출처: 행정안전부
행정전자서명 인증업무지침 요약한 글입니다. 출처는 행정안전부이며 행정전자서명 인증업무지침에 대한 글을 다루고 있습니다. 행정전자서명 인증업무지침 내용에 대한 전문이 필요하신 분은 하단으로 가시면 행정전자서명 인증업무지침 다운로드 및 확인하실 수 있습니다.
행정전자서명 인증업무지침(행정안전부고시 제2021-58호, 2021. 9. 9., 일부개정) | 행정안전부> 정
행정안전부 홈페이지에 오신것을 환영합니다.
www.mois.go.kr
행정전자서명 인증업무지침(행정안전부고시 제2021-58호, 2021. 9. 9., 일부개정)
행정전자서명 인증업무지침
행정전자서명 인증업무지침
[시행 2021. 9. 9.] [행정안전부고시 제2021-58호, 2021. 9. 9., 일부개정.]
행정안전부(디지털안전정책과), 044-205-2756
제1장 총 칙
제1조(목적) 이 지침은 전자정부법 제29조 및 동법 시행령(이하 "시행령"이라 한다) 제34조제3항에 의하여, 행정전자서명 인증업무 수행에 있어서 기준이 되는 사항과 인증서 관리에 대한 세부사항을 정함을 목적으로 한다.
제2조(적용범위) 이 지침은 행정전자서명 발급ㆍ관리 등 인증업무를 수행하는 인증기관ㆍ등록기관과 행정전자서명인증서를 사용하는 국가 기관, 지방자치단체, 공공기관, 민간기관 및 각 기관의 업무담당자에게 적용한다.
제3조(정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "행정전자서명인증서(이하 "인증서"라 한다)"라 함은 행정전자서명이 진정한 것임을 확인ㆍ증명할 수 있도록 전자정부법 제2조제9호에 해당하는 법인ㆍ기관 및 단체 또는 그 기관에서 직접 업무를 담당하는 자에게 발급하는 전자적 정보를 말한다.
2. "인증"이라 함은 행정전자서명생성키가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명해 주는 행위를 말한다.
3. "인증업무"라 함은 인증서 발급ㆍ갱신ㆍ폐지, 가입자 정보 등록ㆍ변경, 인증서ㆍ인증서 폐지목록의 공고 등 인증서 및 인증 관련 기록 관리 등의 업무를 말한다.
4. "인증기관(CA : Certification Authority)"이라 함은 시행령 제89조제1항에 의거 행정안전부장관이 인증업무를 위탁한 기관을 말한다.
5. "등록기관(RA : Registration Authority)"이라 함은 인증기관의 인증업무 중 가입자에 대한 신원확인과 가입자 정보를 등록ㆍ관리하며 인증서 신청 및 인증서 폐지신청 등의 업무를 수행하는 기관을 말한다.
6. "암호키관리기관" 이라 함은 암호키의 위탁ㆍ복구 등의 업무를 수행하는 암호키 관리시스템을 운영하는 기관을 말한다.
7. "가입자"라 함은 인증기관으로부터 인증서를 발급받은 개인 또는 법인ㆍ 기관 및 단체를 말한다.
8. "사용기관"이라 함은 정보시스템의 안전성을 확보하기 위해 사용자 신원확인 또는 암호화 등의 목적으로 인증서를 이용하는 기관 등을 말한다.
9. "행정전자서명검증키(공개키)" 라 함은 행정전자서명을 검증하기 위하여 이용하는 전자적 정보로 인증서 내에 포함되는 정보를 말한다.
10. "행정전자서명생성키(개인키)" 라 함은 행정전자서명을 생성하기 위하여 이용하는 전자적 정보로 가입자가 보유하는 정보를 말한다.
11. "암호키"라 함은 전자문서 등을 암호화하기 위하여 이용하는 전자적 정보를 말하는 것으로 암호용인증서의 행정전자서명생성키(개인키) 또는 행정전자서명생성키로부터 유도된 정보를 말한다.
12. "암호용인증서"는 보호하고자 하는 전자정보를 암호화하거나 위변조 등을 확인ㆍ증명할 수 있는 전자적 정보를 말하며 행정전자서명인증서 발급 시 동시에 발급할 수 있다.
13. "인증서 폐지목록(CRL : Certificate Revocation List)"이라 함은 인증서 효력이 상실된 인증서의 목록으로 인증기관에서 주기적으로 발급ㆍ게시하는 전자적 정보를 말한다.
14. "시점확인서비스"라 함은 전자문서가 당해 인증기관에 제시된 시점을 확인하여 통보해주는 서비스를 말한다.
15. "인증서 유효성확인 서비스"라 함은 인증기관이 발급한 인증서의 효력이 유효한지를 확인해 주는 서비스를 말한다.
16. "행정전자서명 표준API(이하 "표준API"라 한다)"라 함은 안전한 전자정부시스템을 구축할 수 있도록 "행정전자서명인증서"를 이용하여 보안서비스를 제공하는 프로그램을 말한다.
제2장 행정전자서명 인증관리체계
제4조(인증관리센터의 기능) ① 전자정부법 제29조 제2항 및 시행령 제28조에 의해 행정안전부에 설치된 행정전자서명 인증관리센터(이하 "인증관리센터"라 한다)는 자가서명(Self-signed)하여 인증서를 발급하는 행정전자서명 인증관리체계상 최상위인증기관을 말한다.
② 인증관리센터는 인증관리체계의 효율적 운영을 위해 다음 각 호의 업무를 수행한다.
법제처
-1/5-
국가법령정보센터
행정전자서명 인증업무지침
1. 인증기관의 지정 및 인증기관 인증서 발급ㆍ관리 등 인증업무
2. 인증기관 시설 및 장비 기준 제정
3. 제2호의 규정에 따른 인증기관의 시설 및 장비의 안전운영 여부 점검 또는 이에 상응하는 조치
4. 인증기관의 인증서와 인증서 폐지목록 게시
5. 인증관리센터가 생성한 모든 인증서와 인증서 폐지목록의 보관
6. 인증기관 관리에 관련된 정보 및 기록의 유지 등
7. 행정전자서명 인증관리체계에 속하는 기관 및 가입자에 대한 인증업무 관련 교육
8. 전자정부법 제29조제3항의 규정에 따른 행정전자서명 기술표준 마련
9. 기타 최상위인증기관으로서 인증업무와 관련하여 필요하다고 인정되는 업무
제5조(인증업무의 위탁) ① 행정안전부장관은 시행령 제89조제1항에 근거하여 행정기관 및 공공기관 등에 인증업무를 위탁할 수 있으며, 그 사실을 고시한다.
② 제1항에 따라 행정안전부장관으로부터 인증업무를 위탁받은 인증기관은 <별지>에 정의된 인증기관 구성요건을 충족하여야 하며, 인증관리센터는 인증기관 구성요건을 충족함을 확인한 후에 해당 인증기관의 인증기관용 인증서를 발급한다.
③ 행정안전부장관은 제1항에 따른 인증기관이 다음 각 호에 해당하는 경우 인증업무 위탁을 취소할 수 있다.
1. 인증업무를 위탁받은 날로부터 1년 이내에 <별지>에서 규정한 인증기관 구성요건을 충족하지 못 한 경우
2. 인증업무를 위탁받은 날로부터 2년 이내에 인증업무를 개시하지 못 한 경우
제6조(인증기관의 역할) ① 제5조에 따른 인증기관은 다음 각 호의 업무를 수행한다.
1. 등록기관 지정 및 관리
2. 등록기관 및 가입자의 신원확인
3. 등록기관 및 가입자 인증서의 발급, 갱신, 폐지 및 인증서 폐지목록 게시 등 인증업무
4. 해당 인증기관에서 발급한 인증서의 유효성 확인
5. 암호키 위탁ㆍ복구 서비스 및 관련 기록의 유지;
6. 가입자 정보 및 기록에 대한 관리
7. 인증업무의 안전성과 신뢰성을 확보하기 위한 등록기관의 인증업무 운영 실태점검 및 개선사항 권고
8. 시점확인서비스 등 기타 인증기관으로써 필요하다고 인정되는 업무
② 인증기관은 최상위인증기관인 인증관리센터에서 발급한 인증서를 이용하여 인증업무를 수행하여야 한다.
제7조(인증기관의 책임과 의무) ① 인증기관은 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음 각호의 정보를 누구든지 확인할 수 있도록 공고하여야 한다.
1. 인증기관에 대한 정보
2. 가입자의 인증서 및 인증서 폐지목록 정보
3. 기타 인증업무 수행관련 정보 등
② 인증기관의 당해 인증기관용 인증서의 행정전자서명생성키를 안전하게 저장ㆍ관리하여야 하며, 행정전자서명생성키의 안전성이 취약하다고 판단될 경우 인증관리센터로부터 인증서를 재발급 받아야 한다. 이 때, 인증서를 재발급 받은 인증기관은 신규 인증서를 활용하여 기존에 발급한 등록기관 및 가입자 인증서를 모두 재발급하여야 한다.
③ 인증기관의 당해 인증기관용 인증서의 행정전자서명생성키가 분실ㆍ훼손 또는 도난ㆍ유출된 경우, 즉시 인증관리센터에 통보하고 인증업무의 안전과 신뢰성을 확보할 수 있는 대책을 마련하여야 한다.
④ 인증기관은 다음 각 호에 해당하는 인증업무에 관한 기록을 안전하게 보관ㆍ관리하여야 한다.
1. 인증서 신청, 발급, 폐지 등에 관한 사항
2. 인증서
3. 인증서 폐지목록(CRL)
4. 인증서 폐지 관련 정보(폐지 결정자, 폐지 사유 등)
5. 인증기관의 행정전자서명생성키 생성 및 관리에 관한 사항
6. 기타 인증업무 관련 사항
⑤ 인증기관은 인증업무 관련 기록의 안전성 및 신뢰성을 위하여 주기적인 백업 정책 및 감사기록 점검 계획을 수립하고 이를 시행하여야 한다.
⑥ 인증기관은 발급한 인증서와 관련하여 다음 각 호의 내용을 보증하여야 한다.
1. 인증서에 포함된 내용이 인증기관에 등록된 사실
2. 인증서가 전자정부법 및 동법 시행령, 행정전자서명 인증업무지침 등을 준수하여 발급된 사실
3. 인증서 폐지목록 및 인증서 상태확인의 정확성
법제처
-2/5-
국가법령정보센터
행정전자서명 인증업무지침
제8조(등록기관의 역할) ① 제6조제1항제1호에 의해 지정된 등록기관의 장은 인증기관으로부터 인증서를 발급받아서 다음 각 호의 업무를 수행한다.
1. 인증서 발급, 재발급, 갱신, 폐지 등을 위한 신청 접수 및 신청자 신원확인
2. 인증서 발급, 재발급, 갱신, 폐지 등과 관련 가입자 정보 등록과 갱신
② 등록기관은 인증기관으로부터 발급받은 인증서의 행정전자서명생성키가 분실ㆍ훼손 또는 도난ㆍ유출되지 않도록 안전하게 관리해야 한다.
제9조(가입자 정보보호) ① 인증기관과 등록기관은 인증업무 수행과정에서 얻게 되는 가입자 정보 및 인증기관 운영과정에서 생성되는 중요자료에 대해 법원의 명령과 같은 특별한 경우를 제외하고는 인증업무 이외 목적으로 이용하거나 공개하지 말아야 한다.
② 인증기관과 등록기관은 인증업무 수행과정에서 얻게 되는 가입자 정보를 개인정보보호법에 따라 보호해야 한다.
제10조(인증서 발급, 재발급 및 폐지 신청거부 금지) 인증기관과 등록기관은 특정한 사유 없이 가입자 또는 인증서 발급 신청자의 인증서 발급, 재발급 및 폐지 신청을 거부할 수 없으며 거부할 경우 그 사유를 밝혀야 한다.
제11조(인증기관 운영 실태확인) ① 행정안전부장관은 행정전자서명 인증업무의 안전성과 신뢰성을 확보하고 가입자 정보를 보호하기 위하여 필요한 경우 인증기관에 자료 제출을 요구하거나 인증업무 운영 실태를 확인할 수 있다.
② 제1항에 따른 인증업무 운영 실태를 확인할 경우에는 그 계획 등을 사전에 해당 인증기관에 통보한다.
③ 인증기관은 운영실태 점검에 따른 개선사항을 이행하여야 하며, 조치결과를 행정안전부장관에게 통보하여야 한다.
④ 인증기관은 인증서 발급 및 이용현황 등 연간 운영 현황을 매년 1월 31일까지 행정안전부 장관에게 통보하여야 한다.
제12조(알고리즘 취약성에 대한 통보 및 조치) ① 인증기관은 인증업무에 이용하고 있는 행정전자서명용 알고리즘이 안전하지 않다고 인지하는 경우에 지체 없이 이를 인증협의회, 국가정보원 및 인증관리센터에 통보하고 당해 알고리즘으로 생성한 가입자 인증서를 폐지해야 한다.
② 인증관리센터와 제5조에 따른 인증기관은 누구든지 제1항의 사실을 확인할 수 있도록 공고한 뒤, 신뢰성 확보 대책을 강구하여야 한다.
제13조(인증협의회) ① 인증관리센터는 범국가적 행정전자서명 인증업무의 효율적 수행을 위하여 제5조에 따른 인증기관, 국가정보원 및 민간전문가 등으로 행정전자서명인증협의회(이하 "인증협의회"라 한다)를 구성ㆍ운영할 수 있다.
② 인증협의회는 다음 각 호의 사항을 협의한다.
1. 행정전자서명 인증업무 운영을 위한 인증정책
2. 행정전자서명의 이용확산을 위한 제도의 개선 및 관계 법령의 정비에 관한 사항
3. 인증기관 간 상호 연계 및 국제협력에 관한 사항
4. 기타 행정전자서명의 안전성과 신뢰성 확보 및 이용촉진을 위해 필요한 사항
③ 그 밖의 인증협의회의 구성ㆍ운영에 관하여 필요한 사항은 인증관리센터의 장이 별도로 정한다.
제14조(전문기관) ① 행정안전부장관은 인증관리센터 운영을 한국지역정보개발원에 위탁할 수 있으며, 한국지역정보개발원은 전문기관으로 인증기관의 인증업무를 지원할 수 있다.
제3장 행정전자서명인증서
제15조(인증서 종류) ① 인증서는 행정전자서명을 위해 발급하며, 필요시 암호용인증서를 동시에 발급할 수 있다.
② 인증서는 발급 대상에 따라 다음 각 호와 같이 구분한다.
1. 인증기관, 등록기관 등 인증업무 수행기관용 인증서
2. 행정기관, 공공기관 등 기관용 인증서
3. 개인용 인증서
4. 서버용
5. SSL용 인증서
6. 특수목적용 인증서
7. 기타 인증협의회 결정에 의해 발급되는 인증서
제16조(인증서 발급대상) 인증서는 전자정부법 제2조제9호에 따라 다음 각 호에 해당하는 기관 또는 업무담당자에게 발급할 수 있다.
법제처
-3/5-
국가법령정보센터
행정전자서명 인증업무지침
1. 행정기관, 보조기관, 보좌기관 및 공무원
2. 행정업무를 직접 담당하는 임용전 수습사무관, 청원경찰 등 각 기관의 상시근무 직원
3. 행정기관에서 구축한 시스템을 이용하여 행정기관과 전자문서를 유통하는 공공기관 및 업무담당자
4. 전자정부법 제36조 2항에 해당하는 행정정보공동이용을 위한 공공기관, 민간기관 및 업무담당자
제17조(유효기간) ① 인증서 최대 유효기간은 최상위인증기관 20년, 인증기관 10년, 등록기관 2년 3개월, 기관용ㆍ서버용ㆍ특수목적용 및 개인용은 2년 3개월, 시점확인인증서는 10년으로 하며, 이를 초과하지 않는 범위 내에서 이용범위 및 기술의 안전성 등을 고려하여 인증관리센터와 협의하여 인증기관이 정한다.
② 각 인증기관은 인증기관 인증서 유효기간 만료 전에 이용범위 및 기술의 안전성 등을 최상위인증기관과 협의하여 기존 인증서의 유효기간을 연장할 수 있다.
제18조(인증서의 효력) 인증서는 발급받은 날로부터 유효기간 동안 효력을 유지한다. 단, 제21조에서 규정한 인증서 폐지 사유에 해당할 경우, 폐지된 시점부터 인증서의 효력이 상실된다.
제4장 행정전자서명인증업무
제19조(신원확인) 인증기관 및 등록기관은 인증서의 신뢰성 확보를 위하여 가입자 정보에 대한 정확성 및 가입자 신원을 확인하는 절차를 거쳐야 하며, 일반적으로 인증서를 신청하는 해당기관의 부서장 또는 기관장 명의의 공문에 의해 신원확인을 대체할 수 있다.
제20조(인증서 발급) ① 인증기관은 등록기관이 신원확인 절차를 거친 인증서 발급 신청자에게만 인증서를 발급하여야 한다.
② 인증서는 인증서 발급 신청자가 온라인으로 직접 발급 받는 것을 원칙으로 한다. 단, 특정한 사유로 신청자 환경에서 발급받을 수 없는 경우 신청자 동의를 얻어 등록기관 등에서 안전한 방법으로 인증서를 발급하여 신청자에게 전달할 수 있다.
③ 가입자는 인증서의 유효기간이 만료되기 3개월 전부터 만료일까지 인증서를 갱신하여 유효기간을 연장할 수 있다.
④ 가입자는 다음 각 호에 해당하는 경우 인증서를 재발급 받을 수 있으며, 인증서 재발급 절차는 신규 발급 절차와 동일하다.
1. 인증서의 유효기간이 경과한 경우
2. 인증서 비밀번호를 잊은 경우
3. 가입자의 행정전자서명생성키가 손상ㆍ유출 또는 변경되었다고 우려될 경우
4. 소속기관 명칭 및 가입자명 등 인증서 관련정보가 변경된 경우
제21조(인증서 폐지) ① 인증기관과 등록기관은 다음 각 호에 해당하는 사유가 발생한 경우 당해 인증서를 폐지한다.
1. 가입자가 인증서 폐지를 신청한 경우
2. 가입자가 부정한 방법으로 인증서를 발급받은 사실을 인지한 경우
3. 가입자 인증서 내의 정보(조직정보 등)가 변경된 사실을 인지한 경우
4. 가입자의 행정전자서명생성키의 분실ㆍ훼손 또는 도난ㆍ유출된 사실을 인지한 경우
5. 가입자 인증서에 사용된 인증기관 행정전자서명생성키가 분실ㆍ훼손 또는 도난ㆍ유출되었거나 안전하지 않다고 인지한 경우
6. 기타 인증서 폐지가 필요하다고 판단되는 경우
7. 가입자 재직상태(퇴직, 전출 등)가 변경된 사실을 인지한 경우
② 인증기관은 제1항에 따라 인증서를 폐지한 경우에는 그 사실을 가입자에게 통보하여야 한다.
제22조(인증서 및 인증서 폐지목록 공고) 인증기관은 인증서 발급 정보와 인증서 폐지목록 등의 인증서 상태정보를 가입자나 사용기관이 확인할 수 있도록 공고하여 누구든지 그 사실을 확인할 수 있도록 하여야 한다. 이 때, 인증서 발급 정보는 처리 직후 신속히 공고하고, 인증서 폐지목록은 최대 1일을 주기로 갱신ㆍ공고한다.
제23조(암호용 키위탁) ① 가입자는 다음 각 호에 해당하는 경우 행정전자서명생성키를 암호키관리기관에 위탁하여야 한다.
1. 기관용 인증서를 발급받은 경우
2. 서버용 인증서를 발급받은 경우
② 가입자가 개인용 인증서를 발급받은 경우에는, 해당 가입자의 필요에 의해 행정전자서명생성키를 암호키관리기관에 위탁할 수 있다.
법제처
-4/5-
국가법령정보센터
행정전자서명 인증업무지침
제24조(인증서 유효성확인 서비스 제공) 인증기관은 가입자의 인증서 유효성 여부를 확인해 주는 인증서 유효성확인 서비스를 사용기관에게 제공할 수 있다.
제25조(부가서비스) 인증기관은 사용기관의 신청이 있는 경우에 전자문서가 당해 인증기관에 제시된 시점을 확인 통보해주는 시점확인서비스 등 기타 부가서비스를 제공할 수 있다.
제26조(인증업무 휴지ㆍ폐지 등) ① 조직개편 등 인증업무의 휴지ㆍ폐지 사유가 발생한 인증기관의 장은 다음 각 호의 서류를 첨부하여 행정안전부장관과 즉시 협의하여야 한다.
1. 인증업무의 휴지 및 폐지사유
2. 가입자의 인증서와 인증서 폐지에 관한 기록 등의 처리계획
3. 가입자에게 휴지 또는 폐지의 사실을 통보하였음을 증명하는 서류
② 인증업무를 폐지하고자 하는 인증기관은 행정안전부장관과 협의하여 당해기관의 인증업무를 행정안전부장관이 지정하는 인증기관에 인계하여야 한다.
제5장 가입자 및 사용기관의 책임과 의무
제27조(가입자 의무) ① 가입자는 다음의 경우에 정확한 정보 및 사실만을 인증기관과 등록기관에 제공해야 한다.
1. 인증서 발급, 재발급, 폐지 신청
2. 인증서 상에 기재된 가입자 정보 변경 등
② 가입자는 자신의 행정전자서명생성키, 인증서, 저장매체(USB, 스마트폰, 스마트 카드, 보안토큰(HSM) 등) 등을 안전하게 관리하여야 한다.
제28조(가입자 책임) 가입자는 본 지침에서 정한 의무를 위반 또는 인증서와 관련하여 허위 또는 잘못된 정보의 제공, 인증서 관리 부주의로 인하여 발생되는 손해와 손실 등에 대한 책임을 져야 한다.
제29조(사용기관 의무) ① 사용기관은 가입자 인증서를 신뢰하고자 하는 경우 당해 인증서 유효기간, 발급기관, 이용범위 및 용도, 진정성 등을 확인해야 한다.
② 사용기관은 인증서를 사용하기 전에 당해 인증서 폐지여부 등을 확인하여 유효기간 만료 또는 폐지된 인증서를 사용하여서는 안 된다.
제6장 행정전자서명 표준API
제30조(표준API의 개발보급) 행정안전부장관은 유선환경에서 전자문서의 보안성 확보 또는 가입자 신원확인을 위해 인증서를 적용할 경우에 사용할 수 있도록 표준API를 개발 보급하며 이에 대한 기술적 제반사항을 지원한다. 다만, 표준API 보급 대상은 제16조에 따른 행정기관과 공공기관에 한한다.
제31조(표준API의 사용ㆍ관리) ① 행정안전부로부터 표준API를 제공 받은 기관은 표준API를 사용 신청한 용도 이외의 목적으로 사용할 수 없으며, 타 용도로 사용하고자 할 때에는 행정안전부장관과 사전협의하여야 한다.
② 표준API를 사용하는 기관의 장은 표준API 전담관리자를 지정하여 안전하게 관리하여야 하며, 표준API의 파손 등 보안사고 발생 또는 시스템 변경 등으로 표준API 미사용시에는 관련사실을 행정안전부장관에게 통보하여야 한다.
③ 표준API를 사용하는 기관의 장은 정보시스템을 구축할 경우 각 인증기관간 인증서가 상호 연동될 수 있도록 하여야 한다.
④ 표준API를 사용하는 기관의 장은 표준API 적용완료 또는 적용변경의 경우 관련 사항을 "표준API 보급관리시스템"에 등록하여야 한다.
제7장 기타
제32조(재검토기한) 행정안전부장관은「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2022년 1월 1일 기준으로 매3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
부칙<제2017-1호, 2017. 7. 26.>
제1조(시행일) 이 고시는 발령한 날부터 시행한다.
제2조 생략
법제처
-5/5-
국가법령정보센터