이 규정은 전자서명법시행령 제2조제1항제3호의 규정에 의한 시설 및 장비와 동항 제4호의 규정에 의한 내부규정에 관한 구체적 사항에 대해 정함을 목적으로 한다.
이 규정에서 사용하는 용어의 정의는 다음과 같다.
가. "공인전자서명인증체계"(이하 "인증체계"라 한다)라 함은 공인인증서의 발급 및 인증관련기록의 관리, 공인인증서를 이용한 부가업무 등을 제공하기 위한 체계를 말한다.
나. "공인인증시스템"(이하 "인증시스템"이라 한다)이라 함은 공인인증기관이 공인인증역무를 제공하기 위하여 공인인증기관 내에 설치된 시스템을 말한다.
다. "감사관리자"라 함은 인증시스템의 감사기록을 조회하고 관리하는 자를 말한다.
라. "운영관리자"라 함은 인증시스템의 운영을 담당하는 자를 말한다.
마. "정책관리자"라 함은 인증시스템에 관련된 정책을 수립하고 이를 관리하는 자를 말한다.
바. "등록정보"라 함은 가입자의 등록접수번호·명의·주소·전화번호·전자우편주소·식별명칭(Distinguished Name, 이하 "DN"이라 한다)과 공인인증서의 이용범위·용도 등을 말한다.
3. 적용범위
이 규정은 전자서명법 제2조제3호의 요건을 충족하는 전자서명기술을 이용한 공인인증업무에 적용하며, 특정 기술에 따른 추가적인 세부 기준은 별표 1과 같다.
3의2. 공인전자서명인증체계 기술규격
공인전자서명인증체계 기술규격(이하 "인증체계 기술규격"이라 한다)은 별표 2와 같으며, 해당 기술규격은 전자서명법 제25조제1항제6호에 따라 한국인터넷진흥원이 정하여 한국인터넷진흥원의 최상위인증기관 홈페이지(http://www.rootca.or.kr)를 통하여 게시한다.
4. 가입자 등록정보 관리 설비
4.1 가입자 식별기능
4.1.1 인증체계 기술규격 1.3에 따라 DN을 부여하는 기능
4.2 가입자 등록정보 관리 기능
4.2.1 등록정보를 입력·접근·변경·삭제하는 기능
4.2.2 정보통신망을 통하여 전송되는 등록정보에 대한 암호화 및 전자서명 기능
4.3 감사 및 보안 기능
4.3.1 등록정보 내역에 대한 감사기록 생성·보존 기능
가. 등록정보를 입력·접근·변경·삭제한 사실, 시각, 행위자에 관한 내역에 대한 감사기록을 생성·보존하는 기능
나. 감사기록을 백업하는 기능
4.3.2 다음의 위협에 대처할 수 있는 기능
가. 감사기록의 위·변조 및 삭제 위협에 대처하는 기능
나. 등록정보 관리 소프트웨어의 위·변조 및 삭제 위협에 대처하는 기능
다. 등록정보 관리 소프트웨어의 불법적인 사용에 대처하는 기능
(1) 운영관리자 및 감사관리자에 대한 역할구분 및 접근통제 기능
(2) 기타관리자가 있을 경우 이에 대한 역할구분 및 접근통제 기능
라. 등록정보에 대한 위·변조, 삭제 및 유출 위협에 대처하는 기능
4.4 등록정보 관리 소프트웨어의 형상관리 기능
4.5 가입자 등록정보 보관 설비
4.5.1 공인인증기관은 가입자 등록정보를 보관하기 위하여 공인인증기관 내에 사무공간과 분리되어 있고 출입통제장치가 설치되어 있는 별도의 공간에 잠금장치가 있는 캐비닛 또는 금고를 구비하여야 한다.
5. 전자서명생성정보 및 전자서명검증정보 생성·관리 설비
5.1 알고리즘
5.1.1 전자서명 알고리즘
가. 전자서명 알고리즘의 전자서명 생성 및 검증기능
(1) 인증시스템의 경우 인증체계 기술규격 2.1에 명시된 전자서명 알고리즘을 이용한 전자서명 생성 및 검증기능
(2) 가입자설비의 경우 인증체계 기술규격 2.1에 명시된 전자서명 알고리즘을 이용한 전자서명 생성 및 검증기능
나. 전자서명 알고리즘의 전자서명생성정보 및 전자서명검증정보 생성 기능
(1) 인증시스템의 경우 인증체계 기술규격 2.1에 명시된 표준을 만족하는 전자서명생성정보 및 전자서명검증정보 생성 기능
(2) 가입자설비의 경우 인증체계 기술규격 2.1에 명시된 표준을 만족하는 전자서명생성정보 및 전자서명검증정보 생성 기능
5.1.2 해쉬 알고리즘
가. 인증시스템의 경우 인증체계 기술규격 2.2에 명시된 해쉬 알고리즘을 이용한 해쉬값 생성 기능
나. 가입자설비의 경우 인증체계 기술규격 2.2에 명시된 해쉬 알고리즘을 이용한 해쉬값 생성 기능
5.1.3 암호 알고리즘
가. 인증체계 기술규격 2.3에 명시된 암호알고리즘을 이용한 암호화 및 복호화 기능
5.2 공인인증기관 전자서명생성정보 및 전자서명검증정보 생성·관리 설비
5.2.1 전자서명생성정보 및 전자서명검증정보 생성 기능
가. 5.1.1에 규정한 전자서명 알고리즘의 전자서명생성정보 및 전자서명검증정보 생성 기능
(1) 알고리즘 종류, 키 길이, 용도와 같은 전자서명생성정보 및 전자서명검증정보 생성 관련 정보를 설정·확인할 수 있는 기능
5.2.2 전자서명생성정보 및 전자서명검증정보 보호 기능
가. 인증체계 기술규격 6.4를 만족하는 기능
5.2.3 전자서명 생성 기능
가. 5.1.1에 규정한 전자서명 알고리즘을 사용하여 서명하는 기능
5.2.4 감사 및 보안 기능
가. 전자서명생성정보 및 전자서명검증정보의 생성 및 전자서명에 관한 내역에 대한 감사기록을 생성·보존하는 기능
나. 감사기록을 백업하는 기능
다. 다음의 위협에 대처할 수 있는 기능
(1) 감사기록의 위·변조 및 삭제 위협에 대처하는 기능
(2)전자서명생성정보 및 전자서명검증정보 생성·관리 소프트웨어의 위·변조 및 삭제 위협에 대처하는 기능
(3) 전자서명생성정보 및 전자서명검증정보 생성·관리 소프트웨어의 불법적인 사용에 대처하는 기능
(가) 운영관리자 및 감사관리자에 대한 역할 구분 및 접근통제기능
(나) 기타 관리자가 있을 경우 이에 대한 역할 구분 및 접근통제 기능
5.2.5 패스워드, 하드웨어 토큰, 생체인식과 같은 접근통제 기능으로 3인 이상의 권한있는 직원이 공동으로 전자서명생성정보 및 전자서명검증정보를 생성·관리하는 기능
5.2.6 공인인증기관 전자서명생성정보 및 전자서명검증정보 생성·관리 소프트웨어의 형상관리 기능
5.2.7 동일한 기능을 갖는 공인인증기관 전자서명생성정보 및 전자서명검증정보 생성·관리 설비의 이중화
5.3 가입자 전자서명생성정보 및 전자서명검증정보 생성·관리 설비
5.3.1 전자서명생성정보 및 전자서명검증정보 생성 기능
가. 5.1.1에 규정한 전자서명 알고리즘의 전자서명생성정보 및 전자서명검증정보 생성기능
(1) 알고리즘 종류, 키 길이, 용도와 같은 전자서명생성정보 및 전자서명검증정보 생성 관련 정보를 설정·확인할 수 있는 기능
(2) 디스켓에 전자서명생성정보를 저장하는 경우 전자서명생성정보를 5.1.3에 규정한 암호알고리즘으로 암호화하여 저장하는 기능
(3) 암호화된 전자서명생성정보를 저장장치에 저장한 후 시스템의 기억장소(memory) 또는 임시파일에 남아있는 전자서명생성정보 및 관련정보를 즉시 삭제하는 기능
(4)전자서명생성정보의 무결성 보장을 위하여 메시지인증코드(MAC) 등의 정보를 전자서명생성정보와 함께 저장하는 기능
5.3.2 전자서명생성정보 보호 기능
가. 전자서명생성정보 저장장치
(1) 이동 가능한 저장매체(디스켓, 스마트카드, USB 토큰 등)를 지원하는 기능
5.3.3 감사 및 보안 기능
가. 전자서명생성정보 및 전자서명검증정보의 생성과 전자서명에 관한 내역에 대한 감사기록을 생성·보존하는 기능
나. 감사기록을 백업하는 기능
다. 다음의 위협에 대처할 수 있는 기능
(1) 감사기록의 위·변조 및 삭제 위협에 대처하는 기능
(2)전자서명생성정보 및 전자서명검증정보 생성·관리 소프트웨어의 위·변조 및 삭제 위협에 대처하는 기능
(3)전자서명생성정보 및 전자서명검증정보 생성·관리 소프트웨어의 불법적인 사용에 대처하는 기능
(가) 운영관리자 및 감사관리자에 대한 역할 구분 및 접근통제기능
(나) 기타관리자가 있을 경우 이에 대한 역할 구분 및 접근통제 기능
5.3.4 2인 이상의 권한있는 직원이 공동으로 전자서명생성정보 및 전자서명검증정보를 생성하는 기능
가. 패스워드, 하드웨어 토큰, 생체인식과 같은 접근통제 기능으로 2인 이상의 권한있는 직원을 식별·확인 기능
5.3.5 가입자 전자서명생성정보 및 전자서명검증정보 생성·관리 소프트웨어의 형상관리 기능
6. 공인인증서 생성·발급·관리설비
6.1 공인인증서 생성·발급 설비
6.1.1 공인인증서 생성·발급 기능
가. 가입자의 공인인증서 발급 요청 처리 기능
(1) 인증체계 기술규격 3.1의 처리 기능
(2) 전자서명생성정보가 가입자에게 속한다는 사실의 확인 기능
(3) 가입자 전자서명검증정보에 대한 유일성 검사 기능
(4)정보통신망을 통하여 공인인증서 발급 요청 시 인증체계 기술규격 3.2를 준수하여 처리하는 기능
나. 다음의 사항에 대한 공인인증서 생성정책 설정 기능
(1) 전자서명 알고리즘(5.1.1의 전자서명 알고리즘)
(2) 공인인증서 유효기간
(3) 이용범위 또는 용도
(4) 공인인증서 확장필드
다. 공인인증서 생성 및 생성정책 설정 기능을 구분하여 별도의 관리자를 두고 각각에 대한 접근통제를 수행하는 기능
라. 공인인증서를 생성하는 기능
(1) 설정된 생성정책에 따라 공인인증서를 생성하는 기능
(2)전자서명생성정보 및 전자서명검증정보 생성·관리 설비의 전자서명 기능(5.1.1)을 이용하여 공인인증서를 생성하는 기능
(3) 인증체계 기술규격 1.1을 준수하는 공인인증서 생성 기능
마. 공인인증서에 대하여 다음의 사항을 조회하는 기능
(1) 전자서명 알고리즘
(2) 공인인증서 유효기간
(3) 가입자 및 발급자 DN
(4) 이용범위 또는 용도
(5) 공인인증서 확장필드
(6) 공인인증서 효력정지 및 폐지 여부
6.1.2 공인인증서 효력정지 및 폐지목록 생성·관리 기능
가. 가입자의 공인인증서 효력정지, 효력회복 및 폐지 요청을 처리하는 기능
(1) 효력정지, 효력회복·폐지의 구분, 요청일자 및 사유 등을 기록하는 기능
(2) 대상 공인인증서의 상태가 요청처리에 적절한지 확인하는 기능
(3) 정보통신망을 통하여 공인인증서 효력정지 및 폐지 요청·처리시 인증체계 기술규격 3.2를 준수하여 처리하는 기능
(4) 정보통신망을 통하여 공인인증서 효력정지 및 폐지 요청·처리시 송·수신 정보에 대한 전자서명기능
나. 다음의 사항에 대하여 공인인증서 효력정지 및 폐지목록 생성정책을 설정하는 기능
(1) 전자서명 알고리즘(5.1.1의 전자서명 알고리즘)
(2) 다음 발급일자
(3) 공인인증서 효력정지 및 폐지목록 확장필드
(4) 다음 발급일자 이전 자동갱신 또는 알림기능
다. 공인인증서 효력정지 및 폐지목록 생성정책 설정 기능과 공인인증서 효력정지 및 폐지목록 생성기능을 구분하여 별도의 관리자를 두고 각각에 대한 접근통제를 수행하는 기능
라. 공인인증서 효력정지 및 폐지목록을 생성하는 기능
(1)전자서명생성정보 및 전자서명검증정보 생성·관리설비의 전자서명 기능(5.1.1)을 이용하여 공인인증서 효력정지 및 폐지목록을 생성하는 기능
(2) 공인인증서 효력정지 및 폐지목록 프로파일은 인증체계 기술규격 1.2를 준수하는 생성정책에 따라 공인인증서 효력정지 및 폐지목록을 생성하는 기능
마. 공인인증서 효력정지 및 폐지목록에 대하여 다음의 사항을 조회하는 기능
(1) 전자서명 알고리즘
(2) 발급일자 및 다음 발급일자
(3) 효력정지 및 폐지된 공인인증서 일련번호
(4) 공인인증서의 효력정지 및 폐지일시, 사유
(5) 공인인증서 효력정지 및 폐지목록 확장필드
바. 공인인증서가 효력정지 된 날로부터 6월 후에 이를 폐지하는 기능
6.1.3 가입자인증서 등의 보관
가. 가입자의 공인인증서와 그 효력정지 및 폐지에 관한 기록을 해당 공인인증서의 효력이 소멸된 날부터 10년동안 보관하는 설비
나. 원격지 저장설비에 관한 사항
(1) 가입자의 공인인증서와 그 효력정지 및 폐지에 관한 기록을 보관하는 10Km 이상의 원격지 저장설비
(2) 원격지 저장설비에 대한 물리적인 출입통제장치와 캐비닛 등의 잠금장치
(3) 원격지 저장설비에 대한 접근내역을 감사기록하고 이를 보관하는 기능
(4) 원격지 저장설비에 대한 침입감시장치
6.1.4 감사 및 보안 기능
가. 공인인증서의 내역에 대한 감사기록을 생성·보존하는 기능
(1) 공인인증서의 발급·효력정지·효력회복·폐지·정책설정에 관한 내역에 대한 감사기록을 생성·보존하는 기능
(2) 감사기록을 백업하는 기능
나. 다음의 위협에 대처할 수 있는 기능
(1) 감사기록의 위·변조 및 삭제 위협에 대처하는 기능
(2) 공인인증서 생성·발급 소프트웨어의 위·변조 및 삭제 위협에 대처하는 기능
(3) 공인인증서 생성·발급 소프트웨어의 불법적인 사용에 대처하는 기능
(가) 정책관리자, 운영관리자 및 감사관리자에 대한 역할 구분 및 접근통제 기능
(나) 기타관리자가 있을 경우 이에 대한 역할구분 및 접근통제 기능
6.1.5 공인인증서 생성·발급 소프트웨어의 형상관리 기능
6.1.6 공인인증서 생성·발급 설비의 이중화
가. 동일한 기능을 갖는 공인인증서 생성·발급 설비의 이중화
나. 이중화된 공인인증서 생성·발급 설비를 이용한 비상시 복구기능
6.2 공인인증서 공고·유효성 확인 설비
6.2.1 공인인증서, 공인인증서 효력정지 및 폐지목록을 공고하는 기능
가. 공인인증서, 공인인증서 효력정지 및 폐지목록을 등록·삭제하는 기능
나. 공인인증서, 공인인증서 효력정지 및 폐지목록을 검색할 수 있는 기능은 인증체계 기술규격 4.1을 준수
다. 감사 및 보안기능
(1)공인인증서, 공인인증서 효력정지 및 폐지목록 등록·삭제 내역에 대한 감사기록
(가) 공인인증서, 공인인증서 효력정지 및 폐지목록 등록·관리한 사실, 시각, 행위자에 관한 내역에 대한 감사기록을 생성·보존하는 기능
(나) 감사기록을 백업하는 기능
(2) 다음의 위협에 대처할 수 있는 기능
(가) 감사기록의 위·변조 및 삭제 위협에 대처하는 기능
(나) 공인인증서, 공인인증서 효력정지 및 폐지목록 공고 소프트웨어의 위·변조 및 삭제 위협 등에 대처하는 기능
(다) 공인인증서, 공인인증서 효력정지 및 폐지목록 공고 소프트웨어의 불법적인 사용에 대처하는 기능
1) 운영관리자 및 감사관리자 등에 대한 역할 구분 및 접근통제 기능
2) 기타관리자가 있을 경우 이에 대한 역할 구분 및 접근통제 기능
(라) 공인인증서, 공인인증서 효력정지 및 폐지목록에 대한 위·변조, 삭제 및 유출 위협에 대처하는 기능
라. 공인인증서, 공인인증서 효력정지 및 폐지목록 공고 설비의 이중화
(1) 동일한 기능을 갖는 공인인증서, 공인인증서 효력정지 및 폐지목록 공고 설비 이중화
(2)이중화된 공인인증서, 공인인증서 효력정지 및 폐지목록 공고 설비를 이용한 비상시 실시간 복구 기능
6.2.2 공인인증서 유효성 확인 기능
가. 공인인증서 유효성 여부를 제공하는 기능은 인증체계 기술규격 5.2를 준수
나. 감사 및 보안 기능
(1) 공인인증서 유효성 확인 내역에 관한 감사기록을 생성·보존하는 기능
(가)공인인증서 유효성 확인을 한 사실, 시각, 요청자에 관한 내역에 대한 감사기록을 생성·보존하는 기능
(나) 감사기록을 백업하는 기능
(2) 다음의 위협에 대처할 수 있는 기능
(가) 감사기록의 위·변조 및 삭제 위협에 대처하는 기능
(나) 공인인증서 유효성 확인 소프트웨어의 위·변조 및 삭제 위협 등에 대처하는 기능
(다) 공인인증서 유효성 확인 소프트웨어의 불법적인 사용에 대처하는 기능
1) 운영관리자 및 감사관리자에 대한 역할구분 및 접근통제 기능
2) 기타관리자가 있을 경우 이에 대한 역할구분 및 접근통제 기능
다. 공인인증서 유효성 확인 소프트웨어의 형상관리 기능
라. 공인인증서 유효성 확인 설비의 이중화
(1) 동일한 기능을 갖는 공인인증서 유효성 확인 설비 이중화
(2) 이중화된 공인인증서 유효성 확인 설비를 이용한 비상시 실시간 복구 기능
7. 시점확인 설비
7.1 시각수신 기능
7.1.1 시각수신 장치가 시각원천으로부터 시각을 수신하는 기능
가. 인증체계 기술규격 4.3에 따라 시각을 수신하는 기능
나. 천분의 일초까지 시간을 표현하는 기능
다. 시각수신장치에 문제가 발생하였을 경우 이를 관리자에게 알리는 기능
라. 시각원천으로부터 시각수신이 중지되어도 24시간 이상 정확한 시간을 제공하는 기능
7.1.2 시점확인 시스템의 시간을 보정하는 기능
가. 시각수신장치에서 제공하는 시간을 이용하여 시점확인 시스템의 시각을 보정하는 기능
(1) 시점확인 시스템의 시간에 대하여 정확한 시각보정이 이루어진 후 시점확인 서비스가 시작되는 기능
(2) 지속적으로 시각보정기능을 제공하는 기능
나. 시각보정기능에 오류가 발생한 경우 이에 대한 오류 메시지 출력하고, 즉시 시점확인 서비스가 자동으로 중지되는 기능
7.2 시점확인 서비스
7.2.1 전자문서의 시점을 확인할 수 있는 시점확인서버 프로그램
가. 인증체계 기술규격 4.2를 준수하여 시점확인 서비스를 제공하는 기능
나. 5.1.1에 규정한 알고리즘을 이용하여 시점확인 서비스를 제공하는 기능
다. 사용자가 수신한 시점확인토큰에 기록된 시각이 발급기록시간과 일치하는지를 확인하는 기능
라. 전자서명생성정보 및 전자서명검증정보 생성·관리 설비의 전자서명 기능을 이용하여 시점확인 서비스를 제공하는 기능
7.2.2 감사 및 보안 기능
가. 다음의 사항에 대한 감사기록을 생성·보존·백업하는 기능
(1) 시각보정 내용에 대한 기록
(2) 시점확인사실, 시각, 행위자, 신청자
(3) 시각비동기 등 문제발생 사실, 시각
(4) 시점확인 서비스 제공 지연 사실, 시각, 신청자
나. 다음의 위협에 대처할 수 있는 기능
(1) 감사기록의 위·변조 및 삭제 위협에 대처하는 기능
(2) 시점확인 소프트웨어의 위·변조 및 삭제 위협 등에 대처하는 기능
(3) 시점확인 소프트웨어의 불법적인 사용에 대처하는 기능
(가) 운영관리자 및 감사관리자에 대한 역할구분 및 접근통제 기능
(나) 기타관리자가 있을 경우 이에 대한 역할구분 및 접근통제 기능
다. 시점확인 소프트웨어의 형상관리 기능
라. 시점확인 설비의 이중화
(1) 동일한 기능을 갖는 시점 확인 설비 이중화
(2) 이중화된 시점확인 설비를 이용한 비상시 실시간 복구 기능
8. 보호설비
8.1 네트워크·시스템 보안 설비
8.1.1 네트워크 보안 기능
가. 이중화된 네트워크 설비
(1) 두 개 이상의 네트워크 회선
(가) 물리적으로 분리된 두 개 이상의 네트워크 회선을 사용
(나) 서로 다른 두 개 이상의 ISP(또는 IX)로부터의 회선을 사용
(다) 하나의 회선에 장애가 발생하더라도 공인인증업무를 지속적으로 제공할 수 있는 기능
(라) 네트워크 회선을 인증체계에 필요한 용도로 사용
(2) 두 개 이상의 경로(path)를 제공하는 내부망 구성
(가) 하나의 경로에 이상이 발생하더라도 공인인증업무를 지속적으로 제공
(나) 라우터를 이중화하여 사용
나. 네트워크 보안 설비
(1) 침입차단시스템
(가) 침입차단시스템의 이중화
(나) EAL3+등급 이상의 침입차단소프트웨어의 사용
(다) 인증체계에 필요한 접근통제규칙 설정 기능
(라) 침입차단시스템에서 처리한 기록의 저장 및 백업 기능
(2) 침입탐지시스템
(가) EAL3등급 이상의 침입탐지소프트웨어의 사용
(나) 모든 트래픽에 대한 점검 및 침입탐지 기능
(다) 새로운 패턴의 침입유형에 대해 지속적으로 패턴 업데이트를 하는 기능
(라) 침입이 탐지되었을 경우 이를 관리자에게 알리는 기능
다. 네트워크 및 시스템 관리 설비
(1) 실시간으로 네트워크 및 시스템의 상태를 점검을 할 수 있는 시스템 또는 장비
(2) 인증시스템의 프로그램 또는 프로세스 동작 여부를 점검할 수 있는 시스템 또는 장비
라. 기타
(1) 스위치, 라우터 등의 네트워크 장비에 대한 접근제어 기능
(2) 감사기록·보존 기능
(가) 네트워크 장비에서 생성하는 접근·설정·트랩 등에 관한 내역
8.1.2 시스템 보안 기능
가. 안전하고 신뢰성 있는 인증시스템
(1) 관리자별로 계정 분리 설정 및 접근통제
(2) 공인인증업무에 필요한 사용자 등록
(3) 시스템운영 목적에 적합한 소프트웨어만 설치
(4) 시스템운영 목적에 적합한 프로그램 또는 프로세스만 실행
(5) 프로그램에 대한 패치 수행
(6) 운영체제(OS)에 대한 패치 수행
(7) 시스템 및 관련 소프트웨어에 대한 유지보수 계약 체결 여부
나. 인증시스템 운영에 관한 정보에 대한 감사기록을 생성·보존하는 기능
(1) 시스템 시동/정지
(2) 공인인증업무에 필요한 프로그램의 시작/종료
(3) 루트 및 사용자의 로그인/아웃
다. 기타 설비
(1) 공인인증업무에 필요하여 운영하고 있는 웹 서버, 네임 서버, 메일 서버 등에 대하여 8.1.2의 가목 및 나목을 준수
8.2 물리적 보안 설비
8.2.1 인증시스템 운영실
가. 인증시스템을 안전하게 운영할 수 있는 별도의 통제구역 설치
(1) 다음의 인증시스템을 별도의 운영실로 분리
(가) 가입자 등록정보 관리 기능을 제공하는 설비, 공인인증기관 전자서명생성정보 및 전자서명검증정보 관리 기능을 제공하는 설비, 공인인증서 생성·발급 기능을 제공하는 설비와「전자서명인증업무지침」제20조에 따른 부가업무 중 보안서버인증서 등 인증서 생성·발급 기능을 제공하는 설비는 동일 운영실에 설치할 수 있으나 다른 설비와는 별도 운영실로 분리
(나) 인증서 공고기능을 제공하는 설비는 다른 설비와는 별도 운영실로 분리
(다) 인증서 상태확인 기능을 제공하는 설비, 시점확인 기능을 제공하는 설비는 동일 운영실에 설치할 수 있으나 다른 설비와는 별도 운영실로 분리
(2)인증시스템 운영실의 외벽(인증시스템 운영실의 외부와 맞닿은 면)은 외부 침입으로부터 공인인증업무의 제공에 필수적으로 요구되는 인증시스템을 보호할 수 있도록 설계
(가) 외벽 재질은 벽돌 또는 철근 콘크리트로 축조되어 있거나, 철골구조물에 3T 이상의 철판으로 용접
(나) 외벽은 천장, 바닥까지 완전하게 마감
(3) 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽(인증시스템 운영실의 내부 벽면) 설계
(가)인증시스템 운영실의 내벽 및 복도와 맞닿은 내벽의 재질은 벽돌로 축조되어 있거나, 철골구조물에 1.8T 이상의 철판으로 용접 또는 철제 케이지로 용접
(나) 내벽은 천장, 바닥까지 완전하게 마감(소방법상의 환풍구는 허용 가능함)하거나 출입방지 기능이 있는 철제 케이지를 사용
(4) 인증시스템 운영실 출입문의 물리적인 출입통제 기능
(가) 유리문의 경우 강화유리
(나) 일반문의 경우 강화 및 방화기능
나. 강화 유리 창문, 통풍창의 차폐막
(1) 창문이 설치되어 있는 경우
(가) 창문은 강화유리 또는 강화필름으로 코팅한 유리 사용
(나)창문을 통하여 복도 또는 하나의 운영실에서 다른 운영실로 침입할 수 없도록 운영실을 연결하는 창문 및 창문외부의 지지대 제거
(다) 건물 외부에서 내부가 들여다보이지 않도록 코팅 등의 처리
(2) 통풍창이 설치되어 있는 경우
(가) 통풍창의 크기가 사람이 통과할 수 있을 경우 차폐막 설치
8.2.2 다중출입 통제장치
가. 인증시스템 운영실에 대한출입을 통제하고 감사기록 기능을 갖는 출입통제장치
(1) 비인가자가 인증시스템 운영실에 접근할 수 없도록 하는 물리적인 출입통제
(2) 출입통제장치는 다음의 정보에 대한 감사기록
(가) 일련번호
(나) 사건의 유형, 성공/실패 여부 및 실패 시 원인
(다) 일자 및 시각
(라) 행위자
나. 생체특성기반과 소지기반의 신원확인 기능을 결합하여 사용하는 출입통제장치
(1) 생체특성기반 신원확인(지문인식, 홍채인식 등)
(2) 소지기반 신원확인(열쇠, 카드 등)
다.인증시스템 운영실에 접근 시, 다른 사람이 대신 들어가거나 따라 들어가는 행위를 방지하는 설비
라. 정전시에도 출입통제 및 감사기록이 가능하도록 하는 기능
8.2.3 침입감지·경보 및 감시·통제 장치
가. 인증시스템 운영실에 대하여 물리적인 침입을 감지하고 이를 경보하여 주는 장치
(1) 침입감지 및 경보 기능
(가) 운영실내에 진동감지장치, 음향감지장치 등의 침입감지장치 설치
(나) 침입감지장치에 이상이 발생했을 때 이를 감지하는 기능
(다) 침입감지장치가 침입을 감지하였을 경우 관리자에게 즉각 알리는 기능
(2) 침입감지·경보장치와 연결된 침입 발생 위치 확인 기능
나. 인증시스템 운영실을 감시·통제하고 이에 대한 감사기록 기능을 갖는 장치
(1) 침입감시 기능
(가) CCTV 설치
(나) 감시장치는 24시간 실시간으로 감시하는 기능
(다) CCTV시스템은 모든 출입행위에 대하여 녹화하는 기능
(라) CCTV시스템에 대한 접근통제기능
(마) CCTV시스템 관리용 패스워드에 대한 보호기능
(2) 다중출입통제장치로부터의 출입현황정보 확인 기능
(가) 정당한 관리자만이 감사기록을 조회
(나) 시간별, 행위자별, 사건의 종류 등의 다양한 조건에 따라 감사기록 검색 기능
(다) 출입통제시스템 감사기록 저장공간 소진에 대한 대책
(라) 출입통제시스템에 대한 접근통제 기능
(마) 출입통제시스템 관리용 패스워드는 시스템에 암호화하여 저장하는 기능
(바) 감사기록을 백업하는 기능
8.2.4 물리적 잠금장치
가. 물리적 보안 설비 내의 인증시스템에 대한 접근을 물리적으로 통제하는 보안캐비닛
나. 전자서명생성정보, 가입자의 공인인증서 등 중요 자료에 대한 접근을 물리적으로 통제하는 금고 또는 잠금장치가 설치된 캐비닛
다. 잠금장치 열쇠를 별도의 잠금장치가 있는 보관함 또는 캐비닛에 관리
8.2.5 재해 예방설비
가. 화재 발생시 이를 조기에 감지하고 진화하는 설비
(1) 화재 경보장치
(가) 연기감지장치, 온도감지장치 등의 화재경보장치를 설치
(2) 화재 소화장치
(가) 소규모 및 대규모 화재에 대처할 수 있도록 설치
(나) 오동작에 대처할 수 있는 기능
(다) 화재소화장치 동작시 타 시스템에 악영향을 미치지 않는 소화약제 사용
나. 수재 예방설비
(1) 인증시스템, 침입차단시스템 및 네트워크설비 등이 물에 노출되지 않도록 바닥으로부터 이격하여 설치
(2) 콘센트 등 전원접속장치는 바닥으로부터 이격하여 설치
다. 정전 발생시 지속적인 인증업무의 수행이 가능토록 일정기간 전원을 공급하여 주는 전원 공급설비
(1) 자가 발전설비 및 무정전 전원공급장치
(가) 정전발생시 지속적인 인증업무의 수행이 가능하도록 30분이상 전원을 공급해줄 수 있는 장치
(나) 자가발전설비의 경우 추가적인 연료의 보충없이도 2시간이상 발전하여 전원을 공급해 줄 수 있는 기능
라. 온도 및 습도를 일정하게 유지하기 위한 항온항습장치 설치
마. 기타
(1) 물리적 보안 설비 내에 각종 전원장비에 대한 접지시설
(2) 물리적 보안설비 내에 비상시를 대비한 유도등 및 유도표지 설치
9. 가입자 설비
9.1 전자서명생성정보 및 전자서명검증정보 관리 기능
9.1.1 5.1.1에 규정한 전자서명 알고리즘을 사용하여 전자서명생성정보 및 전자서명검증정보를 생성하는 기능
9.1.2 전자서명생성정보를 암호화하여 전자서명생성정보 저장장치에 저장하는 기능
9.1.3 전자서명생성정보를 생성하여 별도의 저장장치에 저장한 후 전자서명생성정보를 즉시 기억장소(memory) 또는 임시파일에서 삭제하는 기능
9.2 공인인증서 관리 기능
9.2.1 공인인증서 관리프로토콜 기능
가. 공인인증서 요청형식 생성 기능은 인증체계 기술규격 3.1을 준수
나. 정보통신망을 통하여 공인인증서 발급, 재발급, 갱신, 효력정지, 폐지의 요청시 인증체계 기술규격 3.2를 준수
9.2.2 공인인증서 저장 기능
가. 가입자 공인인증서 저장과 관련된 사항은 인증체계 기술규격 6.1을 준수
9.2.3 공인인증서 조회기능
가. 공인인증서를 조회하는 기능
나. 공인인증서임을 표시하는 기능은 인증체계 기술규격 1.4를 준수
9.2.4 공인인증기관 전자서명생성정보 및 전자서명검증정보와 공인인증서 전달 기능
가. 공인인증기관 전자서명생성정보 및 전자서명검증정보와 공인인증서 전달 기능은 인증체계 기술규격 6.1을 준수
9.2.5 최상위 인증기관 인증서 신뢰여부 확인기능
가. 최상위 인증기관 인증서 신뢰여부 확인기능은 인증체계 기술규격 6.1을 준수
9.2.6 최상위 인증기관 인증서 갱신에 대한 확인기능
가. 최상위 인증기관 인증서 갱신에 대한 확인기능은 인증체계 기술규격 6.5를 준수
9.3 전자서명 및 공인인증서 검증 기능
9.3.1. 공인인증서 검증 기능
가. 공인인증서 경로구축 기능
나. 공인인증서 상태확인 기능
(1) 공인인증서 효력정지 및 폐지목록 확인 기능
(2) 실시간 인증서 상태확인 서비스 이용 기능은 인증체계 기술규격 5.2를 준수
다. 공인인증서 경로검증 기능은 인증체계 기술규격 5.3을 준수
9.3.2 전자서명 생성 및 검증 기능
9.4 식별번호를 이용한 본인확인 기능
9.4.1 식별번호를 이용한 본인확인 기능은 인증체계 기술규격 1.5를 준수
9.5 시점확인 기능
9.5.1 시점확인 서비스를 요청하고 응답을 저장, 조회할 수 있는 기능
가. 시점확인 서비스를 요청하는 기능
(1) 시점확인 할 문서에 대한 해쉬값을 생성
(2) 인증체계 기술규격 4.2를 준수하는 시점확인 요청형식 생성 기능
나. 해당 요청에 대한 시점확인 토큰을 수신하는 기능
다. 시점확인토큰을 검증하는 기능
라. 원본 파일과 시점확인 토큰을 보관, 검색할 수 있는 기능
(1) 시점확인토큰을 원본 파일과 연결하여 검색할 수 있는 기능
9.6 가입자 소프트웨어 형상관리
9.6.1 공인인증기관이 제공하는 가입자 소프트웨어 이용시 소프트웨어 버전번호를 가입자가 확인할 수 있는 기능
9.6.2 가입자 소프트웨어 변경 시 가입자에게 변경된 소프트웨어를 배포하는 기능
9.6.3 가입자 소프트웨어의 위·변조 및 삭제에 대처하는 기능
10. 공인인증기관 전자서명생성정보 및 전자서명검증정보 관리에 관한 사항
10.1 공인인증기관의 전자서명생성정보 및 전자서명검증정보에 대한 생성·백업·파기에 관한 사항
10.2 공인인증기관의 전자서명생성정보 분실 및 훼손시 대응에 관한 사항
10.3 공인인증기관의 전자서명생성정보 및 전자서명검증정보 관리대장 비치에 관한 사항
11. 공인인증서 관리에 관한 사항
11.1 공인인증서 발급을 위한 가입자 등록절차 및 제출서류에 관한 사항
11.2 가입자 등록정보 및 제출서류의 관리에 관한 사항
11.3 공인인증서의 발급·재발급·폐지·유효기간 갱신 및 공고에 관한 사항
11.4 공인인증서의 효력정지 및 폐지정보의 생성·공고에 관한 사항
12. 시설 및 장비의 관리 등에 관한 사항
12.1 소프트웨어·시스템·네트워크·물리적 설비 등의 접근통제에 관한 사항
12.2 소프트웨어·시스템·네트워크·물리적 설비 등의 변경 및 유지보수에 관한 사항
12.3 감사로그의 기록·백업·관리에 관한 사항
12.4 각종 관리대장 마련에 관한 사항
가. 스마트카드 등 하드웨어 토큰 관리대장
나. 패스워드 관리대장
다. 열쇠 관리대장
라. 미디어 관리대장
마. (외부인) 출입통제 관리대장
13. 재해복구에 관한 사항
13.1 장애 및 재해발생 시 비상계획
가. 비상연락망
나. 비상대응 절차
다. 비상대응 매뉴얼
13.2 운영데이터, 소프트웨어, 시스템, 설비에 대한 백업 계획
가. 백업 주기, 절차 및 장소
나. 백업이 필요한 자원 정의
다. 자원에 대한 백업의 우선순위 및 책임자
라. 원격지 백업
13.3 운영데이터, 소프트웨어, 시스템 및 설비에 대한 복구 계획
가. 자원별 복구의 우선순위, 절차 및 복구 책임자
부칙
①(시행일) 이 규정은 고시한 날부터 시행한다.
②(재검토기한)「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 규정 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 규정의 폐지, 개정 등의 조치를 하여야 하는 기한은 2012년 8월 24일까지로 한다.
①(시행일) 이 규정은 2012년 8월 25일부터 시행한다.
②(재검토기한)「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 규정 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 규정의 폐지, 개정 등의 조치를 하여야 하는 기한은 2015년 8월 24일까지로 한다.
①(시행일) 이 규정은 발령일부터 시행한다.
②(재검토기한)「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 규정 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 규정의 폐지, 개정 등의 조치를 하여야 하는 기한은 2015년 8월 24일까지로 한다.
①(시행일) 이 규정은 발령일부터 시행한다.
②(재검토기한)「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 규정 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 규정의 폐지, 개정 등의 조치를 하여야 하는 기한은 2017년 4월 23일까지로 한다.
별표 서식 정보
댓글 없음:
댓글 쓰기