 시행규칙, 준칙, 이용약관 등을 위반하였거나, 안전하지 않은 알고리즘 등에 따른 기술적 내용의 결함으로 인해 가입자 또는 이용자에게 손해를 입힌 경우 전자서명법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
9.2.2 기타 자산
해당사항 없습니다.
9.2.3 보험 및 보증의 범위
① 우리은행은 전자서명법, 동법 시행령, 동법 시행규칙, 준칙, 이용약관 등을 위반하여 가입자 또는 이용자에게 손해를 입힌 경우 전자서명법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
② 가입자는 가입자의 고의 또는 과실로 전자서명법, 동법 시행령, 동법 시행규칙, 이용약관 등을 위반하여 우리은행 및 기타 관련자(다른 가입자, 이용자 등)에게 손해를 입힌 경우에는 그 손해를 배상해야 합니다.
③ 이용자는 이용자의 고의 또는 과실로 전자서명법, 동법 시행령, 동법 시행규칙, 이용약관 등을 위반하여 우리은행 및 기타 관련자(가입자, 다른 이용자 등)에게 손해를 입힌 경우에는 그 손해를 배상해야 합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 전자서명인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
① 전자서명생성정보
② 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
③ 업무연속성 장애대응 비상대책 및 재해 복구 계획
④ 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
⑤ 개인정보로 보유하는 정보
⑥ 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 아래에 게시된 개인정보처리방침에 따라 개인정보를 처리합니다.
① 우리은행 인터넷뱅킹 > 인증센터(개인) > 우리WON인증서 안내 > 개인정보 처리방침 :
https://spib.wooribank.com/pib/Dream?withyou=CTCER0154&fromSite=pib
② 우리WON뱅킹 앱 > 전체 메뉴 > 인증/보안 > 우리WON인증서 > 개인정보처리방침
9.4.2 개인정보로 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보로 간주되지 않는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.4 개인정보 보호의 책임
우리은행은 전자서명인증업무 수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.5 개인정보 수집 및 이용에 대한 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 및 이용 시 개인정보 수집 및 이용에 대한 동의를 받습니다.
9.4.6 사법 또는 행정 절차에 따른 공개
우리은행은 가입자의 개인정보를 “9.4.5 개인정보 수집 및 이용에 대한 동의”에서 가입자에게 동의받은 목적 범위 내에서 처리하며, 고객의 동의 없이는 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다. 다만, 다음 각항의 경우에는 가입자 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있습니다.
① 전자서명인증 서비스의 제공에 따른 요금 정산을 위해 필요한 경우
② 통계·학술연구 또는 시장조사를 위해 필요한 경우로 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우
③ 전자서명법 또는 관련 법령에 규정이 있는 경우
9.4.7 기타 정보 공개 기준
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
① 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
② 본 준칙 및 이용약관
③ 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 지식재산
9.6 보증
① 인증서는 본 준칙에 따라 발급됨을 보증합니다.
② 인증서 내에 포함된 내용이 발급 당시 기준으로 우리은행에 등록된 사실임을 보증합니다.
9.6.1 인증기관 보증
우리은행은 본 준칙의 “9.6 보증” 또는 별도의 계약서에 명시된 경우를 제외하고 우리WON인증 서비스에 대한 어떠한 보증도 일절 하지 않습니다.
9.6.2 등록대행기관 보증
우리은행은 등록대행 기관을 운영하지 않습니다.
9.6.3 가입자 보증
우리은행은 가입자가 제출한 정보 중 전자서명인증 서비스를 제공하기 위해 필요한 최소한의 정보에 대해서만 사실 여부를 확인하며, 해당 정보에 대한 신뢰성을 이용자에게 보증합니다.
9.6.4 이용자 보증
이용자는 다음 각항의 내용을 보증합니다.
① 이용자는 본 준칙을 읽고 이해하고 동의합니다.
② 이용자는 우리은행 인증기관 및 가입자의 인증서 폐지목록(ARL, CRL) 또는 온라인 인증서 상태 프로토콜(OCSP)을 사용하는 인증서 경로에 있는 다른 모든 인증서를 확인합니다.
③ 이용자는 만료되었거나 폐지된 인증서를 사용하지 않습니다.
④ 이용자는 충분한 정보에 근거하여 인증서 정보의 신뢰성 여부를 판단합니다.
⑤ 이용자는 인증서 사용의 한계에 대한 이용자의 책임 및 우리은행의 책임 제한에 동의합니다.
⑥ 이용자는 인증서 정보 사용 여부 판단에 대해 이용자의 책임이 있음에 동의합니다.
9.6.5 기타 참가자 보증
해당 사항 없습니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법 시행령 및 시행규칙, 본 준칙, 이용약관 등에서 정한 사항 이외의 사항, 예컨대 가입자의 신용 또는 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
준칙은 홈페이지 및 앱에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지 및 앱에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
① 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
② 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
③ 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
④ 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
준칙은 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.12.1 개정 절차
우리은행은 인증정책 관리자와 인증업무 관리책임자의 결재를 통해 준칙을 개정합니다.
9.12.2 개정 공지
우리은행은 본 준칙의 개정 시 준칙과 그 변경사항을 홈페이지 및 앱에 공지합니다.
9.12.3 인증서 정책 객체식별자(OID) 변경 기준
본 준칙의 개정으로 인해 인증서 정책 객체식별자(Object Identifier) 변경이 요구되는지에 대한 판단은 전적으로 우리은행에 책임이 있습니다.
9.13 분쟁 해결
① 전자서명인증체계 관련자에게 전달되는 전자문서 또는 전자서명은 아래와 같이 법적 효력을 갖습니다.
1. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
2. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
② 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
① 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관련 법령을 준수하여야 합니다.
② 본 준칙의 해석과 적용은 전자서명법 및 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
부칙(2024.02.19)
이 준칙은 2024년 2월 21일부터 시행됩니다.
부칙(2024.08.29)
이 준칙은 2024년 9월 4일부터 시행됩니다.
부칙(2024.12.02)
이 준칙은 2024년 12월 3일부터 시행됩니다.
부칙(2024.12.19)
이 준칙은 2024년 12월 20일부터 시행됩니다.
부칙(2025.01.07)
이 준칙은 2025년 1월 7일부터 시행됩니다.
부칙(2025.02.18)
이 준칙은 2025년 2월 19일부터 시행됩니다.
부칙(2025.09.01)
이 준칙은 2025년 9월 2일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.9]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
1.5.4 항목 오기 수정
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
9.4.1 웹사이트 주소 현행화
2023/06/13
1.3
1.3 전자서명인증체계 관련자 변경
1.3.2 단어 오기 수정
1.6 용어 삭제 및 변경
3.2.2 인증서 명칭 통일
3.4 인증서 폐지 프로세스 추가
4.2.1 인증서 명칭 통일
4.2.2 인증서 발급 제한 사유 구체적 명시
4.3.1 용어 수정
4.4 인증서 수령 현행화
4.7 인증서 재발급 현행화
4.9.2 인증서 폐지 요건 예시 추가
4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
5.2 업무 분장 현행화
5.2.2 업무 분리 원칙 현행화
8.1 감사 및 평가 현행화
8.2 평가자의 신원, 자격 현행화
8.3 내부감사 현행화
8.4 평가 내용 현행화
8.5 부적합 사항에 대한 조치 현행화
8.6 결과 보고 현행화
9.2 손해배상 현행화
9.4 개인정보처리방침 웹사이트 링크 변경
2024/01/09
1.4
1.1.2 인증서 재발급 삭제
1.3.5 인증서 재발급 삭제
1.4.1 인증서 발급대상 현행화
1.5.2 준칙의 담당부서 주소 현행화
1.5.5 준칙의 승인 절차 현행화
3.2.2 신분증 확인 추가
4.1.1 신청 주체 현행화
4.2.1 신원확인 방법 현행화
4.2.2 발급신청 제한대상 현행화
4.7 용어 수정
4.9.2.1 용어 수정
4.9.2.3 인증서 폐지 방법 및 절차 현행화
5.2.1 인증서 재발급 삭제
5.4.1 인증서 재발급 삭제
6.8 시점확인서비스 현행화
8.3 조직개편 반영
8.6 조직개편 반영
2024/02/21
1.5
3.2.2 비대면실명확인 신분증 촬영 대상 확대 반영 및 안면인식 확인 추가 반영
4.9.2.3 고객센터를 통한 폐지 시 고객 통지 절차 현행화
2024/09/04
1.6
1.3.2 용어 삭제, 우리은행 책임 내용 구체화
1.3.5 용어 수정
1.3.6 용어 수정
1.5.5 이의 제기 수단 현행화
1.6 중복 내용 삭제, 일부 용어 정의 수정
2.1 공고설비 구성방식 현행화
2.2 공고 방법 URL 현행화
3.2.2 문구 수정
3.3 재발급 용어 삭제
4.2.2 인증서 발급 신청 제한 사유(OS버전) 구체화
4.3.2 인증서 부정발급 모니터링 내용 추가
4.4 앱 삭제 시 가입자 단말기에서 삭제되는 정보 추가
4.6 인증서 갱신 위한 인증수단 현행화
4.9.2.1 사례 추가 및 용어 수정
4.9.2.2 인증서 폐지 사유 명확화
4.9.2.3 인증서 폐지 방법 현행화
4.10.1 중복 내용 삭제
4.11 서비스 가입 해지 삭제 및 서비스 가입 철회 내용 변경
7.2 용어 삭제
7.3 용어 삭제
9.2.2 문구 수정
9.4.1 개인정보처리방침 URL 수정
9.5 용어 수정
9.6 보증 현행화
9.7 보증 예외 사항 현행화
9.13 용어 수정
9.15 용어 수정
2024/12/03
1.7
1.4.1 재외국민 대상 우리WON인증서 발급 내용 반영
3.2.2 재외국민 대상 우리WON인증서 발급 내용 반영
4.2.2 재외국민 대상 우리WON인증서 발급 時 휴대전화 필수 기능 반영
2024/12/20
1.8
1.5.2 준칙의 담당부서
4.9.2.3 인증서 폐지 방법 및 절차
2025/01/07
1.9
1.1.2 조·항·호 표기 수정
1.3.2 조·항·호 표기 수정
1.3.3 준하는 준칙 항목 추가
1.3.5 용어의 정의 수정, 조·항·호 표기 수정
1.3.6 조·항·호 표기 수정
1.4.1 인증서 용도 수정
1.5.2 조·항·호 표기 수정, 팩스 삭제
1.5.3 조·항·호 표기 수정
1.5.4 인증업무준칙 개정 절차 구체적 명시, 조·항·호 표기 수정
1.5.5 문구 수정
1.6 조·항·호 표기 수정, 용어의 정의 추가
2.1 조·항·호 표기 수정
2.2 조·항·호 표기 수정
2.3 조·항·호 표기 수정
3.1 조·항·호 표기 수정
3.2.2 채널에 따른 신원확인 방법 구분 명확화, 조·항·호 표기 수정
4.1.2 항목 간 중복 기재 내용 삭제
4.2.1 조·항·호 표기 수정
4.2.2 조·항·호 표기 수정
4.3.1 웹 보관 서비스 변경 내용 반영
4.3.2 조·항·호 표기 수정
4.6 조·항·호 표기 수정
4.9.2.1 폐지 요건 일부 삭제, 조·항·호 표기 수정
4.9.2.3 조·항·호 표기 수정, 항목 내 중복 서술 내용 삭제
4.9.4 문구 수정
5.1.1 조·항·호 표기 수정
5.1.2 조·항·호 표기 수정
5.1.6 조·항·호 표기 수정
5.1.9 조·항·호 표기 수정
5.1.10 조·항·호 표기 수정
5.2.1 조·항·호 표기 수정
5.2.2 조·항·호 표기 수정
5.2.3 조·항·호 표기 수정
5.3.1 조·항·호 표기 수정
5.3.2 조·항·호 표기 수정
5.4.1 조·항·호 표기 수정
5.4.3 조·항·호 표기 수정
5.5.1 조·항·호 표기 수정
5.5.4 조·항·호 표기 수정
5.7.2 조·항·호 표기 수정
6.1.1 조·항·호 표기 수정
6.1.2 조·항·호 표기 수정
6.2.3 조·항·호 표기 수정
6.2.4 조·항·호 표기 수정
6.4 조·항·호 표기 수정
6.5 조·항·호 표기 수정
6.6 조·항·호 표기 수정
6.7 조·항·호 표기 수정
7.1.1 조·항·호 표기 수정
7.1.2 조·항·호 표기 수정
7.1.3 조·항·호 표기 수정
7.2.1 조·항·호 표기 수정
7.2.2 조·항·호 표기 수정
7.3 조·항·호 표기 수정
8.1 조·항·호 표기 수정
8.2 조·항·호 표기 수정
8.3 조·항·호 표기 수정
8.4 조·항·호 표기 수정
8.5 조·항·호 표기 수정
8.6 조·항·호 표기 수정
9.1 조·항·호 표기 수정
9.3.1 조·항·호 표기 수정
9.4.1 개인정보처리방침 게시 위치 서술, 조·항·호 표기 수정
9.5 지식재산권 귀속 대상 수정
9.10.1 조·항·호 표기 수정
9.10.2 정책문서 관련 표기 삭제
9.13 조·항·호 표기 수정
9.15 조·항·호 표기 수정
2025/02/19
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
① 우리은행 최상위 인증기관(ROOT CA)
1. 안전한 전자서명 인증관리체계 구축 및 운영
2. 전자서명 인증기술의 개발 및 보급
3. 인증기관 검사 및 안전한 운영지원
4. 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
5. 오프라인으로 관리 운영
② 우리은행 인증기관(CA)
1. 가입자의 신원확인
2. 가입자 인증서 발급, 폐지(삭제) 업무
3. 인증서 유효성 확인
4. 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.2 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
① 역할
1. 인증서비스 제공과 관련된 가입자의 신원확인 업무
2. 인증서 발급·갱신·폐지(삭제) 등 업무
3. 인증서 관련 정보 공고
4. 실시간 인증서 유효성 확인
5. 기타 인증서비스와 관련된 업무
② 책임 및 의무사항
1. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
2. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
가. 전자서명인증업무 운영기준 준수사실 인정 또는 취소
나. 전자서명인증업무 휴지·정지 또는 폐지
다. 전자서명인증업무의 양도·양수·합병 등
라. 인증업무준칙의 제·개정
마. 기타 전자서명인증업무 수행 관련 정보 등
3. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
4. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
5. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
6. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 안정성을 확보하기 위해 충분한 기술적, 정책적 노력을 취해야 하며, 그렇지 않은 사유로 인해 가입자 또는 이용자에게 손해가 발생하였을 경우 책임을 부담합니다.
1.3.3 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침 및 준칙에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
1.3.4 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.5 가입자
① 가입자란 전자서명법상 가입자로서 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
② 가입자는 다음과 같은 책임과 의무를 가집니다.
1. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
가. 인증서 발급 신청
나. 인증서의 폐지(삭제) 신청
다. 가입자 정보 변경 등
2. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
3. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명생성정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
4. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.6 이용자(이용기관)
① 이용자란 전자서명법상 이용자로서 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
② 이용자는 다음과 같은 책임과 의무를 가집니다.
1. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
2. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
가. 인증서 유효 여부의 확인
나. 인증서의 만료 또는 폐지(삭제) 여부의 확인
다. 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
주민등록번호를 보유한 대한민국 국민
외국인등록번호를 보유한 외국인
전자서명인증이 필요한 전자거래 업무
- 금융기관업무
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
① 부서: 인증사업플랫폼부 전자서명인증사업팀
② 이메일: wooriauth@wooribank.com
③ 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
④ 전화번호: 02) 2002-3000
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
① 기술적 변경이 필요한 경우
② 절차적 변경이 필요한 경우
③ 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등의 사유로 인증업무준칙의 변경이 필요한 경우 인증기관의 인증정책 관리자와 최상위 인증기관의 인증정책 관리자가 사전 협의를 진행합니다. 이후 인증업무 관리책임자의 최종 승인을 받아 이를 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리합니다.
① 인증업무준칙의 버전
② 적용 업무 및 범위의 개요
③ 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 인증업무준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 또는 전자우편 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
① "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
② "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
1. 서명자의 신원
2. 서명자가 해당 전자문서에 서명하였다는 사실
③ "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
④ "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
⑤ "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
⑥ "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
⑦ “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
⑧ "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
⑨ “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
⑩ “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
⑪ "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
1. 가입자의 등록정보를 관리하기 위한 시스템
2. 전자서명생성정보를 생성·관리하기 위한 시스템
3. 인증서를 생성·발급·관리하기 위한 시스템
4. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
⑫ “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
1. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
2. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
⑬ “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
⑭ “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
⑮ "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
⑯ “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
⑰ “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
⑱ “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
⑲ “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서를 저장하고, 필요시 서버에 저장된 인증서를 이용하거나, 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서버를 말합니다.
⑳ “우리은행 웹 보관 서비스”란 우리은행 웹 보관서버(CERT 서버)에 저장된 인증서와 전자서명생성정보를 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서비스를 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
① 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
② 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Standby)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
③ 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
① 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0155&fromSite=pib
② 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0153&fromSite=pib
③ 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
④ 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
⑤ CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389/cn=WooriBank Root CA 1,ou=WooriBank Cert,o=WooriBank,c=KR?authorityRevocationList
2.3 공고 주기
① 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
② 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
③ 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
① 대면 채널에 의한 발급
1. 영업점 실명확인증표 확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 단, 만 14세 미만 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며, 가족관계 확인서류 및 기본증명서(미성년자 가입신청자 기준)를 통해 대리인의 신원을 확인합니다. 외국인등록번호를 보유한 외국인 가입신청자가 대면으로 신원확인을 진행하는 경우 외국인등록증, 영주증, 외국국적동포국내거소신고증을 확인합니다.
2. 휴대폰 본인확인 : 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
3. 영업점 신청번호 확인 : 영업점에서 신원확인 후 부여된 1회용 신청번호를 앱 인증서 발급화면에 입력하여 신원확인을 합니다. 영업점 신청번호는 신청번호 부여 후 30분까지만 유효하며, 제한시간을 초과하면 영업점에서 다시 신청번호를 부여받아야 합니다.
② 비대면 채널에 의한 발급
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
나. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌번호를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
③ 재외국민 비대면 신원확인 시스템에 의한 발급
1. 개인정보 입력 : 가입신청자는 본인의 거주국가, 휴대폰번호, 주민등록번호, 이메일주소를 입력하고 입력한 이메일로 받은 인증번호를 통해 이메일 검증을 진행합니다.
2. 여권 인적사항 페이지 스캔 : 가입신청자는 전자여권 인적사항 페이지를 촬영하고 위변조 및 등록정보 검증을 진행합니다.
3. 여권 IC칩 스캔 : 가입신청자는 휴대전화의 NFC 안테나가 위치한 곳을 여권 IC칩이 위치한 곳에 접촉하여 전자여권 위변조 검증을 진행합니다.
4. 전자여권 소유자 얼굴인증 : 가입신청자는 본인의 얼굴인증을 진행하여 여권 인적사항 페이지 상 사진과 여권IC칩 내 사진, 셀피촬영 이미지를 매칭하여 실제 여권소유자가 가입신청자인지를 확인합니다.
5. 추가 신원확인 : 가입신청자가 입력한 정보 및 여권정보를 재외동포인증센터로 보내 정합성 및 신원을 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 폐지 후 발급, 변경 시 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 발급 시 신원확인
가입자가 기존 인증서 폐지(삭제) 후 발급 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 만 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
4.1.2 신청 절차
가입신청자는 우리은행 인증서 발급 어플리케이션과 영업점 방문을 통해 인증서 발급을 신청할 수 있습니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
① 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
② 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
③ 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
① 신청 내용이 허위라고 판단되는 경우
② 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
③ 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
④ 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
1. IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
2. IOS 11.0 미만 또는 Android 5.0 미만의 OS버전을 사용하는 기기
3. OS Custom 또는 앱 위 변조가 탐지됨
4. 재외국민 비대면 신원확인 시스템을 이용할 경우, NFC 기능을 제공하지 않는 기기
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
① 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
② 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(패턴, 생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
③ 인증기관에서 전송받은 인증서와 전자서명생성정보를 가입자의 단말기에 저장합니다. 가입자는 우리은행에서 제공하는 웹 보관 서비스를 이용할 수 있으며, 가입자의 선택에 따라 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
① 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
② 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
③ 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
④ 우리은행은 인증서 부정발급 시도 등을 탐지, 대응할 수 있도록 인증서 부정발급 상황을 상시 모니터링합니다. 만약 인증서를 부정발급한 사실을 우리은행이 인지한 경우에는 인증서 폐지 후 그 사실을 가입자에게 통지합니다.
4.4 인증서 수령
가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다. 단, 인증서를 발급한 앱을 삭제할 경우 가입자 단말기에 저장된 인증서 및 전자서명생성정보는 삭제됩니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
① 개인 인증서 이용에 따른 유효기간 갱신 발급
1. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
2. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
3. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
우리은행은 인증서 재발급을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
① 가입자가 인증서 폐지(삭제)를 신청한 경우
② 가입자의 사망, 실종선고 등의 사유가 발생한 경우
③ 가입자의 개인정보 변경으로 등록정보와 불일치함을 우리은행에서 인지한 경우
④ 인증서의 유효기간이 경과된 경우
⑤ 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받거나 이용한 사실을 인지한 경우
⑥ 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
⑦ 가입자가 우리은행의 이용약관을 위반한 경우
⑧ 가입자의 신원확인이 적법하게 이루어지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 신청
인증서 정보의 분실, 훼손, 도난, 유출 등의 사유로 인증서 폐지 신청을 하는 경우 신청인은 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
① 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
가. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
나. 가입자는 이전에 등록한 인증서 비밀번호를 입력합니다.
다. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
라. 우리은행은 가입자 단말기에 저장된 인증서 및 CA서버, 웹 보관 서버의 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
가. 가입자는 고객센터를 통해 인증서 폐지(삭제)를 신청합니다.
나. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
다. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
가. 가입자는 영업점 방문을 통해 인증서 폐지(삭제)를 신청합니다.
나. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
다. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
② 우리은행의 정책에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 우리은행의 정책으로 인증서를 폐지(삭제)합니다. 인증서 폐지(삭제) 처리 즉시 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 준용합니다.
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 때까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자는 인증서 폐지 신청을 통하여 전자서명인증 서비스의 가입을 철회할 수 있습니다. 서비스 가입 철회 시 가입자 인증서는 즉시 폐지되며, 가입자의 개인정보는 우리은행의 개인정보처리방침에 따라 인증서 폐지(삭제)된 날로부터 5년까지 보유 후 파기됩니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
① 인증시스템 위치 : 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
② 재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
① 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
② 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
③ 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
④ 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
⑤ 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
⑥ 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
① 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
② 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
① 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
② 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
① 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
② 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
① 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
② 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
③ 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
① 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
② 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
③ 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
① 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
② 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
① 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
② 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
① 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
② 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
③ 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
④ 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
⑤ 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
① 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
② 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
③ 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
① 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
② 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
① 가입자의 인증서 발급 및 관리 등 전자서명인증업무
② 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
① 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
② 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
① 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
② 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
③ 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
① 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
② 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
③ 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
① 최상위인증기관(Root CA)
1. RSA 전자서명검증정보: 4,096 bit
2. 해쉬 알고리즘: SHA-2 256 bit
② 인증기관(CA) 및 OCSP
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘 : SHA-2 256 bit
③ 가입자
1. RSA 전자서명검증정보: 2,048 bit
2. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
① 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
② 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
③ 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
① 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
1. 인증서 유효기간의 만료
2. 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
3. 키 손상이 우려되는 경우(서버 해킹 등)
② 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
③ 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
④ 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
① 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
② 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
③ 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
① 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
② 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
③ 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
④ 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
① 인증시스템의 S/W 등록에 대한 형상관리
② 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
① 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
② 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
③ 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
④ 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
① 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
② 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
③ 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
④ 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
① 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
② 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
③ 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
① 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
② 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
① 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
② 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
③ 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
① 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
② 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
① 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
② 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
① 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
② 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
① 전자서명생성정보
② 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
③ 업무연속성 장애대응 비상대책 및 재해 복구 계획
④ 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
⑤ 개인정보로 보유하는 정보
⑥ 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 아래에 게시된 개인정보처리방침에 따라 개인정보를 처리합니다.
① 우리은행 인터넷뱅킹 > 인증센터(개인) > 우리WON인증서 안내 > 개인정보 처리방침 :
https://spib.wooribank.com/pib/Dream?withyou=CTCER0154&fromSite=pib
② 우리WON뱅킹 앱 > 전체 메뉴 > 인증/보안 > 우리WON인증서 > 개인정보처리방침
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
① 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
② 본 인증업무준칙 및 이용약관
③ 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 지식재산
9.6 보증
해당 사항 없습니다.
9.7 보증 예외 사항
해당 사항 없습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
① 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
② 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
③ 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
④ 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙은 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
① 전자서명인증체계 관련자에게 전달되는 전자문서 또는 전자서명은 아래와 같이 법적 효력을 갖습니다.
1. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
2. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
② 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
① 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관련 법령을 준수하여야 합니다.
② 본 인증업무준칙의 해석과 적용은 전자서명법 및 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
부칙(2024.02.19)
이 준칙은 2024년 2월 21일부터 시행됩니다.
부칙(2024.08.29)
이 준칙은 2024년 9월 4일부터 시행됩니다.
부칙(2024.12.02)
이 준칙은 2024년 12월 3일부터 시행됩니다.
부칙(2024.12.19)
이 준칙은 2024년 12월 20일부터 시행됩니다.
부칙(2025.01.07)
이 준칙은 2025년 1월 7일부터 시행됩니다.
부칙(2025.02.18)
이 준칙은 2025년 2월 19일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.8]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
1.5.4 항목 오기 수정
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
9.4.1 웹사이트 주소 현행화
2023/06/13
1.3
1.3 전자서명인증체계 관련자 변경
1.3.2 단어 오기 수정
1.6 용어 삭제 및 변경
3.2.2 인증서 명칭 통일
3.4 인증서 폐지 프로세스 추가
4.2.1 인증서 명칭 통일
4.2.2 인증서 발급 제한 사유 구체적 명시
4.3.1 용어 수정
4.4 인증서 수령 현행화
4.7 인증서 재발급 현행화
4.9.2 인증서 폐지 요건 예시 추가
4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
5.2 업무 분장 현행화
5.2.2 업무 분리 원칙 현행화
8.1 감사 및 평가 현행화
8.2 평가자의 신원, 자격 현행화
8.3 내부감사 현행화
8.4 평가 내용 현행화
8.5 부적합 사항에 대한 조치 현행화
8.6 결과 보고 현행화
9.2 손해배상 현행화
9.4 개인정보처리방침 웹사이트 링크 변경
2024/01/09
1.4
1.1.2 인증서 재발급 삭제
1.3.5 인증서 재발급 삭제
1.4.1 인증서 발급대상 현행화
1.5.2 준칙의 담당부서 주소 현행화
1.5.5 준칙의 승인 절차 현행화
3.2.2 신분증 확인 추가
4.1.1 신청 주체 현행화
4.2.1 신원확인 방법 현행화
4.2.2 발급신청 제한대상 현행화
4.7 용어 수정
4.9.2.1 용어 수정
4.9.2.3 인증서 폐지 방법 및 절차 현행화
5.2.1 인증서 재발급 삭제
5.4.1 인증서 재발급 삭제
6.8 시점확인서비스 현행화
8.3 조직개편 반영
8.6 조직개편 반영
2024/02/21
1.5
3.2.2 비대면실명확인 신분증 촬영 대상 확대 반영 및 안면인식 확인 추가 반영
4.9.2.3 고객센터를 통한 폐지 시 고객 통지 절차 현행화
2024/09/04
1.6
1.3.2 용어 삭제, 우리은행 책임 내용 구체화
1.3.5 용어 수정
1.3.6 용어 수정
1.5.5 이의 제기 수단 현행화
1.6 중복 내용 삭제, 일부 용어 정의 수정
2.1 공고설비 구성방식 현행화
2.2 공고 방법 URL 현행화
3.2.2 문구 수정
3.3 재발급 용어 삭제
4.2.2 인증서 발급 신청 제한 사유(OS버전) 구체화
4.3.2 인증서 부정발급 모니터링 내용 추가
4.4 앱 삭제 시 가입자 단말기에서 삭제되는 정보 추가
4.6 인증서 갱신 위한 인증수단 현행화
4.9.2.1 사례 추가 및 용어 수정
4.9.2.2 인증서 폐지 사유 명확화
4.9.2.3 인증서 폐지 방법 현행화
4.10.1 중복 내용 삭제
4.11 서비스 가입 해지 삭제 및 서비스 가입 철회 내용 변경
7.2 용어 삭제
7.3 용어 삭제
9.2.2 문구 수정
9.4.1 개인정보처리방침 URL 수정
9.5 용어 수정
9.6 보증 현행화
9.7 보증 예외 사항 현행화
9.13 용어 수정
9.15 용어 수정
2024/12/03
1.7
1.4.1 재외국민 대상 우리WON인증서 발급 내용 반영
3.2.2 재외국민 대상 우리WON인증서 발급 내용 반영
4.2.2 재외국민 대상 우리WON인증서 발급 時 휴대전화 필수 기능 반영
2024/12/20
1.8
1.5.2 준칙의 담당부서
4.9.2.3 인증서 폐지 방법 및 절차
2025/01/07
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.2 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
VI. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 안정성을 확보하기 위해 충분한 기술적, 정책적 노력을 취해야 하며, 그렇지 않은 사유로 인해 가입자 또는 이용자에게 손해가 발생하였을 경우 책임을 부담합니다.
1.3.3 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명생성정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.6 이용자(이용기관)
1. 이용자란 전자서명법상 이용자로서 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
주민등록번호를 보유한 대한민국 국민
외국인등록번호를 보유한 외국인
본인인증 및 전자서명이 필요한 전자거래 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 인증사업플랫폼부 전자서명인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
1. 인증업무준칙의 버전
2. 적용 업무 및 범위의 개요
3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 또는 전자우편 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
6. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
7. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
8. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
9. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
10. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
11. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
12. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
13. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
14. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
15. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
16. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
17. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
18. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
19. “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서를 저장하고, 필요시 서버에 저장된 인증서를 이용하거나, 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서버를 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Standby)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
1. 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0155&fromSite=pib
2. 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0153&fromSite=pib
3. 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389/cn=WooriBank Root CA 1,ou=WooriBank Cert,o=WooriBank,c=KR?authorityRevocationList
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
II. 영업점 실명확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 이후 발급받은 1회용 인증번호를 앱에 입력하는 것으로 신원확인을 합니다. 단, 만 14세 미만 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며, 가족관계 확인서류 및 기본증명서(미성년자 가입신청자 기준)를 통해 대리인의 신원을 확인합니다. 외국인등록번호를 보유한 외국인 가입신청자는 외국인등록증, 영주증, 외국국적동포국내거소신고증을 통해 대면으로 신원확인을 진행합니다.
3. 안면인식 확인 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
재외국민이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
1. 개인정보 입력 : 가입신청자는 본인의 거주국가, 휴대폰번호, 주민등록번호, 이메일주소를 입력하고 입력한 이메일로 받은 인증번호를 통해 이메일 검증을 진행합니다.
2. 여권 인적사항 페이지 스캔 : 가입신청자는 전자여권 인적사항 페이지를 촬영하고 위변조 및 등록정보 검증을 진행합니다.
3. 여권 IC칩 스캔 : 가입신청자는 휴대전화의 NFC 안테나가 위치한 곳을 여권 IC칩이 위치한 곳에 접촉하여 전자여권 위변조 검증을 진행합니다.
4. 전자여권 소유자 얼굴인증 : 가입신청자는 본인의 얼굴인증을 진행하여 여권 인적사항 페이지 상 사진과 여권IC칩 내 사진, 셀피촬영 이미지를 매칭하여 실제 여권소유자가 가입신청자인지를 확인합니다.
5. 추가 신원확인 : 가입신청자가 입력한 정보 및 여권정보를 재외동포인증센터로 보내 정합성 및 신원을 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 폐지 후 발급, 변경 시 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 발급 시 신원확인
가입자가 기존 인증서 폐지(삭제) 후 발급 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 만 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- IOS 11.0 미만 또는 Android 5.0 미만의 OS버전을 사용하는 기기
- OS Custom 또는 앱 위 변조가 탐지됨
- 재외국민 발급 절차를 이용할 경우, NFC 기능을 제공하지 않는 기기
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4. 우리은행은 인증서 부정발급 시도 등을 탐지, 대응할 수 있도록 인증서 부정발급 상황을 상시 모니터링합니다. 만약 인증서를 부정발급한 사실을 우리은행이 인지한 경우에는 인증서 폐지 후 그 사실을 가입자에게 통지합니다.
4.4 인증서 수령
가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다. 단, 인증서를 발급한 앱을 삭제할 경우 가입자 단말기에 저장된 인증서 및 전자서명생성정보는 삭제됩니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
우리은행은 인증서 재발급을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망, 실종선고 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년 동안 이용하지 않은 경우
6. 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받거나 이용한 사실을 인지한 경우
7. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
8. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
9. 가입자의 신원확인이 적법하게 이루어지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 신청
인증서 정보의 분실, 훼손, 도난, 유출 등의 사유로 인증서 폐지 신청을 하는 경우 신청인은 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자는 이전에 등록한 인증서 비밀번호를 입력합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 가입자 단말기에 저장된 인증서 및 CA서버, 웹 보관 서버의 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제)를 신청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
I. 가입자는 영업점 방문을 통해 인증서 폐지(삭제)를 신청합니다.
II. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 인증사업플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
나. 우리은행의 정책에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 우리은행의 정책으로 인증서를 폐지(삭제)합니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 즉시 공고합니다.
1. 우리은행의 정책으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 즉시 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급한 가능성을 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자는 인증서 폐지 신청을 통하여 전자서명인증 서비스의 가입을 철회할 수 있습니다. 서비스 가입 철회 시 가입자 인증서는 즉시 폐지되며, 가입자의 개인정보는 우리은행의 개인정보처리방침에 따라 인증서 폐지(삭제)된 날로부터 5년까지 보유 후 파기됩니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
4. 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
3. 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
1. 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
2. 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
3. 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
2. 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
1. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
2. 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
1. 우리WON인증 서비스 개인정보처리방침 :
https://spib.wooribank.com/pib/Dream?withyou=CTCER0154&fromSite=pib
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 지적 재산
9.6 보증
해당 사항 없습니다.
9.7 보증 예외 사항
해당 사항 없습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 전자문서 또는 전자서명은 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관련 법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 및 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
부칙(2024.02.19)
이 준칙은 2024년 2월 21일부터 시행됩니다.
부칙(2024.08.29)
이 준칙은 2024년 9월 4일부터 시행됩니다.
부칙(2024.12.02)
이 준칙은 2024년 12월 3일부터 시행됩니다.
부칙(2024.12.19)
이 준칙은 2024년 12월 20일부터 시행됩니다.
부칙(2025.01.07)
이 준칙은 2025년 1월 7일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.7]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
1.5.4 항목 오기 수정
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
9.4.1 웹사이트 주소 현행화
2023/06/13
1.3
1.3 전자서명인증체계 관련자 변경
1.3.2 단어 오기 수정
1.6 용어 삭제 및 변경
3.2.2 인증서 명칭 통일
3.4 인증서 폐지 프로세스 추가
4.2.1 인증서 명칭 통일
4.2.2 인증서 발급 제한 사유 구체적 명시
4.3.1 용어 수정
4.4 인증서 수령 현행화
4.7 인증서 재발급 현행화
4.9.2 인증서 폐지 요건 예시 추가
4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
5.2 업무 분장 현행화
5.2.2 업무 분리 원칙 현행화
8.1 감사 및 평가 현행화
8.2 평가자의 신원, 자격 현행화
8.3 내부감사 현행화
8.4 평가 내용 현행화
8.5 부적합 사항에 대한 조치 현행화
8.6 결과 보고 현행화
9.2 손해배상 현행화
9.4 개인정보처리방침 웹사이트 링크 변경
2024/01/09
1.4
1.1.2 인증서 재발급 삭제
1.3.5 인증서 재발급 삭제
1.4.1 인증서 발급대상 현행화
1.5.2 준칙의 담당부서 주소 현행화
1.5.5 준칙의 승인 절차 현행화
3.2.2 신분증 확인 추가
4.1.1 신청 주체 현행화
4.2.1 신원확인 방법 현행화
4.2.2 발급신청 제한대상 현행화
4.7 용어 수정
4.9.2.1 용어 수정
4.9.2.3 인증서 폐지 방법 및 절차 현행화
5.2.1 인증서 재발급 삭제
5.4.1 인증서 재발급 삭제
6.8 시점확인서비스 현행화
8.3 조직개편 반영
8.6 조직개편 반영
2024/02/21
1.5
3.2.2 비대면실명확인 신분증 촬영 대상 확대 반영 및 안면인식 확인 추가 반영
4.9.2.3 고객센터를 통한 폐지 시 고객 통지 절차 현행화
2024/09/04
1.6
1.3.2 용어 삭제, 우리은행 책임 내용 구체화
1.3.5 용어 수정
1.3.6 용어 수정
1.5.5 이의 제기 수단 현행화
1.6 중복 내용 삭제, 일부 용어 정의 수정
2.1 공고설비 구성방식 현행화
2.2 공고 방법 URL 현행화
3.2.2 문구 수정
3.3 재발급 용어 삭제
4.2.2 인증서 발급 신청 제한 사유(OS버전) 구체화
4.3.2 인증서 부정발급 모니터링 내용 추가
4.4 앱 삭제 시 가입자 단말기에서 삭제되는 정보 추가
4.6 인증서 갱신 위한 인증수단 현행화
4.9.2.1 사례 추가 및 용어 수정
4.9.2.2 인증서 폐지 사유 명확화
4.9.2.3 인증서 폐지 방법 현행화
4.10.1 중복 내용 삭제
4.11 서비스 가입 해지 삭제 및 서비스 가입 철회 내용 변경
7.2 용어 삭제
7.3 용어 삭제
9.2.2 문구 수정
9.4.1 개인정보처리방침 URL 수정
9.5 용어 수정
9.6 보증 현행화
9.7 보증 예외 사항 현행화
9.13 용어 수정
9.15 용어 수정
2024/12/03
1.7
1.4.1 재외국민 대상 우리WON인증서 발급 내용 반영
3.2.2 재외국민 대상 우리WON인증서 발급 내용 반영
4.2.2 재외국민 대상 우리WON인증서 발급 時 휴대전화 필수 기능 반영
2024/12/20
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.2 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
VI. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 안정성을 확보하기 위해 충분한 기술적, 정책적 노력을 취해야 하며, 그렇지 않은 사유로 인해 가입자 또는 이용자에게 손해가 발생하였을 경우 책임을 부담합니다.
1.3.3 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명생성정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.6 이용자(이용기관)
1. 이용자란 전자서명법상 이용자로서 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
주민등록번호를 보유한 대한민국 국민
외국인등록번호를 보유한 외국인
본인인증 및 전자서명이 필요한 전자거래 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 개인금융플랫폼부 전자서명인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
1. 인증업무준칙의 버전
2. 적용 업무 및 범위의 개요
3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 또는 전자우편 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
6. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
7. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
8. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
9. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
10. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
11. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
12. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
13. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
14. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
15. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
16. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
17. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
18. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
19. “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서를 저장하고, 필요시 서버에 저장된 인증서를 이용하거나, 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서버를 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Standby)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
1. 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0155&fromSite=pib
2. 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0153&fromSite=pib
3. 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389/cn=WooriBank Root CA 1,ou=WooriBank Cert,o=WooriBank,c=KR?authorityRevocationList
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
II. 영업점 실명확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 이후 발급받은 1회용 인증번호를 앱에 입력하는 것으로 신원확인을 합니다. 단, 만 14세 미만 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며, 가족관계 확인서류 및 기본증명서(미성년자 가입신청자 기준)를 통해 대리인의 신원을 확인합니다. 외국인등록번호를 보유한 외국인 가입신청자는 외국인등록증, 영주증, 외국국적동포국내거소신고증을 통해 대면으로 신원확인을 진행합니다.
3. 안면인식 확인 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
재외국민이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
1. 개인정보 입력 : 가입신청자는 본인의 거주국가, 휴대폰번호, 주민등록번호, 이메일주소를 입력하고 입력한 이메일로 받은 인증번호를 통해 이메일 검증을 진행합니다.
2. 여권 인적사항 페이지 스캔 : 가입신청자는 전자여권 인적사항 페이지를 촬영하고 위변조 및 등록정보 검증을 진행합니다.
3. 여권 IC칩 스캔 : 가입신청자는 휴대전화의 NFC 안테나가 위치한 곳을 여권 IC칩이 위치한 곳에 접촉하여 전자여권 위변조 검증을 진행합니다.
4. 전자여권 소유자 얼굴인증 : 가입신청자는 본인의 얼굴인증을 진행하여 여권 인적사항 페이지 상 사진과 여권IC칩 내 사진, 셀피촬영 이미지를 매칭하여 실제 여권소유자가 가입신청자인지를 확인합니다.
5. 추가 신원확인 : 가입신청자가 입력한 정보 및 여권정보를 재외동포인증센터로 보내 정합성 및 신원을 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 폐지 후 발급, 변경 시 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 발급 시 신원확인
가입자가 기존 인증서 폐지(삭제) 후 발급 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 만 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- IOS 11.0 미만 또는 Android 5.0 미만의 OS버전을 사용하는 기기
- OS Custom 또는 앱 위 변조가 탐지됨
- 재외국민 발급 절차를 이용할 경우, NFC 기능을 제공하지 않는 기기
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4. 우리은행은 인증서 부정발급 시도 등을 탐지, 대응할 수 있도록 인증서 부정발급 상황을 상시 모니터링합니다. 만약 인증서를 부정발급한 사실을 우리은행이 인지한 경우에는 인증서 폐지 후 그 사실을 가입자에게 통지합니다.
4.4 인증서 수령
가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다. 단, 인증서를 발급한 앱을 삭제할 경우 가입자 단말기에 저장된 인증서 및 전자서명생성정보는 삭제됩니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
우리은행은 인증서 재발급을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망, 실종선고 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년 동안 이용하지 않은 경우
6. 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받거나 이용한 사실을 인지한 경우
7. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
8. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
9. 가입자의 신원확인이 적법하게 이루어지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 신청
인증서 정보의 분실, 훼손, 도난, 유출 등의 사유로 인증서 폐지 신청을 하는 경우 신청인은 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자는 이전에 등록한 인증서 비밀번호를 입력합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 가입자 단말기에 저장된 인증서 및 CA서버, 웹 보관 서버의 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제)를 신청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
I. 가입자는 영업점 방문을 통해 인증서 폐지(삭제)를 신청합니다.
II. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
나. 우리은행의 정책에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 우리은행의 정책으로 인증서를 폐지(삭제)합니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 즉시 공고합니다.
1. 우리은행의 정책으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 즉시 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급한 가능성을 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자는 인증서 폐지 신청을 통하여 전자서명인증 서비스의 가입을 철회할 수 있습니다. 서비스 가입 철회 시 가입자 인증서는 즉시 폐지되며, 가입자의 개인정보는 우리은행의 개인정보처리방침에 따라 인증서 폐지(삭제)된 날로부터 5년까지 보유 후 파기됩니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
4. 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
3. 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
1. 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
2. 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
3. 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
2. 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
1. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
2. 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
1. 우리WON인증 서비스 개인정보처리방침 :
https://spib.wooribank.com/pib/Dream?withyou=CTCER0154&fromSite=pib
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 지적 재산
9.6 보증
해당 사항 없습니다.
9.7 보증 예외 사항
해당 사항 없습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 전자문서 또는 전자서명은 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관련 법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 및 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
부칙(2024.02.19)
이 준칙은 2024년 2월 21일부터 시행됩니다.
부칙(2024.08.29)
이 준칙은 2024년 9월 4일부터 시행됩니다.
부칙(2024.12.02)
이 준칙은 2024년 12월 3일부터 시행됩니다.
부칙(2024.12.19)
이 준칙은 2024년 12월 20일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.6]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
1.5.4 항목 오기 수정
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
9.4.1 웹사이트 주소 현행화
2023/06/13
1.3
1.3 전자서명인증체계 관련자 변경
1.3.2 단어 오기 수정
1.6 용어 삭제 및 변경
3.2.2 인증서 명칭 통일
3.4 인증서 폐지 프로세스 추가
4.2.1 인증서 명칭 통일
4.2.2 인증서 발급 제한 사유 구체적 명시
4.3.1 용어 수정
4.4 인증서 수령 현행화
4.7 인증서 재발급 현행화
4.9.2 인증서 폐지 요건 예시 추가
4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
5.2 업무 분장 현행화
5.2.2 업무 분리 원칙 현행화
8.1 감사 및 평가 현행화
8.2 평가자의 신원, 자격 현행화
8.3 내부감사 현행화
8.4 평가 내용 현행화
8.5 부적합 사항에 대한 조치 현행화
8.6 결과 보고 현행화
9.2 손해배상 현행화
9.4 개인정보처리방침 웹사이트 링크 변경
2024/01/09
1.4
1.1.2 인증서 재발급 삭제
1.3.5 인증서 재발급 삭제
1.4.1 인증서 발급대상 현행화
1.5.2 준칙의 담당부서 주소 현행화
1.5.5 준칙의 승인 절차 현행화
3.2.2 신분증 확인 추가
4.1.1 신청 주체 현행화
4.2.1 신원확인 방법 현행화
4.2.2 발급신청 제한대상 현행화
4.7 용어 수정
4.9.2.1 용어 수정
4.9.2.3 인증서 폐지 방법 및 절차 현행화
5.2.1 인증서 재발급 삭제
5.4.1 인증서 재발급 삭제
6.8 시점확인서비스 현행화
8.3 조직개편 반영
8.6 조직개편 반영
2024/02/21
1.5
3.2.2 비대면실명확인 신분증 촬영 대상 확대 반영 및 안면인식 확인 추가 반영
4.9.2.3 고객센터를 통한 폐지 시 고객 통지 절차 현행화
2024/09/04
1.6
1.3.2 용어 삭제, 우리은행 책임 내용 구체화
1.3.5 용어 수정
1.3.6 용어 수정
1.5.5 이의 제기 수단 현행화
1.6 중복 내용 삭제, 일부 용어 정의 수정
2.1 공고설비 구성방식 현행화
2.2 공고 방법 URL 현행화
3.2.2 문구 수정
3.3 재발급 용어 삭제
4.2.2 인증서 발급 신청 제한 사유(OS버전) 구체화
4.3.2 인증서 부정발급 모니터링 내용 추가
4.4 앱 삭제 시 가입자 단말기에서 삭제되는 정보 추가
4.6 인증서 갱신 위한 인증수단 현행화
4.9.2.1 사례 추가 및 용어 수정
4.9.2.2 인증서 폐지 사유 명확화
4.9.2.3 인증서 폐지 방법 현행화
4.10.1 중복 내용 삭제
4.11 서비스 가입 해지 삭제 및 서비스 가입 철회 내용 변경
7.2 용어 삭제
7.3 용어 삭제
9.2.2 문구 수정
9.4.1 개인정보처리방침 URL 수정
9.5 용어 수정
9.6 보증 현행화
9.7 보증 예외 사항 현행화
9.13 용어 수정
9.15 용어 수정
2024/12/03
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.2 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
VI. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 안정성을 확보하기 위해 충분한 기술적, 정책적 노력을 취해야 하며, 그렇지 않은 사유로 인해 가입자 또는 이용자에게 손해가 발생하였을 경우 책임을 부담합니다.
1.3.3 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명생성정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 즉시 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.6 이용자(이용기관)
1. 이용자란 전자서명법상 이용자로서 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
주민등록번호를 보유한 내국인
외국인등록번호를 보유한 외국인
본인인증 및 전자서명이 필요한 전자거래 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 개인금융플랫폼부 전자서명인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
1. 인증업무준칙의 버전
2. 적용 업무 및 범위의 개요
3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 또는 전자우편 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
6. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
7. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
8. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
9. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
10. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
11. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
12. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
13. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
14. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
15. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
16. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
17. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
18. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
19. “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서를 저장하고, 필요시 서버에 저장된 인증서를 이용하거나, 가입자의 이용기기(스마트폰 및 PC)로 내려받아 이용할 수 있도록 하는 서버를 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Standby)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
1. 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0155&fromSite=pib
2. 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0153&fromSite=pib
3. 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389/cn=WooriBank Root CA 1,ou=WooriBank Cert,o=WooriBank,c=KR?authorityRevocationList
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
II. 영업점 실명확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 이후 발급받은 1회용 인증번호를 앱에 입력하는 것으로 신원확인을 합니다. 단, 만 14세 미만 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며, 가족관계 확인서류 및 기본증명서(미성년자 가입신청자 기준)를 통해 대리인의 신원을 확인합니다. 외국인등록번호를 보유한 외국인 가입신청자는 외국인등록증, 영주증, 외국국적동포국내거소신고증을 통해 대면으로 신원확인을 진행합니다.
3. 안면인식 확인 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 폐지 후 발급, 변경 시 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 발급 시 신원확인
가입자가 기존 인증서 폐지(삭제) 후 발급 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 만 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- IOS 11.0 미만 또는 Android 5.0 미만의 OS버전을 사용하는 기기
- OS Custom 또는 앱 위 변조가 탐지됨
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4. 우리은행은 인증서 부정발급 시도 등을 탐지, 대응할 수 있도록 인증서 부정발급 상황을 상시 모니터링합니다. 만약 인증서를 부정발급한 사실을 우리은행이 인지한 경우에는 인증서 폐지 후 그 사실을 가입자에게 통지합니다.
4.4 인증서 수령
가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다. 단, 인증서를 발급한 앱을 삭제할 경우 가입자 단말기에 저장된 인증서 및 전자서명생성정보는 삭제됩니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
우리은행은 인증서 재발급을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망, 실종선고 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년 동안 이용하지 않은 경우
6. 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받거나 이용한 사실을 인지한 경우
7. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
8. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
9. 가입자의 신원확인이 적법하게 이루어지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 신청
인증서 정보의 분실, 훼손, 도난, 유출 등의 사유로 인증서 폐지 신청을 하는 경우 신청인은 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자는 이전에 등록한 인증서 비밀번호를 입력합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 가입자 단말기에 저장된 인증서 및 CA서버, 웹 보관 서버의 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제)를 신청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
I. 가입자는 영업점 방문을 통해 인증서 폐지(삭제)를 신청합니다.
II. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 즉시 공고합니다.
나. 우리은행의 정책에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 우리은행의 정책으로 인증서를 폐지(삭제)합니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 즉시 공고합니다.
1. 우리은행의 정책으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 즉시 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급한 가능성을 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자는 인증서 폐지 신청을 통하여 전자서명인증 서비스의 가입을 철회할 수 있습니다. 서비스 가입 철회 시 가입자 인증서는 즉시 폐지되며, 가입자의 개인정보는 우리은행의 개인정보처리방침에 따라 인증서 폐지(삭제)된 날로부터 5년까지 보유 후 파기됩니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
4. 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
3. 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
1. 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
2. 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
3. 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
2. 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
1. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
2. 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
1. 우리WON인증 서비스 개인정보처리방침 :
https://spib.wooribank.com/pib/Dream?withyou=CTCER0154&fromSite=pib
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 지적 재산
9.6 보증
해당 사항 없습니다.
9.7 보증 예외 사항
해당 사항 없습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 전자문서 또는 전자서명은 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관련 법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 및 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
부칙(2024.02.19)
이 준칙은 2024년 2월 21일부터 시행됩니다.
부칙(2024.08.29)
이 준칙은 2024년 9월 4일부터 시행됩니다.
부칙(2024.12.02)
이 준칙은 2024년 12월 3일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.5]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
1.5.4 항목 오기 수정
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
9.4.1 웹사이트 주소 현행화
2023/06/13
1.3
1.3 전자서명인증체계 관련자 변경
1.3.2 단어 오기 수정
1.6 용어 삭제 및 변경
3.2.2 인증서 명칭 통일
3.4 인증서 폐지 프로세스 추가
4.2.1 인증서 명칭 통일
4.2.2 인증서 발급 제한 사유 구체적 명시
4.3.1 용어 수정
4.4 인증서 수령 현행화
4.7 인증서 재발급 현행화
4.9.2 인증서 폐지 요건 예시 추가
4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
5.2 업무 분장 현행화
5.2.2 업무 분리 원칙 현행화
8.1 감사 및 평가 현행화
8.2 평가자의 신원, 자격 현행화
8.3 내부감사 현행화
8.4 평가 내용 현행화
8.5 부적합 사항에 대한 조치 현행화
8.6 결과 보고 현행화
9.2 손해배상 현행화
9.4 개인정보처리방침 웹사이트 링크 변경
2024/01/09
1.4
1.1.2 인증서 재발급 삭제
1.3.5 인증서 재발급 삭제
1.4.1 인증서 발급대상 현행화
1.5.2 준칙의 담당부서 주소 현행화
1.5.5 준칙의 승인 절차 현행화
3.2.2 신분증 확인 추가
4.1.1 신청 주체 현행화
4.2.1 신원확인 방법 현행화
4.2.2 발급신청 제한대상 현행화
4.7 용어 수정
4.9.2.1 용어 수정
4.9.2.3 인증서 폐지 방법 및 절차 현행화
5.2.1 인증서 재발급 삭제
5.4.1 인증서 재발급 삭제
6.8 시점확인서비스 현행화
8.3 조직개편 반영
8.6 조직개편 반영
2024/02/21
1.5
3.2.2 비대면실명확인 신분증 촬영 대상 확대 반영 및 안면인식 확인 추가 반영
4.9.2.3 고객센터를 통한 폐지 시 고객 통지 절차 현행화
2024/09/04
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.2 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인(OCSP)
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
VI. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 가입자 또는 이용자에게 손해가 발생하였을 경우 법 제20조(손해배상책임)에 따라 그 책임을 부담합니다.
1.3.3 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
1.3.4 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.5 가입자
1. 가입자란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
2. 가입자는 다음과 같은 책임과 의무를 가집니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 지체없이 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.6 이용자(이용기관)
1. 이용자란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
주민등록번호를 보유한 내국인
외국인등록번호를 보유한 외국인
본인인증 및 전자서명이 필요한 전자거래 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 개인금융플랫폼부 전자서명인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
1. 인증업무준칙의 버전
2. 적용 업무 및 범위의 개요
3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
6. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
7. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
8. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
9. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
10. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
11. “가입자”란 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
12. “이용자(이용기관)”란 전자서명인증사업자가 제공하는 전자서명인증서비스를 이용하는 자를 말합니다.
13. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
14. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
15. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
16. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
17. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
18. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
19. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
20. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
21. “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서와 전자서명생성정보를 암호화하여 보관하는 시스템을 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Active)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
1. 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
2. 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
3. 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
II. 영업점 실명확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 이후 발급받은 1회용 인증번호를 앱에 입력하는 것으로 신원확인을 합니다. 단, 만 14세 미만 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며, 대리인의 신원확인을 위해 가족관계 확인서류 및 기본증명서(미성년자 가입신청자 기준)를 징구합니다. 외국인등록번호를 보유한 외국인 가입신청자는 외국인등록증, 영주증, 외국국적동포국내거소신고증을 통해 대면으로 신원확인을 진행합니다.
3. 안면인식 확인 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
4. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 재발급 및 변경 시, 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 재발급 시 신원확인(재발급 및 변경 시)
가입자가 기존 인증서 폐지(삭제) 후 재발급 및 변경 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 만 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- 우리은행이 설정한 최소 버전 미만의 앱을 사용함
- OS Custom 또는 앱 위 변조가 탐지됨
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4.4 인증서 수령
가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
우리은행은 인증서 재발급을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년 동안 이용하지 않은 경우
6. 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
7. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
8. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
9. 가입자의 신원확인이 적법하게 이루어지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 주체
인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자의 신원을 인증서 비밀번호로 확인합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
I. 가입자는 영업점 방문을 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
나. 우리은행의 직권에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 직권으로 인증서를 폐지(삭제) 할 수 있습니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 지체없이 공고합니다.
1. 우리은행의 직권으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 지체 없이 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급한 가능성을 객관적으로 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 객관적으로 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
인증서 유효성 확인 서비스(OCSP, Online Certificate Status Protocol)란 가입자의 인증서의 이용 가능 상태를 실시간으로 확인하는 서비스로서 가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자가 서비스 해지를 원하면 인증서를 폐지(삭제)하거나 앱을 탈퇴 또는 삭제 시 서비스 중단을 할 수 있습니다. 또한, 가입자가 서비스 해지 시 인증서 폐지(삭제)와 가입자의 인증서 관련 개인정보는 우리은행의 개인정보처리방침에 따라 처리합니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
4. 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
3. 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
1. 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
2. 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
3. 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
2. 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
1. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
2. 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
우리은행은 전자서명인증업무와 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
1. 우리WON인증 서비스 개인정보처리방침
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 저작물
9.6 보증
1. 우리WON인증서는 본 준칙에 따라 발급됨을 보증합니다.
2. 우리WON인증서 내에 포함된 내용이 발급신청 당시 기준으로 우리은행 CA에 등록된 사실임을 보증합니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법, 시행령 및 시행규칙, 우리은행의 약관 또는 운영정책과 본 전자서명인증 업무준칙에서 정한 사항 이외의 사항 즉, 가입자 신용 및 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)는 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관계법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 등 대한민국 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
부칙(2024.02.19)
이 준칙은 2024년 2월 21일부터 시행됩니다.
부칙(2024.08.29)
이 준칙은 2024년 9월 4일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.4]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
1.5.4 항목 오기 수정
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
9.4.1 웹사이트 주소 현행화
2023/06/13
1.3
1.3 전자서명인증체계 관련자 변경
1.3.2 단어 오기 수정
1.6 용어 삭제 및 변경
3.2.2 인증서 명칭 통일
3.4 인증서 폐지 프로세스 추가
4.2.1 인증서 명칭 통일
4.2.2 인증서 발급 제한 사유 구체적 명시
4.3.1 용어 수정
4.4 인증서 수령 현행화
4.7 인증서 재발급 현행화
4.9.2 인증서 폐지 요건 예시 추가
4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
5.2 업무 분장 현행화
5.2.2 업무 분리 원칙 현행화
8.1 감사 및 평가 현행화
8.2 평가자의 신원, 자격 현행화
8.3 내부감사 현행화
8.4 평가 내용 현행화
8.5 부적합 사항에 대한 조치 현행화
8.6 결과 보고 현행화
9.2 손해배상 현행화
9.4 개인정보처리방침 웹사이트 링크 변경
2024/01/09
1.4
1.1.2 인증서 재발급 삭제
1.3.5 인증서 재발급 삭제
1.4.1 인증서 발급대상 현행화
1.5.2 준칙의 담당부서 주소 현행화
1.5.5 준칙의 승인 절차 현행화
3.2.2 신분증 확인 추가
4.1.1 신청 주체 현행화
4.2.1 신원확인 방법 현행화
4.2.2 발급신청 제한대상 현행화
4.7 용어 수정
4.9.2.1 용어 수정
4.9.2.3 인증서 폐지 방법 및 절차 현행화
5.2.1 인증서 재발급 삭제
5.4.1 인증서 재발급 삭제
6.8 시점확인서비스 현행화
8.3 조직개편 반영
8.6 조직개편 반영
2024/02/21
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.2 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인(OCSP)
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
VI. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 가입자 또는 이용자에게 손해가 발생하였을 경우 법 제20조(손해배상책임)에 따라 그 책임을 부담합니다.
1.3.3 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
1.3.4 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.5 가입자
1. 가입자란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
2. 가입자는 다음과 같은 책임과 의무를 가집니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 지체없이 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.6 이용자(이용기관)
1. 이용자란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
주민등록번호를 보유한 내국인
외국인등록번호를 보유한 외국인
본인인증 및 전자서명이 필요한 전자거래 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 개인금융플랫폼부 전자서명인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
1. 인증업무준칙의 버전
2. 적용 업무 및 범위의 개요
3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
6. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
7. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
8. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
9. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
10. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
11. “가입자”란 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
12. “이용자(이용기관)”란 전자서명인증사업자가 제공하는 전자서명인증서비스를 이용하는 자를 말합니다.
13. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
14. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
15. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
16. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
17. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
18. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
19. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
20. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
21. “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서와 전자서명생성정보를 암호화하여 보관하는 시스템을 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Active)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
1. 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
2. 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
3. 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인 합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
2. 신분증 확인
I. 비대면 실명확인 : 가입신청자는 실명확인증표(주민등록증, 운전면허증)를 촬영하고 진위확인을 진행합니다.
II. 영업점 실명확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 이후 발급받은 1회용 인증번호를 앱에 입력하는 것으로 신원확인을 합니다. 단, 만 14세 미만 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며, 대리인의 신원확인을 위해 가족관계 확인서류 및 기본증명서(미성년자 가입신청자 기준)를 징구합니다. 외국인등록번호를 보유한 외국인 가입신청자는 외국인등록증, 영주증, 외국국적동포국내거소신고증을 통해 대면으로 신원확인을 진행합니다.
3. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 재발급 및 변경 시, 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 재발급 시 신원확인(재발급 및 변경 시)
가입자가 기존 인증서 폐지(삭제) 후 재발급 및 변경 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 만 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- 우리은행이 설정한 최소 버전 미만의 앱을 사용함
- OS Custom 또는 앱 위 변조가 탐지됨
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4.4 인증서 수령
가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
우리은행은 인증서 재발급을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.
4.8 인증서 변경
우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년 동안 이용하지 않은 경우
6. 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
7. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
8. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
9. 가입자의 신원확인이 적법하게 이루어지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 주체
인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자의 신원을 인증서 비밀번호로 확인합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
I. 가입자는 영업점 방문을 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
나. 우리은행의 직권에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 직권으로 인증서를 폐지(삭제) 할 수 있습니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 지체없이 공고합니다.
1. 우리은행의 직권으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 지체 없이 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급한 가능성을 객관적으로 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 객관적으로 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
인증서 유효성 확인 서비스(OCSP, Online Certificate Status Protocol)란 가입자의 인증서의 이용 가능 상태를 실시간으로 확인하는 서비스로서 가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자가 서비스 해지를 원하면 인증서를 폐지(삭제)하거나 앱을 탈퇴 또는 삭제 시 서비스 중단을 할 수 있습니다. 또한, 가입자가 서비스 해지 시 인증서 폐지(삭제)와 가입자의 인증서 관련 개인정보는 우리은행의 개인정보처리방침에 따라 처리합니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
4. 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
3. 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
1. 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
2. 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
3. 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
2. 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
1. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
2. 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
우리은행은 전자서명인증업무와 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
1. 우리WON인증 서비스 개인정보처리방침
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 저작물
9.6 보증
1. 우리WON인증서는 본 준칙에 따라 발급됨을 보증합니다.
2. 우리WON인증서 내에 포함된 내용이 발급신청 당시 기준으로 우리은행 CA에 등록된 사실임을 보증합니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법, 시행령 및 시행규칙, 우리은행의 약관 또는 운영정책과 본 전자서명인증 업무준칙에서 정한 사항 이외의 사항 즉, 가입자 신용 및 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)는 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관계법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 등 대한민국 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
부칙(2024.02.20)
이 준칙은 2024년 2월 21일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.3]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
1.5.4 항목 오기 수정
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
9.4.1 웹사이트 주소 현행화
2023/06/13
1.3
1.3 전자서명인증체계 관련자 변경
1.3.2 단어 오기 수정
1.6 용어 삭제 및 변경
3.2.2 인증서 명칭 통일
3.4 인증서 폐지 프로세스 추가
4.2.1 인증서 명칭 통일
4.2.2 인증서 발급 제한 사유 구체적 명시
4.3.1 용어 수정
4.4 인증서 수령 현행화
4.7 인증서 재발급 현행화
4.9.2 인증서 폐지 요건 예시 추가
4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
5.2 업무 분장 현행화
5.2.2 업무 분리 원칙 현행화
8.1 감사 및 평가 현행화
8.2 평가자의 신원, 자격 현행화
8.3 내부감사 현행화
8.4 평가 내용 현행화
8.5 부적합 사항에 대한 조치 현행화
8.6 결과 보고 현행화
9.2 손해배상 현행화
9.4 개인정보처리방침 웹사이트 링크 변경
2024/01/09
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 재발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.2 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인(OCSP)
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
VI. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 가입자 또는 이용자에게 손해가 발생하였을 경우 법 제20조(손해배상책임)에 따라 그 책임을 부담합니다.
1.3.3 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
1.3.4 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.5 가입자
1. 가입자란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
2. 가입자는 다음과 같은 책임과 의무를 가집니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 및 재발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 지체없이 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.6 이용자(이용기관)
1. 이용자란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
만 14세 이상 성인
본인인증 및 전자서명이 필요한 전자적 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
우리은행은 만 14세 이상 개인을 대상으로 인증서를 발급합니다.
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 개인금융플랫폼부 사설인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 20F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
1. 인증업무준칙의 버전
2. 적용 업무 및 범위의 개요
3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
6. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
7. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
8. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
9. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
10. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
11. “가입자”란 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
12. “이용자(이용기관)”란 전자서명인증사업자가 제공하는 전자서명인증서비스를 이용하는 자를 말합니다.
13. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
14. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
15. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
16. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
17. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
18. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
19. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
20. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
21. “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서와 전자서명생성정보를 암호화하여 보관하는 시스템을 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Active)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
1. 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
2. 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
3. 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
우리은행은 만14세 이상의 개인을 대상으로 발급합니다. 개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인 합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
2. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 재발급 및 변경 시, 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 재발급 시 신원확인(재발급 및 변경 시)
가입자가 기존 인증서 폐지(삭제) 후 재발급 및 변경 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
만 14세 이상 개인은 우리WON인증서 발급을 신청할 수 있습니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 휴대폰 본인인증과 계좌 소유 인증을 거쳐 가입신청자의 신원확인이 진행됩니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 법정대리인 동의 없이 단독으로 개인신용정보 제공이 불가한 만 14세 미만 미성년자가 발급 신청하는 경우
• 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- 우리은행이 설정한 최소 버전 미만의 앱을 사용함
- OS Custom 또는 앱 위 변조가 탐지됨
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4.4 인증서 수령
가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
우리은행은 인증서 재발급 기능을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.
4.8 인증서 변경
우리은행은 인증서 변경 기능을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망, 상해 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치 함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년동안 이용하지 않은 경우
6. 가입자가 인증서 발급을 위한 우리은행의 회원 탈퇴 및 삭제를 한 경우
7. 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
8. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
9. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
10. 가입자의 신원확인이 적법하게 이루어 지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 주체
인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자의 신원을 인증서 비밀번호로 확인합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 개인금융플랫폼부 사설인증팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
3. 영업점 방문을 통한 폐지(삭제) 신청
I. 가입자는 영업점 방문을 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 개인금융플랫폼부 사설인증팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
나. 우리은행의 직권에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 직권으로 인증서를 폐지(삭제) 할 수 있습니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 지체없이 공고합니다.
1. 우리은행의 직권으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 지체 없이 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급한 가능성을 객관적으로 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 객관적으로 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
인증서 유효성 확인 서비스(OCSP, Online Certificate Status Protocol)란 가입자의 인증서의 이용 가능 상태를 실시간으로 확인하는 서비스로서 가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자가 서비스 해지를 원하면 인증서를 폐지(삭제)하거나 앱을 탈퇴 또는 삭제 시 서비스 중단을 할 수 있습니다. 또한, 가입자가 서비스 해지 시 인증서 폐지(삭제)와 가입자의 인증서 관련 개인정보는 우리은행의 개인정보처리방침에 따라 처리합니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 신규 발급/재발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/재발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
6.8 시점확인서비스 보호조치
우리은행은 본 준칙 “5.1 물리적 보호조치”에 따라 시점확인 기능을 제공하는 시스템은 인증시스템실과 별도로 운영실을 분리하는 보호조치를 마련하여 시행하고 있습니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
4. 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
3. 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.
8.3 평가 대상과 평가자의 관계
1. 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
2. 내부감사는 인증부서와 별도조직인 정보보호그룹 정보보안내부감사팀과 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
3. 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
2. 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.
8.6 결과 보고
1. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
2. 내부감사자는 감사에 대한 결과보고를 정보보호그룹 정보보안내부감사팀 팀장 및 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에게 통보합니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
우리은행은 전자서명인증업무와 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
1. 우리WON인증 서비스 개인정보처리방침
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 저작물
9.6 보증
1. 우리WON인증서는 본 준칙에 따라 발급됨을 보증합니다.
2. 우리WON인증서 내에 포함된 내용이 발급신청 당시 기준으로 우리은행 CA에 등록된 사실임을 보증합니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법, 시행령 및 시행규칙, 우리은행의 약관 또는 운영정책과 본 전자서명인증 업무준칙에서 정한 사항 이외의 사항 즉, 가입자 신용 및 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)는 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관계법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 등 대한민국 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.06)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.12)
이 준칙은 2023년 6월 13일부터 시행됩니다.
부칙(2024.01.03)
이 준칙은 2024년 1월 9일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.2]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
2.2 웹사이트 주소 현행화
5.2.1 문서 명칭 현행화
5.2.2 문서 명칭 현행화
5.2.3 신원확인 방법 현행화
2023/06/13
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 재발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 과학기술정보통신부
전자문서 안정성, 신뢰성 및 전자서명수단의 다양성을 확보하고 그 이용을 활성화하는 등 전자서명의 발전을 위하여 다음과 같은 업무를 수행합니다.
1. 전자서명 제도의 개선 및 관계법령의 정비
2. 가입자와 이용자의 권익보호
3. 법 제9조에 따른 인정기관 지정 및 제10조에 따른 평가기관의 신청 및 고시
4. 전자서명인증업무 운영기준 고시
5. 그 밖의 전자서명의 발전을 위하여 필요한 사항
1.3.2 인정기관(한국인터넷진흥원)
전자서명인증사업자의 운영기준 준수사실의 인정에 관한 업무를 수행하는 기관으로 과학기술정보통신부 장관이 법 제9조에 따라 지정한 기관을 말하며, 다음과 같은 업무를 수행합니다.
1. 평가기관 평가업무의 적절성 점검 및 관리
2. 평가기관의 평가결과 확인 및 인정여부 결정
3. 인증마크 및 인정증명서 발급 및 발급사실 공고
1.3.3 평가기관
전자서명인증사업자의 운영기준 준수여부를 평가하는 기관으로 과학기술정보통신부 장관이 법 제10조에 따라 지정한 기관을 말하며, 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고, 그 결과를 인정기관에 제출하는 업무를 수행합니다.
1.3.4 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.5 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인(OCSP)
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 처벌하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
1.3.6 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
1.3.7 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.8 가입자
1. 가입자란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
2. 가입자는 다음과 같은 책임과 의무를 가집니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 및 재발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 지체없이 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.9 이용자(이용기관)
1. 이용자란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
만 14세 이상 성인
본인인증 및 전자서명이 필요한 전자적 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
우리은행은 만 14세 이상 개인을 대상으로 인증서를 발급합니다.
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 개인금융플랫폼부 사설인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 20F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
1. 인증업무준칙의 버전
2. 적용 업무 및 범위의 개요
3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명수단"이란 전자서명을 하기 위하여 이용하는 전자적 수단을 말합니다.
6. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
7. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
8. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
9. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
10. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
11. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
12. “가입자”란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
13. “이용자(이용기관)”란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
14. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
15. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
16. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
17. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
18. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
19. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
20. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
21. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
22. “우리은행 웹 보관서버”란 가입자의 인증서와 전자서명생성정보를 암호화하여 보관하는 시스템을 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Active)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
1. 우리WON인증 서비스 전자서명인증업무준칙:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
2. 우리WON인증 서비스 이용약관:
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
3. 온라인 인증서 상태 프로토콜:
http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록:
ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록:
ldap://ldap.wooribank.com:389
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
우리은행은 만14세 이상의 개인을 대상으로 발급합니다. 개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인 합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
2. 계좌점유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 재발급 및 변경 시, 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 재발급 시 신원확인(재발급 및 변경 시)
가입자가 기존 인증서 폐지(삭제) 후 재발급 및 변경 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭ㄹ제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000)를 통해 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
만 14세 이상 개인은 우리WON인증서 발급을 신청할 수 있습니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 휴대폰 본인인증과 계좌점유 인증을 거쳐 가입신청자의 신원확인이 진행됩니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 만 14세 미만인 경우
• 타인의 명의를 도용하여 신청하였거나 그렇다고 의심되는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- 우리은행이 설정한 최소 버전 미만의 앱을 사용함
- OS Custom 또는 앱 위 변조가 탐지됨
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4.4 인증서 수령
가입신청자는 앱을 통해 우리은행이 발급한 인증서를 수령한 후 안전하게 저장합니다. 가입신청자가 해당 인증서를 수령하면, 가입자가 발급받은 인증서의 관련 정보가 정확함을 승인하였다고 간주합니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
인증서는 가입자 본인명의 이용기기 1개에만 발급되며(1인 1기기), 인증서를 발급받은 가입자가 인증서를 재발급 받는 경우 기존 인증서는 자동 폐지(삭제)됩니다. 인증서 재발급은 두가지 경우로 구분되며, 하단에 명시된 방법을 통해 재발급 절차를 수행합니다.
1. 인증서의 유효기간 경과, 간편비밀번호 분실, 기기 변경 시
I. 신규발급 절차와 동일하게 진행합니다.
2. 1번 항목을 제외한 동일 기기 재발급
I. 재발급 요청한 가입자의 신원 확인을 위해 휴대폰 본인확인을 다시 한번 거칩니다. 휴대폰 본인확인 결과로 확인한 연계정보 값과 기기값이 현재 로그인된 가입자의 계정에 등록된 연계정보와 기기값이 일치하는 경우에만 다음 단계로 진행합니다.
II. 가입자가 등록한 간편비밀번호로 인증을 진행합니다. 인증에 성공하면 인증서를 재발급하고 프로세스를 종료합니다.
4.8 인증서 변경
우리은행은 인증서 변경 기능을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망, 상해 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치 함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년동안 이용하지 않은 경우
6. 가입자가 인증서 발급을 위한 우리은행의 회원 탈퇴 및 삭제를 한 경우
7. 가입자가 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
8. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
9. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
10. 가입자의 신원확인이 적법하게 이루어 지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 주체
인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자의 신원을 인증서 비밀번호로 확인합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 개인금융플랫폼부 사설인증팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
나. 우리은행의 직권에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 직권으로 인증서를 폐지(삭제) 할 수 있습니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 지체없이 공고합니다.
1. 우리은행의 직권으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 지체 없이 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 부정한 방법으로 인증서를 발급한 가능성을 객관적으로 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 객관적으로 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
인증서 유효성 확인 서비스(OCSP, Online Certificate Status Protocol)란 가입자의 인증서의 이용 가능 상태를 실시간으로 확인하는 서비스로서 가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자가 서비스 해지를 원하면 인증서를 폐지(삭제)하거나 앱을 탈퇴 또는 삭제 시 서비스 중단을 할 수 있습니다. 또한, 가입자가 서비스 해지 시 인증서 폐지(삭제)와 가입자의 인증서 관련 개인정보는 우리은행의 개인정보처리방침에 따라 처리합니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자
I. 인증 업무를 총괄합니다.
II. 인증업무준칙(CPS)를 승인합니다.
III. 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인합니다.
2. 인증정책 관리자
I. 인증서 정책 및 인증업무준칙(CPS)의 초안을 작성 하고 내부 및 외부 검토를 수행하며, 관리책임자에게 기안을 제출합니다.
II. 사업연속성계획을 사업적 요구사항을 고려하여 반영 및 보안합니다.
III. 재해복구계획 및 관련된 테스트 시나리오를 작성하고, 내부 및 외부 검토를 수행하며, 관리책임자에게 기안을 제출합니다.
IV. 인증관리 담당자에 대한 정기적 교육 커리큘럼을 수행합니다. (예_인증업무 교육 등) 최상위 인증기관 인증정책 관리자와 인증기관 외 인증정책 관리자로 구분됩니다.
3. 보안관리자
I. 인증기관 시스템(CA, RA, OCSP, WEB 등)과 인증서비스에 대한 보안을 관리합니다.
4. 내부 감사자
I. 전자서명인증업무에 대한 정기적인 내부감사를 수행합니다.
II. 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
5. 키 생성 관리자
I. 암호화 모듈 장비(HSM)을 입고하고 적절한 장소에 보관합니다.
II. 암호화 모듈 장비(HSM) 관련된 키 생성 데이터를 내화 금고에 안전하게 보관하며, 해당 데이터 사용이 적절하게 수행되었는지 확인합니다.
III. 암호화 모튤 장비(HSM) 활성화에 필요한 접근권한(m of n) 담당자에게 필요한 물품 및 정보를 제공하고 관리합니다.
IV. 인증기관 키 생성/보관/운반/마이그레이션/파기 등 해당 절차 및 세부 규정에 따라 수행합니다.
6. 키 생성 소유자
I. 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다.
II. 암호화 장비 활성화(activation) 시 보유한 다자인증을 위한 패스워드 입력합니다.
III. 최상위 인증기관 및 인증기관 담당자에 따라 최상위 인증기관 키 소유자, 인증기관 키 소유자로 구분됩니다.
7. 인증서 발급/생성 관리자
I. 인증 시스템에서 인증서 신규 발급/재발급/갱신/폐지(삭제)를 수행하고 관리합니다.
II. 인증서 폐지목록(CRL)을 발급하고 관리합니다.
III. OCSP 요청 및 응답을 관리합니다.
8. 인증서 등록 및 신원확인 담당자
I. 인증서 등록관리시스템 관리 및 인증서 신규 발급/재발급/갱신/폐지(삭제)를 수행합니다.
II. 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석합니다.
III. 국내법 또는 인증기관 규정에 따른 신원확인 절차에 따라 자료를 검증 및 가입자가 제출한 신청서 및 신원확인 자료를 수령합니다.
IV. 온라인으로 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리 (WEB)
I. 다음과 같은 웹사이트를 운영하고 관리합니다.
• 인증 센터
① 가입자의 인증서 발급 및 관리 기능 제공
② 인증서 정책(CP) 및 인증업무준칙(CPS) 게시
• 관리자 포털
① 인증서 정책(CP) 및 인증업무준칙(CPS) 관리
② 관리자 계정, 인증 시스템 관리자 활동 로그 기록, 이용 기관별 과금 내역 조회 및 관리 등
• 개발자 포털
① 외부기관의 연동 신청 및 개발지원을 위한 개발 모듈 및 가이드 제공 등
② 이용 기관 별 관리 기능 및 개발 포탈 관리 운영 기능 제공 등
II. 개인정보보호지침 등 공개가 필요한 규정 및 규칙을 공개하고 관리합니다.
III. 가입자 이용약관 등 인증업무에 필요한 문서 및 서식을 공개하고 관리합니다.
IV. 이 외 필요하다고 판단되는 정보에 대해 내부 승인을 득한 후 공개하고 관리합니다.
10. 개발자
I. 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
II. 국내외 국제기술표준 및 필요에 의한 기술 요건을 분석하고 시스템 및 어플리케이션에 적용합니다.
III. 테스트용 인증서를 발급하고 관리합니다.
IV. 인증 시스템 감사로그(Audit log)에 해당 업무가 기록되는지 확인합니다.
11. 운영자
I. 인증센터의 시설 및 장비를 운영하고 관리합니다.
II. 인증 시스템을 운영하고 관리합니다.
III. 인증 서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
IV. 인증 시스템에 사용되는 네트워크를 관리합니다.
V. 시설 및 장비에 필요한 유지보수 업무를 관리합니다.
VI. 운영하는 시설 및 장비에 따라 최상위 인증기관, 인증기관 및 네트워크 등으로 구분됩니다.
12. 금고 관리자
I. 금고를 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 기타의 전자서명인증업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/재발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
6.8 시점확인서비스 보호조치
우리은행은 본 준칙 “5.1 물리적 보호조치”에 따라 시점확인 기능을 제공하는 시스템은 인증시스템실과 별도로 운영실을 분리하는 보호조치를 마련하여 시행하고 있습니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 과학기술정보통신부 장관은 운영기준에 부합한다고 인정하는 국제적으로 통용되는 평가를 정하여 고시할 수 있습니다.
4. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 전자서명법 시행령[별표1]에 따릅니다.
8.3 평가 대상과 평가자의 관계
평가기관은 전자서명법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 아래 전자서명법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
I. 운영기준을 준수하지 못하게 된 경우
II. 제13조 제1항에 따른 운영기준 준수 사실의 표시에 관한 사항을 위반한 경우
III. 제14조에 따른 신원확인에 관한 사항을 위반한 경우
IV. 제15조 제1항·제5항에 따른 전저서명인증 업무준칙 작성·게시에 관한 사항을 위반하거나 전자서명인증 업무준칙을 준수하지 아니한 경우
V. 제15조 제2항부터 제5항까지에 따른 전저서명인증업무의 휴지·폐지에 관한 사항을 위반한 경우
VI. 제16조 제1항에 따른 자료를 제출하지 아니하거나 거짓 자료를 제출한 경우 또는 관계 공무원의 출입·검사를 거부·방해하거나 기피한 경우
VII. 제20조 제2항을 위반하여 보험에 가입하지 아니한 경우
2. 인증심사의 부적합사항에 대해서는 조치가 취해지며 합리적인 기간 내에 보완합니다.
8.6 결과 보고
감사 결과는 후속 시정 조치 계획을 통해 결함을 분석하고 해결하기 위해 평가기관에 보고됩니다. 결과는 법률, 규정 또는 계약에 따라 결과 사본을 받을 자격이 있는 다른 적절한 기관에 제공될 수도 있습니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
1. 우리은행의 배상 범위
I. 우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 다만, 우리은행이 고의 또는 과실이 없음을 입증하면 그 배상책임이 면제됩니다.
II. 우리은행은 안전성이 저하되거나 검증되지 않은 암호모듈 또는 암호알고리즘 사용으로 가입자 또는 이용자에게 손해를 입힌 경우 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
9.4 개인정보 보호
9.4.1 개인정보 보호 계획
우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
1. 우리WON인증 서비스 개인정보처리방침
https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
9.4.2 개인정보 간주되는 정보
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 저작물
9.6 보증
1. 우리WON인증서는 본 준칙에 따라 발급됨을 보증합니다.
2. 우리WON인증서 내에 포함된 내용이 발급신청 당시 기준으로 우리은행 CA에 등록된 사실임을 보증합니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법, 시행령 및 시행규칙, 우리은행의 약관 또는 운영정책과 본 전자서명인증 업무준칙에서 정한 사항 이외의 사항 즉, 가입자 신용 및 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)는 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관계법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 등 대한민국 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙(2023.03.07)
이 준칙은 2023년 3월 7일부터 시행됩니다.
부칙(2023.06.13)
이 준칙은 2023년 6월 13일부터 시행됩니다.
우리WON인증 서비스 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.1]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1.1
1.2 문서의 명칭 변경
1.4.1 개인사업자 삭제
1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
3.1 개인사업자 삭제
3.2.2 인증서 명칭 통일
3.2.3 개인사업자 삭제
4.1.1 개인사업자 삭제, 인증서 명칭 통일
4.2.1 인증서 명칭 통일
4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
4.3.2 개인사업자 삭제
4.6 개인사업자 삭제
4.9.2.1 인증서 명칭 통일
7.1.3.2 개인사업자 삭제
9.6 인증서 명칭 통일
9.11 전자서명생성정보 주체 명시
2023/03/03
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 재발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 과학기술정보통신부
전자문서 안정성, 신뢰성 및 전자서명수단의 다양성을 확보하고 그 이용을 활성화하는 등 전자서명의 발전을 위하여 다음과 같은 업무를 수행합니다.
1. 전자서명 제도의 개선 및 관계법령의 정비
2. 가입자와 이용자의 권익보호
3. 법 제9조에 따른 인정기관 지정 및 제10조에 따른 평가기관의 신청 및 고시
4. 전자서명인증업무 운영기준 고시
5. 그 밖의 전자서명의 발전을 위하여 필요한 사항
1.3.2 인정기관(한국인터넷진흥원)
전자서명인증사업자의 운영기준 준수사실의 인정에 관한 업무를 수행하는 기관으로 과학기술정보통신부 장관이 법 제9조에 따라 지정한 기관을 말하며, 다음과 같은 업무를 수행합니다.
1. 평가기관 평가업무의 적절성 점검 및 관리
2. 평가기관의 평가결과 확인 및 인정여부 결정
3. 인증마크 및 인정증명서 발급 및 발급사실 공고
1.3.3 평가기관
전자서명인증사업자의 운영기준 준수여부를 평가하는 기관으로 과학기술정보통신부 장관이 법 제10조에 따라 지정한 기관을 말하며, 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고, 그 결과를 인정기관에 제출하는 업무를 수행합니다.
1.3.4 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.5 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인(OCSP)
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 처벌하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
1.3.6 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
1.3.7 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.8 가입자
1. 가입자란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
2. 가입자는 다음과 같은 책임과 의무를 가집니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 및 재발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 지체없이 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.9 이용자(이용기관)
1. 이용자란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
만 14세 이상 성인
본인인증 및 전자서명이 필요한 전자적 업무
- 가입자의 신원확인
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
우리은행은 만 14세 이상 개인을 대상으로 인증서를 발급합니다.
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서: 개인금융플랫폼부 사설인증사업팀
2. 이메일: wooriauth@wooribank.com
3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 20F
4. 전화번호: 02) 2002-3000
5. 팩스: 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
4. 인증업무준칙의 버전
5. 적용 업무 및 범위의 개요
6. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명수단"이란 전자서명을 하기 위하여 이용하는 전자적 수단을 말합니다.
6. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
7. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
8. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
9. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
10. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
11. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
12. “가입자”란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
13. “이용자(이용기관)”란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
14. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
15. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
16. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
17. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
18. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
19. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
20. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
21. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
22. “우리은행 웹 보관서버”란 가입자의 인증서와 전자서명생성정보를 암호화하여 보관하는 시스템을 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Active)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
3. 온라인 인증서 상태 프로토콜: http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록: ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록: ldap://ldap.wooribank.com:389
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름,
SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
우리은행은 만14세 이상의 개인을 대상으로 발급합니다. 개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인 합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
2. 계좌점유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
3.2.3 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.4 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 재발급 및 변경 시, 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 재발급 시 신원확인(재발급 및 변경 시)
가입자가 기존 인증서 폐지(삭제) 후 재발급 및 변경 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다
3.4 인증서 효력정지·효력회복·폐지 시 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭ㄹ제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000)를 통해 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
만 14세 이상 개인은 우리WON인증서 발급을 신청할 수 있습니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 휴대폰 본인인증과 계좌점유 인증을 거쳐 가입신청자의 신원확인이 진행됩니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 만 14세 미만인 경우
• 타인의 명의를 도용하여 신청하였거나 그렇다고 의심되는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- 우리은행이 설정한 최소 버전 미만의 앱을 사용함
- OS Custom 또는 앱 위 변조가 탐지됨
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4.4 인증서 수령
가입신청자는 앱을 통해 우리은행이 발급한 인증서를 수령한 후 안전하게 저장합니다. 가입신청자가 해당 인증서를 수령하면, 가입자가 발급받은 인증서의 관련 정보가 정확함을 승인하였다고 간주합니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
인증서는 가입자 본인명의 이용기기 1개에만 발급되며(1인 1기기), 인증서를 발급받은 가입자가 인증서를 재발급 받는 경우 기존 인증서는 자동 폐지(삭제)됩니다. 인증서 재발급은 두가지 경우로 구분되며, 하단에 명시된 방법을 통해 재발급 절차를 수행합니다.
1. 인증서의 유효기간 경과, 간편비밀번호 분실, 기기 변경 시
I. 신규발급 절차와 동일하게 진행합니다.
2. 1번 항목을 제외한 동일 기기 재발급
I. 재발급 요청한 가입자의 신원 확인을 위해 휴대폰 본인확인을 다시 한번 거칩니다. 휴대폰 본인확인 결과로 확인한 연계정보 값과 기기값이 현재 로그인된 가입자의 계정에 등록된 연계정보와 기기값이 일치하는 경우에만 다음 단계로 진행합니다.
II. 가입자가 등록한 간편비밀번호로 인증을 진행합니다. 인증에 성공하면 인증서를 재발급하고 프로세스를 종료합니다.
4.8 인증서 변경
우리은행은 인증서 변경 기능을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망, 상해 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치 함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리WON인증서를 1년동안 이용하지 않은 경우
6. 가입자가 인증서 발급을 위한 우리은행의 회원 탈퇴 및 삭제를 한 경우
7. 가입자가 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
8. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
9. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
10. 가입자의 신원확인이 적법하게 이루어 지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 주체
인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자의 신원을 인증서 비밀번호로 확인합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 개인금융플랫폼부 사설인증팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
나. 우리은행의 직권에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 직권으로 인증서를 폐지(삭제) 할 수 있습니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 지체없이 공고합니다.
1. 우리은행의 직권으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 지체 없이 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 부정한 방법으로 인증서를 발급한 가능성을 객관적으로 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 객관적으로 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
인증서 유효성 확인 서비스(OCSP, Online Certificate Status Protocol)란 가입자의 인증서의 이용 가능 상태를 실시간으로 확인하는 서비스로서 가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 해지 및 철회
가입자가 서비스 해지를 원하면 인증서를 폐지(삭제)하거나 앱을 탈퇴 또는 삭제 시 서비스 중단을 할 수 있습니다. 또한, 가입자가 서비스 해지 시 인증서 폐지(삭제)와 가입자의 인증서 관련 개인정보는 우리은행의 개인정보처리방침에 따라 처리합니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자
I. 인증 업무를 총괄합니다.
II. 인증업무준칙(CPS)를 승인합니다.
III. 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인합니다.
2. 인증정책 관리자
I. 인증서 정책 및 인증업무준칙(CPS)의 초안을 작성 하고 내부 및 외부 검토를 수행하며, 관리책임자에게 기안을 제출합니다.
II. 사업연속성계획을 사업적 요구사항을 고려하여 반영 및 보안합니다.
III. 재해복구계획 및 관련된 테스트 시나리오를 작성하고, 내부 및 외부 검토를 수행하며, 관리책임자에게 기안을 제출합니다.
IV. 인증관리 담당자에 대한 정기적 교육 커리큘럼을 수행합니다. (예_인증업무 교육 등) 최상위 인증기관 인증정책 관리자와 인증기관 외 인증정책 관리자로 구분됩니다.
3. 보안관리자
I. 인증기관 시스템(CA, RA, OCSP, WEB 등)과 인증서비스에 대한 보안을 관리합니다.
4. 내부 감사자
I. 전자서명인증업무에 대한 정기적인 내부감사를 수행합니다.
II. 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
5. 키 생성 관리자
I. 암호화 모듈 장비(HSM)을 입고하고 적절한 장소에 보관합니다.
II. 암호화 모듈 장비(HSM) 관련된 키 생성 데이터를 내화 금고에 안전하게 보관하며, 해당 데이터 사용이 적절하게 수행되었는지 확인합니다.
III. 암호화 모튤 장비(HSM) 활성화에 필요한 접근권한(m of n) 담당자에게 필요한 물품 및 정보를 제공하고 관리합니다.
IV. 인증기관 키 생성/보관/운반/마이그레이션/파기 등 해당 절차 및 세부 규정에 따라 수행합니다.
6. 키 생성 소유자
I. 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다.
II. 암호화 장비 활성화(activation) 시 보유한 다자인증을 위한 패스워드 입력합니다.
III. 최상위 인증기관 및 인증기관 담당자에 따라 최상위 인증기관 키 소유자, 인증기관 키 소유자로 구분됩니다.
7. 인증서 발급/생성 관리자
I. 인증 시스템에서 인증서 신규 발급/재발급/갱신/폐지(삭제)를 수행하고 관리합니다.
II. 인증서 폐지목록(CRL)을 발급하고 관리합니다.
III. OCSP 요청 및 응답을 관리합니다.
8. 인증서 등록 및 신원확인 담당자
I. 인증서 등록관리시스템 관리 및 인증서 신규 발급/재발급/갱신/폐지(삭제)를 수행합니다.
II. 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석합니다.
III. 국내법 또는 인증기관 규정에 따른 신원확인 절차에 따라 자료를 검증 및 가입자가 제출한 신청서 및 신원확인 자료를 수령합니다.
IV. 온라인으로 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리 (WEB)
I. 다음과 같은 웹사이트를 운영하고 관리합니다.
• 인증 센터
① 가입자의 인증서 발급 및 관리 기능 제공
② 인증서 정책(CP) 및 인증업무준칙(CPS) 게시
• 관리자 포털
① 인증서 정책(CP) 및 인증업무준칙(CPS) 관리
② 관리자 계정, 인증 시스템 관리자 활동 로그 기록, 이용 기관별 과금 내역 조회 및 관리 등
• 개발자 포털
① 외부기관의 연동 신청 및 개발지원을 위한 개발 모듈 및 가이드 제공 등
② 이용 기관 별 관리 기능 및 개발 포탈 관리 운영 기능 제공 등
II. 개인정보보호지침 등 공개가 필요한 규정 및 규칙을 공개하고 관리합니다.
III. 가입자 이용약관 등 인증업무에 필요한 문서 및 서식을 공개하고 관리합니다.
IV. 이 외 필요하다고 판단되는 정보에 대해 내부 승인을 득한 후 공개하고 관리합니다.
10. 개발자
I. 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
II. 국내외 국제기술표준 및 필요에 의한 기술 요건을 분석하고 시스템 및 어플리케이션에 적용합니다.
III. 테스트용 인증서를 발급하고 관리합니다.
IV. 인증 시스템 감사로그(Audit log)에 해당 업무가 기록되는지 확인합니다.
11. 운영자
I. 인증센터의 시설 및 장비를 운영하고 관리합니다.
II. 인증 시스템을 운영하고 관리합니다.
III. 인증 서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
IV. 인증 시스템에 사용되는 네트워크를 관리합니다.
V. 시설 및 장비에 필요한 유지보수 업무를 관리합니다.
VI. 운영하는 시설 및 장비에 따라 최상위 인증기관, 인증기관 및 네트워크 등으로 구분됩니다.
12. 금고 관리자
I. 금고를 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘인증업무 업무분장 및 직무기술’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 기타의 전자서명인증업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘인증업무 업무분장 및 직무기술’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 지문인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘인증업무 업무분장 및 직무기술’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/재발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보: 4,096 bit
II. 해쉬 알고리즘: SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보: 2,048 bit
II. 해쉬 알고리즘: SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
6.8 시점확인서비스 보호조치
우리은행은 본 준칙 “5.1 물리적 보호조치”에 따라 시점확인 기능을 제공하는 시스템은 인증시스템실과 별도로 운영실을 분리하는 보호조치를 마련하여 시행하고 있습니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 과학기술정보통신부 장관은 운영기준에 부합한다고 인정하는 국제적으로 통용되는 평가를 정하여 고시할 수 있습니다.
4. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 전자서명법 시행령[별표1]에 따릅니다.
8.3 평가 대상과 평가자의 관계
평가기관은 전자서명법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 아래 전자서명법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
I. 운영기준을 준수하지 못하게 된 경우
II. 제13조 제1항에 따른 운영기준 준수 사실의 표시에 관한 사항을 위반한 경우
III. 제14조에 따른 신원확인에 관한 사항을 위반한 경우
IV. 제15조 제1항·제5항에 따른 전저서명인증 업무준칙 작성·게시에 관한 사항을 위반하거나 전자서명인증 업무준칙을 준수하지 아니한 경우
V. 제15조 제2항부터 제5항까지에 따른 전저서명인증업무의 휴지·폐지에 관한 사항을 위반한 경우
VI. 제16조 제1항에 따른 자료를 제출하지 아니하거나 거짓 자료를 제출한 경우 또는 관계 공무원의 출입·검사를 거부·방해하거나 기피한 경우
VII. 제20조 제2항을 위반하여 보험에 가입하지 아니한 경우
2. 인증심사의 부적합사항에 대해서는 조치가 취해지며 합리적인 기간 내에 보완합니다.
8.6 결과 보고
감사 결과는 후속 시정 조치 계획을 통해 결함을 분석하고 해결하기 위해 평가기관에 보고됩니다. 결과는 법률, 규정 또는 계약에 따라 결과 사본을 받을 자격이 있는 다른 적절한 기관에 제공될 수도 있습니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
1. 우리은행의 배상 범위
I. 우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 다만, 우리은행이 고의 또는 과실이 없음을 입증하면 그 배상책임이 면제됩니다.
II. 우리은행은 안전성이 저하되거나 검증되지 않은 암호모듈 또는 암호알고리즘 사용으로 가입자 또는 이용자에게 손해를 입힌 경우 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.
9.4.3 개인정보 보호의 책임
우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.
9.4.4 개인정보 사용에 대한 통지 및 동의
우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.
9.4.5 개인정보보호에 대한 처리방침
우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.
9.5 지식재산권
다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
3. 우리은행이 생성한 전자서명 정보
4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 저작물
9.6 보증
1. 우리WON인증서는 본 준칙에 따라 발급됨을 보증합니다.
2. 우리WON인증서 내에 포함된 내용이 발급신청 당시 기준으로 우리은행 CA에 등록된 사실임을 보증합니다.
9.7 보증 예외 사항
우리은행은 전자서명법, 동법, 시행령 및 시행규칙, 우리은행의 약관 또는 운영정책과 본 전자서명인증 업무준칙에서 정한 사항 이외의 사항 즉, 가입자 신용 및 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
9.8 보험의 보상 범위
우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.
9.9 배상 한계
우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.
9.10 준칙의 효력
9.10.1 준칙의 유효기간
인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우
9.10.2 준칙의 종료
인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.
9.10.3 준칙의 경과 조치
본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.
9.11 통지 및 의사소통
우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.
9.12 이력 관리
우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.
9.13 분쟁 해결
1. 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)는 아래와 같이 법적 효력을 갖습니다.
I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.
9.14 관할법원
전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.
9.15 관련 법률 준수
1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관계법령을 준수하여야 합니다.
2. 본 인증업무준칙의 해석과 적용은 전자서명법 등 대한민국 관련 법률에 따릅니다.
9.16 기타 규정
해당 사항이 없습니다.
부칙
이 준칙은 2023년 03월 06일부터 시작합니다.
우리은행 인증서 전자서명인증업무준칙
(Certification Practice Statement)
[버전 1.0]
제∙개정 이력
개정번호
제∙개정 페이지 및 내용
제∙개정 일자
1.0
신규 제정
2022/11/21
1. 소개
1.1 개요
1.1.1 준칙의 배경 및 목적
본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.
1.1.2 전자서명인증체계 소개
우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
1. 우리은행 최상위 인증기관(ROOT CA)
- 안전한 전자서명 인증관리체계 구축 및 운영
- 전자서명 인증기술의 개발 및 보급
- 인증기관 검사 및 안전한 운영지원
- 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
- 오프라인으로 관리 운영
2. 우리은행 인증기관(CA)
- 가입자의 신원확인
- 가입자 인증서 발급, 재발급, 폐지(삭제) 업무
- 인증서 유효성 확인
- 기타 인증기관으로서 수행해야 할 업무
1.2 문서의 명칭
본 문서의 명칭은 『우리은행 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.
1.3 전자서명인증체계 관련자
1.3.1 과학기술정보통신부
전자문서 안정성, 신뢰성 및 전자서명수단의 다양성을 확보하고 그 이용을 활성화하는 등 전자서명의 발전을 위하여 다음과 같은 업무를 수행합니다.
1. 전자서명 제도의 개선 및 관계법령의 정비
2. 가입자와 이용자의 권익보호
3. 법 제9조에 따른 인정기관 지정 및 제10조에 따른 평가기관의 신청 및 고시
4. 전자서명인증업무 운영기준 고시
5. 그 밖의 전자서명의 발전을 위하여 필요한 사항
1.3.2 인정기관(한국인터넷진흥원)
전자서명인증사업자의 운영기준 준수사실의 인정에 관한 업무를 수행하는 기관으로 과학기술정보통신부 장관이 법 제9조에 따라 지정한 기관을 말하며, 다음과 같은 업무를 수행합니다.
1. 평가기관 평가업무의 적절성 점검 및 관리
2. 평가기관의 평가결과 확인 및 인정여부 결정
3. 인증마크 및 인정증명서 발급 및 발급사실 공고
1.3.3 평가기관
전자서명인증사업자의 운영기준 준수여부를 평가하는 기관으로 과학기술정보통신부 장관이 법 제10조에 따라 지정한 기관을 말하며, 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고, 그 결과를 인정기관에 제출하는 업무를 수행합니다.
1.3.4 전자서명인증사업자
전자서명인증업무를 하는 자를 말합니다.
1.3.5 우리은행
우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
1. 역할
I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
II. 인증서 발급·갱신·폐지(삭제) 등 업무
III. 인증서 관련 정보 공고
IV. 실시간 인증서 유효성 확인(OCSP)
V. 기타 인증서비스와 관련된 업무
2. 책임 및 의무사항
I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 처벌하지 않습니다.
II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
• 전자서명인증업무 운영기준 준수사실 인정 또는 취소
• 전자서명인증업무 휴지·정지 또는 폐지
• 전자서명인증업무의 양도·양수·합병 등
• 인증업무준칙의 제·개정
• 기타 전자서명인증업무 수행 관련 정보 등
III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
1.3.6 우리에프아이에스
우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.
1.3.7 등록대행기관
우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.
1.3.8 가입자
1. 가입자란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
2. 가입자는 다음과 같은 책임과 의무를 가집니다.
I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
• 인증서 발급 및 재발급 신청
• 인증서의 폐지(삭제) 신청
• 가입자 정보 변경 등
II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 지체없이 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.
1.3.9 이용자(이용기관)
1. 이용자란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
2. 이용자는 다음과 같은 책임과 의무를 가집니다.
I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
• 인증서 유효 여부의 확인
• 인증서의 만료 또는 폐지(삭제) 여부의 확인
• 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인
1.4 인증서 종류
1.4.1 인증서 이용범위 및 용도
우리은행 인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분
발급 대상
용도
유효기간
개인 일반
만 14세 이상 개인
전자서명이 필요한 전자적 업무
- 금융기관업무
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
3년
개인 사업자
우리은행 계좌 보유 개인사업자
전자서명이 필요한 전자적 업무
- 금융기관업무
- 정부 및 공공기관업무
- 사업자간 계약 또는 합의된 경우
1년
우리은행은 개인과 개인사업자 대상 인증서를 발급합니다. 단, 개인사업자 인증서는 사업자번호를 보유한 개인사업자인 경우 발급이 가능합니다.
1.4.2 인증서 이용제한
우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.
1.5 준칙의 관리
1.5.1 준칙의 관리조직
우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.
1.5.2 준칙의 담당부서
우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
1. 부서 : 개인금융플랫폼부 사설인증사업팀
2. 이메일 : wooriauth@wooribank.com
3. 주소 : 서울시 중구 소공로 48, 우리금융디지털타워 20F
4. 전화번호 : 02) 2002-3000
5. 팩스 : 0505-001-6290
1.5.3 인증업무준칙 개정 사유
우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
1. 기술적 변경이 필요한 경우
2. 절차적 변경이 필요한 경우
3. 기타 인증업무준칙의 변경이 필요한 경우
1.5.4 인증업무준칙 개정 관리
우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
4. 인증업무준칙의 버전
5. 적용 업무 및 범위의 개요
6. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)
1.5.5 준칙의 승인 절차
우리은행 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.
1.6 정의 및 약어
본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
I. 서명자의 신원
II. 서명자가 해당 전자문서에 서명하였다는 사실
3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
5. "전자서명수단"이란 전자서명을 하기 위하여 이용하는 전자적 수단을 말합니다.
6. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
7. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
8. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
9. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
10. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다.
11. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
12. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
I. 가입자의 등록정보를 관리하기 위한 시스템
II. 전자서명생성정보를 생성·관리하기 위한 시스템
III. 인증서를 생성·발급·관리하기 위한 시스템
IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
13. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
I. 전자서명검증정보(공개키) (Public Key) : 전자서명생성정보의 소유자가 공개할 수 있는 키로서, 신뢰 당사자가 대응하는 전자서명생성정보로 생성된 디지털 서명을 확인 또는 해당 전자서명생성정보 소유자만 암호를 해독할 수 있도록 메시지를 암호화하는데 사용됩니다.
II. 전자서명생성정보(개인키) (Private Key) : 키 쌍의 소유자만 알고 있는 비밀키로서, 디지털 서명을 생성 및(또는) 대응하는 전자서명검증정보로 암호화된 전자기록이나 파일 암호를 해독하는 데 사용됩니다.
14. “신뢰 당사자(Relying Party)”란 인증서에 포함된 정보나 타임스탬프 토큰 중 하나를 사용하는 개인 및 법인을 말합니다.
15. “주체(Subject)”란 인증서에 이름이 지정된 개인 및 법인을 말합니다.
16. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 한다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
17. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
18. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
19. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
20. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
21. “우리은행 저장소”란 가입자의 인증서와 전자서명생성정보를 암호화하여 보관하는 시스템을 말합니다.
2. 전자서명인증업무 관련 정보의 공고
2.1 공고설비
1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고 설비를 안전하게 운영 관리합니다.
2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Active)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.
2.2 공고방법
우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
3. 온라인 인증서 상태 프로토콜 : http://ocsp.wooribank.com:9020/OCSPServer
4. 가입자 인증서 폐지목록 : ldap://ldap.wooribank.com:389
5. CA 인증서 폐지목록 : ldap://ldap.wooribank.com:389
2.3 공고 주기
1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.
2.4 공고된 정보에 대한 책임
우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.
3. 신원확인
3.1 가입자 이름 표시 방법
우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을, 개인 사업자 인증서의 경우 가입자 이름, 개인사업자 사업자번호와 함께 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
1. 개인 인증서
• CN=가입자 이름
• SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Individual
• OU=WooriBank Cert
• OU=WooriBank
• C=KR
2. 개인사업자 인증서
• CN=가입자 이름 + 개인사업자 사업자번호
• SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
• OU=Corporate
• OU=WooriBank Cert
• O=WooriBank
• C=KR
3.2 인증서 신규발급 시 신원확인
3.2.1 전자서명생성정보의 소유증명 방법
가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3.2.2 개인 신원확인에 의한 발급
우리은행은 만14세 이상의 개인을 대상으로 발급합니다. 개인이 우리은행 인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인 합니다.
1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
2. 계좌점유인증 : 가입신청자가 다음 중 하나를 선택하여 진행합니다.
I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.
3.2.3 개인사업자 신원확인에 의한 발급
개인사업자는 「금융실명거래 및 비밀보장에 관한 법률」 에 의한 실지명의가 확인된 우리은행의 전자금융거래 가입자를 대상으로만 발급이 가능합니다. 개인사업자가 우리은행 인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다. (단, 전자금융거래 가입자는 우리은행의 사업자계좌가 있는 고객에 한함)
① 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
② 계좌점유인증: 가입신청자의 우리은행 사업자 입출금계좌를 이용하여 신원확인을 진행합니다.
③ 전자금융거래 가입자의 계정과 그 비밀번호
④ 전자금융거래 가입자의 사업자번호
3.2.4 미확인 가입자 정보
우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.
3.2.5 권한 검증
가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.
3.3 인증서 갱신발급, 재발급 및 변경 시, 신원확인
3.3.1 인증서 갱신발급 시 신원확인
가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.
3.3.2 인증서 폐지 후 재발급 시 신원확인(재발급 및 변경 시)
가입자가 기존 인증서 폐지(삭제) 후 재발급 및 변경 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다.
3.4 인증서 효력정지·효력회복·폐지 시, 신원확인
인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000)를 통해 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.
4. 인증서 관리
4.1 인증서 발급 신청
4.1.1 신청 주체
개인, 개인사업자는 우리은행 인증서 발급을 신청할 수 있습니다.
4.1.2 신청 절차
1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.
4.2 인증서 발급 신청 처리
4.2.1 신원확인 및 인증 수행
우리은행 인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
2. 휴대폰 본인인증과 계좌점유 인증을 거쳐 가입신청자의 신원확인이 진행됩니다.
3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.
4.2.2 인증서 발급 신청에 대한 승인 및 거절
다음에 해당하는 경우, 발급 신청이 제한됩니다.
• 신청 내용이 허위라고 판단되는 경우
• 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
• 만 14세 미만인 경우
• 타인의 명의를 도용하여 신청하였거나 그렇다고 의심되는 경우
• 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
- IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
- 우리은행이 설정한 최소 버전 미만의 앱을 사용함
- OS Custom 또는 앱 위 변조가 탐지됨
4.2.3 인증서 신청 처리 소요시간
가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.
4.3 인증서 발급 절차 및 보호조치
4.3.1 인증서 발급 절차
우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴, 지문을 등록하고 인증서를 발급하여 전송합니다.
3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 저장소에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.
4.3.2 인증서 발급 보호조치
1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”, 개인사업자 인증서의 경우 “가입자 이름 + 개인사업자 사업자번호” 정보로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.
4.4 인증서 수령
가입신청자는 앱을 통해 우리은행이 발급한 인증서를 수령한 후 안전하게 저장합니다. 가입신청자가 해당 인증서를 수령하면, 가입자가 발급받은 인증서의 관련 정보가 정확함을 승인하였다고 간주합니다.
4.5 인증서 이용
우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.
4.6 인증서 갱신발급
우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
개인사업자 인증서의 경우 인증서 유효기간 만료 60일 전부터 유효기간 만료일까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 1년 갱신된 동일한 종류의 새로운 인증서를 발급합니다.
유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
1. 개인 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
2. 개인사업자 인증서 이용에 따른 유효기간 갱신 발급
I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
II. 우리은행은 가입자의 인증서 유효기간이 만료 60일 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.
4.7 인증서 재발급
인증서는 가입자 본인명의 이용기기 1개에만 발급되며(1인 1기기), 인증서를 발급받은 가입자가 인증서를 재발급 받는 경우 기존 인증서는 자동 폐지(삭제)됩니다. 인증서 재발급은 두가지 경우로 구분되며, 하단에 명시된 방법을 통해 재발급 절차를 수행합니다.
1. 인증서의 유효기간 경과, 간편비밀번호 분실, 기기 변경 시
I. 신규발급 절차와 동일하게 진행합니다.
2. 1번 항목을 제외한 동일 기기 재발급
I. 재발급 요청한 가입자의 신원 확인을 위해 휴대폰 본인확인을 다시 한번 거칩니다. 휴대폰 본인확인 결과로 확인한 연계정보 값과 기기값이 현재 로그인된 가입자의 계정에 등록된 연계정보와 기기값이 일치하는 경우에만 다음 단계로 진행합니다.
II. 가입자가 등록한 간편비밀번호로 인증을 진행합니다. 인증에 성공하면 인증서를 재발급하고 프로세스를 종료합니다.
4.8 인증서 변경
우리은행은 인증서 변경 기능을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.
4.9 인증서 효력정지·효력회복·폐지
4.9.1 인증서 효력 정지·효력회복
우리은행은 인증서 효력 정지·효력회복 서비스를 제공하지 않습니다.
4.9.2 인증서 폐지
4.9.2.1 인증서 폐지 요건
우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
1. 가입자가 인증서 폐지(삭제)를 신청한 경우
2. 가입자의 사망, 상해 등의 사유가 발생한 경우
3. 가입자의 개인정보 변경으로 등록정보와 불일치 함을 우리은행에서 인지한 경우
4. 인증서의 유효기간이 경과된 경우
5. 가입자가 우리은행 인증서비스를 1년동안 이용하지 않은 경우
6. 가입자가 인증서 발급을 위한 우리은행의 회원 탈퇴 및 삭제를 한 경우
7. 가입자가 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
8. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
9. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
10. 가입자의 신원확인이 적법하게 이루어 지지 않았음을 우리은행이 인지한 경우
4.9.2.2 인증서 폐지 주체
인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.
4.9.2.3 인증서 폐지 방법 및 절차
우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
가. 가입자의 신청에 따른 폐지(삭제)
1. 앱을 통한 폐지(삭제)
I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
II. 가입자의 신원을 인증서 비밀번호로 확인합니다.
III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
IV. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
2. 고객센터를 통한 폐지(삭제) 신청
I. 가입자는 고객센터를 통해 인증서 폐지(삭제) 신청을 요청합니다.
II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 개인금융플랫폼부 사설인증팀으로 해당 가입자의 민원처리를 요청 합니다.
III. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
나. 우리은행의 직권에 따른 폐지(삭제)
우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 직권으로 인증서를 폐지(삭제) 할 수 있습니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 지체없이 공고합니다.
1. 우리은행의 직원으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 지체 없이 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
• 우리은행 가입자가 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
• 우리은행 가입자가 부정한 방법으로 인증서를 발급한 가능성을 객관적으로 인지한 경우
• 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 객관적으로 인지한 경우
• 우리은행이 가입자의 키쌍 훼손을 인지한 경우
4.9.3 인증서 폐지 목록의 발행주기
우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.
4.9.4 인증서 폐지 목록 발행 최대 소요 시간
인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.
4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법
우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.
4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간
인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.
4.10 인증서 유효성 확인 서비스
4.10.1 서비스 운영 특징
인증서 유효성 확인 서비스(OCSP, Online Certificate Status Protocol)란 가입자의 인증서의 이용 가능 상태를 실시간으로 확인하는 서비스로서 가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.
4.10.2 서비스 가용성
유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.
4.10.3 서비스 운영 기능 및 기타사항
해당 사항이 없습니다.
4.11 서비스 가입 철회 및 해지
4.11.1 서비스 가입 철회
가입자는 서비스 철회를 원할 경우 인증서를 폐지(삭제)하거나 우리은행 인증서 발급 어플리케이션을 탈퇴 또는 삭제 시 서비스 이용을 중단할 수 있습니다. 이 경우 가입자의 개인정보는 "5.5 기록 보존"에 준하여 처리 됩니다.
4.11.2 서비스 가입 해지
서비스 가입 해지의 경우 "4.11.1 서비스 가입 철회" 프로세스를 준용합니다.
4.12 기타 부가 서비스
기타 부가서비스는 제공하지 않습니다.
5. 시설 및 운영관리
5.1 물리적 보호조치
5.1.1 인증시스템 구성 및 위치
우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층
5.1.2 물리적 접근 통제
우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유•무선 연락 기능을 확보하여 운영하고 있습니다.
6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.
5.1.3 전원
우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.
5.1.4 수해방지
우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.
5.1.5 화재 예방
우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.
5.1.6 방호
우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용
5.1.7 매체 저장
우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.
5.1.8 원격지 백업
우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.
5.1.9 항온/항습, 통풍설비에 관한 사항
1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.
5.1.10 폐기물 처리
1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.
5.2 절차적 보호조치
5.2.1 전자서명인증업무 수행을 위한 업무 분장
가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
1. 인증업무 관리책임자
I. 인증 업무를 총괄합니다.
II. 인증업무준칙(CPS)를 승인합니다.
III. 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획 승인합니다.
2. 인증정책 관리자
I. 인증서 정책 및 인증업무준칙(CPS)의 초안을 작성 하고 내부 및 외부 검토를 수행하며, 관리책임자에게 기안을 제출합니다.
II. 사업연속성계획을 사업적 요구사항을 고려하여 반영 및 보안합니다.
III. 재해복구계획 및 관련된 테스트 시나리오를 작성하고, 내부 및 외부 검토를 수행하며, 관리책임자에게 기안을 제출합니다.
IV. 인증관리 담당자에 대한 정기적 교육 커리큘럼을 수행합니다. (예_인증업무 교육 등) 최상위 인증기관 인증정책 관리자와 인증기관 외 인증정책 관리자로 구분됩니다.
3. 보안관리자
I. 인증기관 시스템(CA, RA, OCSP, WEB 등)과 인증서비스에 대한 보안을 관리합니다.
4. 내부 감사자
I. 전자서명인증업무에 대한 정기적인 내부감사를 수행합니다.
II. 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.
5. 키 생성 관리자
I. 암호화 모듈 장비(HSM)을 입고하고 적절한 장소에 보관합니다.
II. 암호화 모듈 장비(HSM) 관련된 키 생성 데이터를 내화 금고에 안전하게 보관하며, 해당 데이터 사용이 적절하게 수행되었는지 확인합니다.
III. 암호화 모튤 장비(HSM) 활성화에 필요한 접근권한(m of n) 담당자에게 필요한 물품 및 정보를 제공하고 관리합니다.
IV. 인증기관 키 생성/보관/운반/마이그레이션/파기 등 해당 절차 및 세부 규정에 따라 수행합니다.
6. 키 생성 소유자
I. 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
II. 암호화 장비 활성화(activation) 시 보유한 다자인증을 위한 패스워드 입력합니다.
III. 최상위 인증기관 및 인증기관 담당자에 따라 최상위 인증기관 키 소유자, 인증기관 키 소유자로 구분됩니다.
7. 인증서 발급/생성 관리자
I. 인증 시스템에서 인증서 신규 발급/재발급/갱신/폐지(삭제)를 수행하고 관리합니다.
II. 인증서 폐지목록(CRL)을 발급하고 관리합니다.
III. OCSP 요청 및 응답을 관리합니다.
8. 인증서 등록 및 신원확인 담당자
I. 인증서 등록관리시스템 관리 및 인증서 신규 발급/재발급/갱신/폐지(삭제)를 수행합니다.
II. 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석합니다.
III. 국내법 또는 인증기관 규정에 따른 신원확인 절차에 따라 자료를 검증 및 가입자가 제출한 신청서 및 신원확인 자료를 수령합니다.
IV. 온라인으로 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
9. 인증기관 웹사이트 관리 (WEB)
I. 다음과 같은 웹사이트를 운영하고 관리합니다.
• 인증 센터
① 가입자의 인증서 발급 및 관리 기능 제공
② 인증서 정책(CP) 및 인증업무준칙(CPS) 게시
• 관리자 포털
① 인증서 정책(CP) 및 인증업무준칙(CPS) 관리
② 관리자 계정, 인증 시스템 관리자 활동 로그 기록, 이용 기관별 과금 내역 조회 및 관리 등
• 개발자 포털
① 외부기관의 연동 신청 및 개발지원을 위한 개발 모듈 및 가이드 제공 등
② 이용 기관 별 관리 기능 및 개발 포탈 관리 운영 기능 제공 등
II. 개인정보보호지침 등 공개가 필요한 규정 및 규칙을 공개하고 관리합니다.
III. 가입자 이용약관 등 인증업무에 필요한 문서 및 서식을 공개하고 관리합니다.
IV. 이 외 필요하다고 판단되는 정보에 대해 내부 승인을 득한 후 공개하고 관리합니다.
10. 개발자
I. 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
II. 국내외 국제기술표준 및 필요에 의한 기술 요건을 분석하고 시스템 및 어플리케이션에 적용합니다.
III. 테스트용 인증서를 발급하고 관리합니다.
IV. 인증 시스템 감사로그(Audit log)에 해당 업무가 기록되는지 확인합니다.
11. 운영자
I. 인증센터의 시설 및 장비를 운영하고 관리합니다.
II. 인증 시스템을 운영하고 관리합니다.
III. 인증 서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
IV. 인증 시스템에 사용되는 네트워크를 관리합니다.
V. 시설 및 장비에 필요한 유지보수 업무를 관리합니다.
VI. 운영하는 시설 및 장비에 따라 최상위 인증기관, 인증기관 및 네트워크 등으로 구분됩니다.
12. 금고 관리자
I. 금고를 관리합니다.
나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘인증업무 업무분장 및 직무기술’ 에 따라 수행합니다.
5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무
우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
2. 기타의 전자서명인증업무는 2인 이상이 공동으로 수행합니다.
3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘인증업무 업무분장 및 직무기술’ 규정을 두어 별도로 규정하고 있습니다.
5.2.3 업무 담당자 현황 및 담당자 인증방법
1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 지문인식을 통해 신원을 확인합니다.
2. 우리은행의 업무 담당자는 내부지침인 ‘인증업무 업무분장 및 직무기술’에 규정을 두어 별도로 규정하고 있습니다.
5.3 인적보안
5.3.1 자격요건 및 신원확인 절차
1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.
5.3.2 업무 수행 인력의 교육 및 업무순환
1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.
5.3.3 비인가 된 행위에 대한 처벌
우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.
5.4 감사 기록
5.4.1 감사기록의 유형 및 보존 기간
우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
1. 인증서 관리에 관한 기록(인증서 발급/재발급/폐지(삭제) 등)
2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
3. 인증서 발급에 사용되는 개인정보 등
5.4.2 감사기록 검토 등 보호조치
보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.
5.4.3 감사기록 백업주기 및 절차
1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.
5.5 기록 보존
5.5.1 보존되는 기록의 유형
우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
2. 우리은행 인증시스템 등의 운영 업무
5.5.2 기록의 보존 기간
우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.
5.5.3 보존기록 보호조치
우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.
5.5.4 보존기록의 백업주기 및 백업절차
1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.
5.6 전자서명인증사업자의 전자서명생성정보 갱신
인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.
5.7 장애 및 재난 복구
5.7.1 장애 및 재해 유형별 처리 및 복구 절차
우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.
5.7.2 업무 장애방지 등 연속성 보장 대책
1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.
5.8 업무 휴지·폐지·종료
우리은행이 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.
5.8.1 전자서명인증업무 휴지
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
5.8.2 전자서명인증업무 폐지 및 종료
자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.
6. 기술적 보호조치
6.1 전자서명생성정보 보호
6.1.1 전자서명생성정보 생성
1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.
6.1.2 전자서명생성정보의 크기 및 해쉬 값
우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
1. 최상위인증기관(Root CA)
I. RSA 전자서명검증정보 : 4,096 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
2. 인증기관(CA) 및 OCSP
I. RSA 전자서명검증정보 : 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
3. 가입자
I. RSA 전자서명검증정보 : 2,048 bit
II. 해쉬 알고리즘 : SHA-2 256 bit
6.2 전자서명생성정보 보호 조치
6.2.1 전자서명생성정보의 저장 시 보호조치
우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.
6.2.2 전자서명생성정보의 이용 시 보호조치
우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
6.2.3 전자서명생성정보의 백업 보관 시 보호조치
1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.
6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치
1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
• 인증서 유효기간의 만료
• 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
• 키 손상이 우려되는 경우(서버 해킹 등)
2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.
6.3 전자서명생성정보 및 전자서명검증정보의 관리
우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
6.4 데이터 보호 조치
우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
3. 부적절한 접근 권한일 경우 회수 및 철회합니다.
6.5 시스템 보안 통제
1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.
6.6 시스템 운영 관리
우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
- 인증시스템의 S/W 등록에 대한 형상관리
- 인증시스템의 변경사항 등 운영관리에 대한 형상관리
6.7 네트워크 보호조치
1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절한 대응합니다.
4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.
6.8 시점확인서비스 보호조치
우리은행은 본 준칙 “5.1 물리적 보호조치”에 따라 시점확인 기능을 제공하는 시스템은 인증시스템실과 별도로 운영실을 분리하는 보호조치를 마련하여 시행하고 있습니다.
Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier
OID
policyQualifiers
PolicyQualifierId
OID
Qualifier
CPSuri
IA5String
UserNotice
NoticeReference
SEQUENCE
ExplicitText
BMPString
5
Extended Key Usage
OID
OCSP 서명(1.3.6.1.5.5.7.3.9)
6
CRL Distribution Point
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint
DistributionPointName
reasons
ReasonFlags
cRLIssuer
GeneralNames
7
Authority Information Access
[1]Authority Info Access
Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.wooribank.com:9020/OCSPServer
8
Policy Constraints
Required Explicit Policy Skip Certs=0
8. 감사 및 평가
8.1 감사 및 평가 현황
1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
3. 과학기술정보통신부 장관은 운영기준에 부합한다고 인정하는 국제적으로 통용되는 평가를 정하여 고시할 수 있습니다.
4. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
8.2 평가자의 신원, 자격
1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
2. 평가기관의 전문인력 요건은 전자서명법 시행령[별표1]에 따릅니다.
8.3 평가 대상과 평가자의 관계
평가기관은 전자서명법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
8.4 평가 목적 및 내용
1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
8.5 부적합 사항에 대한 조치
1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 아래 전자서명법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
I. 운영기준을 준수하지 못하게 된 경우
II. 제13조 제1항에 따른 운영기준 준수 사실의 표시에 관한 사항을 위반한 경우
III. 제14조에 따른 신원확인에 관한 사항을 위반한 경우
IV. 제15조 제1항•제5항에 따른 전저서명인증 업무준칙 작성·게시에 관한 사항을 위반하거나 전자서명인증 업무준칙을 준수하지 아니한 경우
V. 제15조 제2항부터 제5항까지에 따른 전저서명인증업무의 휴지·폐지에 관한 사항을 위반한 경우
VI. 제16조 제1항에 따른 자료를 제출하지 아니하거나 거짓 자료를 제출한 경우 또는 관계 공무원의 출입·검사를 거부·방해하거나 기피한 경우
VII. 제20조 제2항을 위반하여 보험에 가입하지 아니한 경우
2. 인증심사의 부적합사항에 대해서는 조치가 취해지며 합리적인 기간 내에 보완합니다.
8.6 결과 보고
감사 결과는 후속 시정 조치 계획을 통해 결함을 분석하고 해결하기 위해 평가기관에 보고됩니다. 결과는 법률, 규정 또는 계약에 따라 결과 사본을 받을 자격이 있는 다른 적절한 기관에 제공될 수도 있습니다.
9. 전자서명인증업무 보증 등 기타사항
9.1 수수료
1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.
9.2 배상
9.2.1 보험적용
우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.
9.2.2 보험 및 보증의 범위
1. 우리은행의 배상 범위
I. 우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 다만, 우리은행이 고의 또는 과실이 없음을 입증하면 그 배상책임이 면제됩니다.
II. 우리은행은 안전성이 저하되거나 검증되지 않은 암호모듈 또는 암호알고리즘 사용으로 가입자 또는 이용자에게 손해를 입힌 경우 그 손해를 배상합니다.
9.3 영업비밀
9.3.1 기밀 정보의 범위
우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
1. 전자서명생성정보
2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
5. 개인정보로 보유하는 정보
6. 감사로그 및 보존 기록
9.3.2 기밀 정보 범위에 속하지 않는 정보
인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.
9.3.3 기밀 정보 보호 책임
우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.
