전자서명 인증업무준칙

우리WON인증 서비스 전자서명인증업무준칙

(Certification Practice Statement)

[버전 1.5]

제∙개정 이력


개정번호 제∙개정 페이지 및 내용 제∙개정 일자
1.0 신규 제정 2022/11/21
1.1
  • 1.2 문서의 명칭 변경
  • 1.4.1 개인사업자 삭제
  • 1.6 가입자/이용자 정의 추가, 개인사업자 삭제, 서버 명칭 통일
  • 3.1 개인사업자 삭제
  • 3.2.2 인증서 명칭 통일
  • 3.2.3 개인사업자 삭제
  • 4.1.1 개인사업자 삭제, 인증서 명칭 통일
  • 4.2.1 인증서 명칭 통일
  • 4.3.1 생체정보 선택사항 명시, 서버 명칭 통일
  • 4.3.2 개인사업자 삭제
  • 4.6 개인사업자 삭제
  • 4.9.2.1 인증서 명칭 통일
  • 7.1.3.2 개인사업자 삭제
  • 9.6 인증서 명칭 통일
  • 9.11 전자서명생성정보 주체 명시
2023/03/07
1.2
  • 1.5.4 항목 오기 수정
  • 2.2 웹사이트 주소 현행화
  • 5.2.1 문서 명칭 현행화
  • 5.2.2 문서 명칭 현행화
  • 5.2.3 신원확인 방법 현행화
  • 9.4.1 웹사이트 주소 현행화
 2023/06/13
1.3
  • 1.3 전자서명인증체계 관련자 변경
  • 1.3.2 단어 오기 수정
  • 1.6 용어 삭제 및 변경
  • 3.2.2 인증서 명칭 통일
  • 3.4 인증서 폐지 프로세스 추가
  • 4.2.1 인증서 명칭 통일
  • 4.2.2 인증서 발급 제한 사유 구체적 명시
  • 4.3.1 용어 수정
  • 4.4 인증서 수령 현행화
  • 4.7 인증서 재발급 현행화
  • 4.9.2 인증서 폐지 요건 예시 추가
  • 4.9.2.3 인증서 폐지 프로세스 추가, 인증서 폐지 요건 예시 추가
  • 5.2 업무 분장 현행화
  • 5.2.2 업무 분리 원칙 현행화
  • 8.1 감사 및 평가 현행화
  • 8.2 평가자의 신원, 자격 현행화
  • 8.3 내부감사 현행화
  • 8.4 평가 내용 현행화
  • 8.5 부적합 사항에 대한 조치 현행화
  • 8.6 결과 보고 현행화
  • 9.2 손해배상 현행화
  • 9.4 개인정보처리방침 웹사이트 링크 변경
 2024/01/09
1.4
  • 1.1.2 인증서 재발급 삭제
  • 1.3.5 인증서 재발급 삭제
  • 1.4.1 인증서 발급대상 현행화
  • 1.5.2 준칙의 담당부서 주소 현행화
  • 1.5.5 준칙의 승인 절차 현행화
  • 3.2.2 신분증 확인 추가
  • 4.1.1 신청 주체 현행화
  • 4.2.1 신원확인 방법 현행화
  • 4.2.2 발급신청 제한대상 현행화
  • 4.7 용어 수정
  • 4.9.2.1 용어 수정
  • 4.9.2.3 인증서 폐지 방법 및 절차 현행화
  • 5.2.1 인증서 재발급 삭제
  • 5.4.1 인증서 재발급 삭제
  • 6.8 시점확인서비스 현행화
  • 8.3 조직개편 반영
  • 8.6 조직개편 반영
 2024/02/21
1.5
  • 3.2.2 비대면실명확인 신분증 촬영 대상 확대 반영 및 안면인식 확인 추가 반영
  • 4.9.2.3 고객센터를 통한 폐지 시 고객 통지 절차 현행화
 2024/09/04

1. 소개

1.1 개요

1.1.1 준칙의 배경 및 목적

  • 본 전자서명인증업무준칙(이하 ‘준칙’이라 함)은 전자서명법(이하’법’이라 함), 동법 시행령(이하 ‘시행령’이라 함), 동법 시행규칙(이하 ‘시행규칙’이라 함) 및 과학기술정보통신부 전자서명인증업무 운영기준(이하 ‘운영기준’이라 함)에 따라 주식회사 우리은행(이하 ‘우리은행’이라 함)이 인증서의 발급, 관리 및 인증시스템을 운영함에 있어 필요한 사항을 정하며, 우리은행과 가입자 등 전자서명인증업무 관련 당사자의 책임과 의무사항의 규정을 목적으로 합니다.
  • 본 준칙은 우리은행이 제공하는 전자서명인증서비스인 우리WON인증 서비스(이하 ‘인증서비스’라 함)와 관련하여 우리은행 어플리케이션(이하 ‘앱’이라 함)을 통해 발급하는 우리WON인증서(이하 ‘인증서’라 함)와 관련된 전자서명인증업무를 대상으로 합니다.
  • 본 준칙은 우리은행을 비롯한 전자서명인증업무 관련 당사자의 책임과 의무사항에 대한 규정을 포함합니다.

1.1.2 전자서명인증체계 소개

  • 우리은행은 전자서명인증체계의 안전성, 신뢰성 있는 운영을 위한 정책의 수립, 시행하는 기관으로서 최상위인증기관(ROOT CA), 인증기관(CA)으로 전자서명인증체계를 구성하여 관리합니다.
  • 1. 우리은행 최상위 인증기관(ROOT CA)
    • - 안전한 전자서명 인증관리체계 구축 및 운영
    • - 전자서명 인증기술의 개발 및 보급
    • - 인증기관 검사 및 안전한 운영지원
    • - 인증기관 전자서명생성정보에 대한 인증 등 인증업무 수행
    • - 오프라인으로 관리 운영
  • 2. 우리은행 인증기관(CA)
    • - 가입자의 신원확인
    • - 가입자 인증서 발급, 폐지(삭제) 업무
    • - 인증서 유효성 확인
    • - 기타 인증기관으로서 수행해야 할 업무

1.2 문서의 명칭

  • 본 문서의 명칭은 『우리WON인증 서비스 전자서명인증업무준칙』(이하 ‘인증업무준칙’) 이라 합니다.

1.3 전자서명인증체계 관련자

1.3.1 전자서명인증사업자

  • 전자서명인증업무를 하는 자를 말합니다.

1.3.2 우리은행

  • 우리은행은 전자서명인증사업자로서 다음과 같은 업무를 수행합니다.
    • 1. 역할
      • I. 인증서비스 제공과 관련된 가입자의 신원확인 업무
      • II. 인증서 발급·갱신·폐지(삭제) 등 업무
      • III. 인증서 관련 정보 공고
      • IV. 실시간 인증서 유효성 확인(OCSP)
      • V. 기타 인증서비스와 관련된 업무
    • 2. 책임 및 의무사항
      • I. 우리은행은 정당한 사유없이 전자서명인증 서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않습니다.
      • II. 우리은행은 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 홈페이지에 공고하여 그 사실을 확인할 수 있도록 합니다.
        • • 전자서명인증업무 운영기준 준수사실 인정 또는 취소
        • • 전자서명인증업무 휴지·정지 또는 폐지
        • • 전자서명인증업무의 양도·양수·합병 등
        • • 인증업무준칙의 제·개정
        • • 기타 전자서명인증업무 수행 관련 정보 등
      • III. 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.
      • IV. 우리은행은 인증기관으로서 안전하게 생성한 전자서명생성정보를 발급한 가입자의 인증서에 대해 그 내용이 신청 등록된 사실과 오차가 없다는 것을 확인합니다.
      • V. 우리은행은 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지에 즉시 공고하며, 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지(삭제)하고 이를 가입자에게 통보합니다. 또한 전자서명인증업무의 신뢰성, 유효성을 확보할 수 있는 대책을 강구합니다.
      • VI. 우리은행은 신뢰할 수 있는 인증을 획득한 암호화 모듈 및 보안 기술규격을 적용하는 것을 원칙으로 하며, 암호알고리즘, 암호모듈 및 키 운영, 암호알고리즘이 적용되는 메커니즘 등과 같은 전자서명인증시스템 암호 운영 관련 전반에서 가입자 또는 이용자에게 손해가 발생하였을 경우 법 제20조(손해배상책임)에 따라 그 책임을 부담합니다.

1.3.3 우리에프아이에스

  • 우리에프아이에스는 우리은행과 “전산업무 아웃소싱 기본계약서”에 따라 우리은행의 전산업무를 수행하는 기관으로 우리은행의 전산업무 지침에 준하여 인증서비스와 관련된 개발 및 시스템 운영업무를 수행합니다.

1.3.4 등록대행기관

  • 우리은행은 인증서 발급, 신원확인 업무를 등록대행기관에 위임하지 않고 직접 수행합니다.

1.3.5 가입자

  • 1. 가입자란 우리은행으로부터 인증서를 발급받거나 받으려는 고객을 말합니다.
  • 2. 가입자는 다음과 같은 책임과 의무를 가집니다.
  • I. 정확한 정보 제공: 가입자는 다음 사항에 대하여 정확한 정보를 우리은행에 제공하여야 합니다. 또한, 우리은행이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
    • • 인증서 발급 신청
    • • 인증서의 폐지(삭제) 신청
    • • 가입자 정보 변경 등
  • II. 인증서 용도 내 사용: 가입자는 정당한 이용범위 및 용도에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
  • III. 전자서명생성정보의 보호: 가입자는 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며, 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 보관·관리하여야 합니다.
  • IV. 전자서명생성정보 안전조치: 가입자는 전자서명생성정보가 분실·훼손 또는 도난·유출되었거나 안전하지 않다고 인지하는 경우, 지체없이 우리은행에 관련 사실을 통보하여 우리은행이 해당 인증서를 폐지(삭제) 할 수 있도록 협조하여야 합니다.

1.3.6 이용자(이용기관)

  • 1. 이용자란 우리은행이 제공하는 인증서비스를 이용하는 자를 말합니다.
  • 2. 이용자는 다음과 같은 책임과 의무를 가집니다.
  • I. 인증서의 용도 내 사용: 이용자는 우리은행이 가입자에게 발급한 인증서의 이용목적 및 이용 범위(제한 포함)를 확인 및 이해하여야 합니다.
  • II. 인증서의 유효성 확인: 이용자는 인증서 기재사항 등에 의하여 전자서명의 진위여부를 확인하기 위하여 다음의 조치를 취할 수 있습니다.
    • • 인증서 유효 여부의 확인
    • • 인증서의 만료 또는 폐지(삭제) 여부의 확인
    • • 인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항의 확인

1.4 인증서 종류

1.4.1 인증서 이용범위 및 용도

  • 우리WON인증서에 대한 발급대상, 용도, 유효기간은 다음과 같습니다.
구분 발급 대상 용도 유효기간
개인 일반 주민등록번호를 보유한 내국인

외국인등록번호를 보유한 외국인
  • 본인인증 및 전자서명이 필요한 전자거래 업무
  • - 가입자의 신원확인
  • - 정부 및 공공기관업무
  • - 사업자간 계약 또는 합의된 경우
 3년

1.4.2 인증서 이용제한

  • 우리은행이 발급한 인증서는 이용 범위 또는 용도 내에서만 이용해야 합니다. 인증서를 이용 범위 또는 용도에 벗어나 부정하게 사용할 수 없으며, 유효기간이 만료 또는 폐지(삭제)된 인증서를 사용하여서는 안됩니다.

1.5 준칙의 관리

1.5.1 준칙의 관리조직

  • 우리은행은 인증업무준칙에 대한 수립 및 제·개정 업무 등 전반적인 관리를 담당합니다.

1.5.2 준칙의 담당부서

  • 우리은행 인증업무에 대한 담당부서 및 연락처는 다음과 같습니다.
    • 1. 부서: 개인금융플랫폼부 전자서명인증사업팀
    • 2. 이메일: wooriauth@wooribank.com
    • 3. 주소: 서울시 중구 소공로 48, 우리금융디지털타워 10F
    • 4. 전화번호: 02) 2002-3000
    • 5. 팩스: 0505-001-6290

1.5.3 인증업무준칙 개정 사유

  • 우리은행의 인증업무준칙 제정 이후 다음과 같은 경우 개정할 수 있습니다.
    • 1. 기술적 변경이 필요한 경우
    • 2. 절차적 변경이 필요한 경우
    • 3. 기타 인증업무준칙의 변경이 필요한 경우

1.5.4 인증업무준칙 개정 관리

  • 우리은행의 인증업무준칙 제정 이후 기술적 또는 절차적인 변경 등 인증업무준칙의 변경이 필요하다고 판단한 경우 개정할 수 있습니다. 우리은행의 인증업무준칙의 제·개정은 우리은행 인증업무 관리책임자의 승인을 받아 개정하며, 아래의 내용을 포함한 개정 관련 기록을 유지 및 관리 합니다.
    • 1. 인증업무준칙의 버전
    • 2. 적용 업무 및 범위의 개요
    • 3. 인증업무준칙의 제·개정 기록(기존 인증업무준칙의 규정, 제·개정 내용 및 사유 등)

1.5.5 준칙의 승인 절차

  • 우리은행은 인증업무준칙을 개정할 수 있고, 변경사항이 있으면 우리은행 홈페이지를 통해 즉시 공고합니다. 우리은행이 인증업무준칙을 개정하면서 가입자에게 중대한 영향을 미칠 수 있다고 판단되는 경우에는 가입자에게 사전에 개정 사실을 알릴 수 있습니다. 변경된 준칙의 공고일을 포함하여 공고 후 30일 내에 서면 등으로 이의를 제기하지 아니한 가입자는 변경된 준칙에 동의한 것으로 봅니다.

1.6 정의 및 약어

  • 본 인증업무준칙에 별도로 정의되지 않은 용어 및 약어는 전자서명법 및 그 하위 법령에 의거하여 정의 및 해석됩니다.
    • 1. "전자문서"란 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말합니다.
    • 2. "전자서명"이란 다음 각 목의 사항을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합한 전자적 형태의 정보를 말합니다.
      • I. 서명자의 신원
      • II. 서명자가 해당 전자문서에 서명하였다는 사실
    • 3. "전자서명생성정보(개인키)"란 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
    • 4. "전자서명검증정보(공개키)"란 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
    • 5. "전자서명인증"이란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말합니다.
    • 6. "인증서"란 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말합니다.
    • 7. “인증서비스”란 우리은행이 제공하는 전자서명인증서비스를 말합니다.
    • 8. "전자서명인증업무"란 전자서명인증, 전자서명인증 관련 기록의 관리 등 전자서명인증서비스를 제공하는 업무를 말합니다.
    • 9. “전자서명인증사업자”란 전자서명인증업무를 하는 자를 말합니다..
    • 10. “인정사업자”란 법 제8조에 따라 운영기준 준수 사실의 인정을 받은 전자서명인증사업자를 말합니다.
    • 11. “가입자”란 전자서명생성정보에 대하여 전자서명인증사업자로부터 전자서명인증을 받은 자를 말합니다.
    • 12. “이용자(이용기관)”란 전자서명인증사업자가 제공하는 전자서명인증서비스를 이용하는 자를 말합니다.
    • 13. "전자서명인증시스템"이란 전자서명인증서비스를 제공하기 위해 운영하는 다음과 같은 시스템을 말합니다.
      • I. 가입자의 등록정보를 관리하기 위한 시스템
      • II. 전자서명생성정보를 생성·관리하기 위한 시스템
      • III. 인증서를 생성·발급·관리하기 위한 시스템
      • IV. 기타 전자서명인증업무의 수행과 관련된 시스템 및 설비
    • 14. “키 쌍”이란 전자서명생성정보 (개인키)와 이에 대응하는 전자서명검증정보 (공개키)를 말합니다.
      • I. 전자서명검증정보(공개키) (Public Key): 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말합니다.
      • II. 전자서명생성정보(개인키) (Private Key): 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말합니다.
    • 15. “주체(Subject)”란 인증서에 이름이 지정된 개인을 말합니다.
    • 16. “객체식별자(OID: Object Identifier)”란 인증서 내 가입자(DN: Distinguished Name), 버전 등 기본정보 외에 알고리즘, 인증서 정책, 키용도, 인증서 속성 등이 포함되며, 정보들이 표현하는 대상을 객체(Object)라 합니다. 이러한 객체들이 유일하게 중복되지 않고 식별하기 위해서는 각 객체에 고유번호를 부여하는 방법이 사용되며, 이것을 객체식별자라 합니다.
    • 17. "가입자등록정보"란 인증서비스에 가입하려는 자가 인증사업자에게 제공한 전자적 정보를 말합니다.
    • 18. “DN(Distinguished Name)”이란 인증서 발급자 및 인증서 소유자를 확인하기 위해 사용되는 이름 형식을 말합니다.
    • 19. “온라인 인증서 상태 프로토콜(OCSP, Online Certificate Status Protocol)”란 우리은행의 권한 하에 운영되고 인증서 상태 요청을 처리하기 위한 온라인 소프트웨어 응용프로그램을 말합니다.
    • 20. “인증서 폐지(삭제)”란 가입자의 신청 또는 우리은행 전자서명인증업무 수행의 안전성, 보안성, 신뢰성 등을 위하여 부득이한 사유로 인해 인증서 효력을 강제로 종료하는 것을 말합니다.
    • 21. “우리은행 웹 보관서버(CERT 서버)”란 가입자의 인증서와 전자서명생성정보를 암호화하여 보관하는 시스템을 말합니다.

2. 전자서명인증업무 관련 정보의 공고

2.1 공고설비

  • 1. 우리은행은 인증업무준칙을 포함하여 전자서명인증서비스 관련 정보를 누구든지 적시에 정확한 사실을 확인할 수 있도록 홈페이지 및 공고설비를 안전하게 운영 관리합니다.
  • 2. 우리은행은 인증서, 인증서 유효성 확인 정보 및 폐지 목록 등 전자서명인증업무와 관련된 정보를 인증관리체계에 의하여 이중화 구성(Active-Active)으로 안정적으로 운영 및 관리하고, 누구든지 그 사실을 항상 확인할 수 있도록 공고합니다.
  • 3. 우리은행의 최상위인증기관 인증서와 인증서 지문값을 우리은행 인증센터 홈페이지에 게시하여 언제든지 인증서의 신뢰여부를 확인할 수 있도록 합니다.

2.2 공고방법

  • 우리은행은 전자서명인증업무 관련 정보를 처리한 즉시 공고합니다. 우리은행은 인증서 발급 및 관리 등에 관련된 정보를 누구든지 그 사실을 항상 확인할 수 있도록 웹사이트를 통해 공고합니다.
    • 1. 우리WON인증 서비스 전자서명인증업무준칙:
      https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
    • 2. 우리WON인증 서비스 이용약관:
      https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib
    • 3. 온라인 인증서 상태 프로토콜:
      http://ocsp.wooribank.com:9020/OCSPServer
    • 4. 가입자 인증서 폐지목록:
      ldap://ldap.wooribank.com:389
    • 5. CA 인증서 폐지목록:
      ldap://ldap.wooribank.com:389

2.3 공고 주기

  • 1. 우리은행은 전자서명인증업무 운영준칙의 개정 승인일로부터 7일 이내에 개정된 준칙을 홈페이지에 게시합니다.
  • 2. 우리은행은 인증서 유효성 상태 정보를 실시간으로 갱신합니다.
  • 3. 우리은행은 인증서 폐지 목록을 매일 1회 이상 주기적으로 갱신합니다.

2.4 공고된 정보에 대한 책임

  • 우리은행은 인증업무준칙 및 서비스 이용약관 등에 관련된 정보를 누구든지 항상 확인할 수 있도록 홈페이지에 게시하고, 기밀정보가 공개되지 않고 변경되지 않도록 보호해야 합니다.

3. 신원확인

3.1 가입자 이름 표시 방법

  • 우리은행 가입자 인증서는 X.509 표준을 준수하며 DN(Distinguished Name)을 이용하여 서로 구분될 수 있습니다. 개인 인증서의 경우 가입자 이름과 함께 발급 요청 시간 및 6자리 랜덤숫자를 해쉬한 SerialNumber 값을 CN(Common Name)필드에 기술하여 유일성을 보장합니다.
    • 1. 개인 인증서
      • • CN=가입자 이름,
      • SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자)
      • • OU=Individual
      • • OU=WooriBank Cert
      • • OU=WooriBank
      • • C=KR

3.2 인증서 신규발급 시 신원확인

3.2.1 전자서명생성정보의 소유증명 방법

  • 가입자는 자신의 전자서명생성정보로 전자서명 한 정보를 우리은행에 제출하고 우리은행은 그 전자서명 한 정보를 가입자의 전자서명검증정보로 검증하는 절차를 거쳐 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.

3.2.2 개인 신원확인에 의한 발급

  • 개인이 우리WON인증서를 발급하는 경우 다음의 방법을 이용하여 신원을 확인합니다.
    • 1. 휴대폰 본인확인: 본인확인기관인 통신사를 통해 가입신청자 본인 명의 휴대폰을 이용하여 신원확인을 진행합니다.
    • 2. 신분증 확인
      • I. 비대면 실명확인 : 가입신청자는 실명확인증표(주민등록증, 운전면허증, 여권, 외국인등록증, 영주증, 외국국적동포 국내거소신고증)를 촬영하고 진위확인을 진행합니다.
      • II. 영업점 실명확인 : 영업점 창구에서 대면으로 실명확인증표를 확인합니다. 이후 발급받은 1회용 인증번호를 앱에 입력하는 것으로 신원확인을 합니다. 단, 만 14세 미만 미성년자 가입신청자는 법정대리인의 동의에 의해서만 발급신청이 가능하며, 대리인의 신원확인을 위해 가족관계 확인서류 및 기본증명서(미성년자 가입신청자 기준)를 징구합니다. 외국인등록번호를 보유한 외국인 가입신청자는 외국인등록증, 영주증, 외국국적동포국내거소신고증을 통해 대면으로 신원확인을 진행합니다.
    • 3. 안면인식 확인 : 가입신청자는 본인 명의 휴대전화를 통해 안면인식 촬영을 진행합니다. 우리은행은 가입신청자가 진행한 안면인식 촬영본과 실명확인증표의 이미지를 비교하여 신원확인을 진행합니다.
    • 4. 계좌소유인증: 가입신청자가 다음 중 하나를 선택하여 진행합니다.
      • I. 당행계좌인증: 가입신청자의 본인명의 당행 입출금 계좌를 입력하고 당행 계좌에 대한 계좌 비밀번호 입력으로 신원확인을 진행합니다.
      • II. 타행계좌인증: 가입신청자의 본인명의 타행 입출금 계좌를 이용하여 타행 본인명의 계좌를 입력하고 해당 계좌 비밀번호를 입력한 후에 계좌에 1원을 송금하고 타행 계좌비밀번호 일치 여부를 동시에 인증합니다. 이때 우리은행이 생성한 ‘우리’ 뒤의 4자리 숫자로 된 인증코드를 계좌의 적요란을 확인하여 인증코드를 입력합니다. 단, 타행 계좌비밀번호가 일치할 경우 인증코드를 입력하지 않고 가입신청자를 확인합니다.

3.2.3 미확인 가입자 정보

  • 우리은행은 가입자 정보가 확인되지 않은 경우 인증서를 발급하지 않습니다.

3.2.4 권한 검증

  • 가입자는 인증서를 신청할 권한이 있으며 우리은행은 인증서가 가입자의 인증서 신청 내용과 정확한지 검증하여야 하고, 신청 과정이 성공적으로 완료되었는지 합리적 수준에서 검증할 수 있는 통제력을 유지합니다.

3.3 인증서 갱신발급, 재발급 및 변경 시, 신원확인

3.3.1 인증서 갱신발급 시 신원확인

  • 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 신원확인을 합니다.

3.3.2 인증서 폐지 후 재발급 시 신원확인(재발급 및 변경 시)

  • 가입자가 기존 인증서 폐지(삭제) 후 재발급 및 변경 시 본 준칙 “3.2 인증서 신규발급 시 신원확인”과 동일한 절차를 통해 신원확인을 진행합니다

3.4 인증서 효력정지·효력회복·폐지 시 신원확인

  • 인증서 폐지(삭제) 시 가입자는 앱을 통해 폐지(삭제) 신청하여 본 준칙 “4.9.2.3 인증서 폐지 방법 및 절차”에 따라 신원확인 후 인증서를 직접 삭제하여 폐지할 수 있습니다. 앱을 통한 폐지(삭제) 신청이 불가한 경우에는 우리은행 고객센터(1588-5000) 또는 영업점 방문을 통해 신원확인 후 폐지(삭제) 신청이 가능합니다. 우리은행은 인증서 효력정지·효력회복 서비스는 제공하지 않습니다.

4. 인증서 관리

4.1 인증서 발급 신청

4.1.1 신청 주체

  • 주민등록번호를 가진 대한민국 국민과 외국인등록번호를 가진 외국인은 우리WON인증서 발급을 신청할 수 있습니다. 단, 만 14세 미만의 미성년자는 개인정보보호법 제22조의2에 근거하여 법정대리인의 동의를 받아야 합니다.

4.1.2 신청 절차

  • 1. 가입신청자는 앱을 통해 인증서 발급을 신청합니다.
  • 2. 가입신청자는 이용약관 및 개인정보 수집 이용에 동의합니다.
  • 3. 가입신청자는 본 준칙 “3.2 인증서 신규발급 시 신원확인” 절차를 준용하여 신청합니다.
  • 4. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부 확인을 통하여 전자서명생성정보의 소유자가 가입신청자 본인임을 확인합니다.

4.2 인증서 발급 신청 처리

4.2.1 신원확인 및 인증 수행

  • 우리WON인증서를 발급받는 경우 신원확인의 방법은 다음과 같습니다.
    • 1. 가입신청자는 이용약관 및 개인정보 수집이용에 동의합니다.
    • 2. 은행이 정하는 방식으로 가입신청자의 신원을 확인합니다. 신원확인 방법은 “3.2.2 개인 신원확인에 의한 발급”에 정한 방법을 준용합니다.
    • 3. 우리은행은 가입신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치여부 확인을 통하여 전자서명생성정보의 소유자가 신청자 본인임을 확인합니다.

4.2.2 인증서 발급 신청에 대한 승인 및 거절

  • 다음에 해당하는 경우, 발급 신청이 제한됩니다.
    • • 신청 내용이 허위라고 판단되는 경우
    • • 우리은행이 제시하는 신원확인 절차를 완료하지 못한 경우
    • • 거짓이나 그 밖의 부정한 방법으로 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하는 경우
    • • 인증서를 발급 또는 사용할 수 없는 기기 환경에 해당하는 경우
      • - IOS의 Keychain 또는 Android의 Keystore를 지원하지 않는 기기
      • - 우리은행이 설정한 최소 버전 미만의 앱을 사용함
      • - OS Custom 또는 앱 위 변조가 탐지됨

4.2.3 인증서 신청 처리 소요시간

  • 가입신청자의 발급 신청은 가입신청자가 필요한 절차를 완료한 즉시 처리됩니다.

4.3 인증서 발급 절차 및 보호조치

4.3.1 인증서 발급 절차

  • 우리은행 가입자의 모든 정보는 암호화된 정보통신망을 통해 전송됩니다.
    • 1. 가입자의 단말기 내에서 키쌍이 생성되고, 발급 신청 시 부여받은 인가코드, 참조번호, 전자서명검증정보가 포함된 발급신청내역을 전송합니다. 이때 전자서명검증정보에 해당하는 전자서명생성정보의 소유를 증명하기 위해서 발급신청내역에 전자서명값을 포함합니다.
    • 2. 인증기관은 발급신청내역에서 발급 신청 시 부여한 인가코드, 참조번호를 확인하고 전자서명검증정보를 이용하여 전자서명값을 검증한 후 인증서를 이용하기 위한 PIN, 패턴 및 생체정보(생체정보 등록은 선택사항입니다)를 등록하고 인증서를 발급하여 전송합니다.
    • 3. 가입자의 단말기에 전송 받은 인증서를 저장하고, 우리은행 웹 보관서버(CERT 서버)에 인증서와 전자서명생성정보를 암호화하여 안전하게 저장합니다.

4.3.2 인증서 발급 보호조치

  • 1. 가입자는 우리은행이 제공하는 앱을 이용하여 우리은행이 생성한 인증서를 안전하게 받습니다.
  • 2. 우리은행은 앱을 통해 가입 신청자가 제출한 전자서명검증정보의 유일성과 정보의 합치 여부의 확인을 통하여 전자서명생성정보의 소유자를 확인합니다.
  • 3. 우리은행이 발급하는 인증서의 가입자 CN을 구성하는 정보는 개인 인증서의 경우 “가입자 이름”으로 구성하며, 신규 인증서 발급 전 동일 DN으로 발급된 인증서는 폐지(삭제)하고 신규로 발급하여 인증서 DN의 유일성을 보장합니다.

4.4 인증서 수령

  • 가입신청자는 우리은행이 제공하는 앱을 통해 우리은행이 생성한 인증서를 수령한 후 안전하게 저장합니다.

4.5 인증서 이용

  • 우리은행이 발급한 인증서는 본 준칙 “1.4 인증서 종류”에 따라 사용할 수 있습니다. 발급한 인증서 사용은 정당한 권한을 가진 가입자가 인증서의 이용 범위 및 발급 용도에 맞게 인증서를 사용하는 것을 말합니다. 그러하지 아니한 경우 우리은행은 기 발급된 인증서의 사용을 제한할 수 있습니다.

4.6 인증서 갱신발급

  • 우리은행은 개인 인증서의 경우 가입자 인증서 발급 2년 경과 후 유효기간 만료까지 가입자가 등록한 인증서 비밀번호(PIN, 패턴 혹은 생체정보)를 통해 인증서 인증에 성공하면 유효기간이 3년인 동일한 종류의 새로운 인증서를 발급합니다.
  • 유효기간 만료 1개월 전까지 가입자의 인증서 이용이 없다면 인증서 갱신에 대한 알림을 주게 됩니다.
    • 1. 개인 인증서 이용에 따른 유효기간 갱신 발급
      • I. 가입자는 앱 또는 웹을 통하여 인증서를 이용(로그인 및 전자서명) 합니다.
      • II. 우리은행은 가입자의 인증서 유효기간이 만료 1년 미만일 경우에는 가입자의 전자서명생성정보를 이용하여 갱신 요청 정보를 전자서명 합니다.
      • III. 우리은행은 인증서를 갱신하고 그 사실을 가입자가 확인할 수 있도록 합니다.

4.7 인증서 재발급

  • 우리은행은 인증서 재발급을 제공하지 않습니다. 인증서의 유효기간 경과, 인증서 비밀번호 분실, 기기 변경 시 신규발급 절차를 진행해야 합니다.

4.8 인증서 변경

  • 우리은행은 인증서 변경을 제공하지 않습니다. 가입자의 등록정보를 변경 희망하는 경우, 해당 가입자는 기존 인증서를 폐지(삭제)하고 인증서를 신규로 발급을 받아야합니다.

4.9 인증서 효력정지·효력회복·폐지

4.9.1 인증서 효력 정지·효력회복

  • 우리은행은 인증서 효력정지·효력회복 서비스를 제공하지 않습니다.

4.9.2 인증서 폐지

  4.9.2.1 인증서 폐지 요건

  • 우리은행은 다음 사유 발생 시 해당 인증서를 폐지(삭제)합니다.
    • 1. 가입자가 인증서 폐지(삭제)를 신청한 경우
    • 2. 가입자의 사망 등의 사유가 발생한 경우
    • 3. 가입자의 개인정보 변경으로 등록정보와 불일치함을 우리은행에서 인지한 경우
    • 4. 인증서의 유효기간이 경과된 경우
    • 5. 가입자가 우리WON인증서를 1년 동안 이용하지 않은 경우
    • 6. 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실 또는 이용한 사실을 인지하였거나, 그 가능성을 객관적으로 인지한 경우
    • 7. 가입자의 전자서명생성정보가 분실 · 훼손 또는 도난 · 유출된 사실을 인지한 경우
    • 8. 가입자가 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 위반한 경우
    • 9. 가입자의 신원확인이 적법하게 이루어지지 않았음을 우리은행이 인지한 경우

  4.9.2.2 인증서 폐지 주체

  • 인증서 가입자와 동일인이라는 사실을 확인하는 절차를 수행한 후 폐지(삭제)를 신청할 수 있습니다.

  4.9.2.3 인증서 폐지 방법 및 절차

  • 우리은행은 다음과 같은 인증서 폐지(삭제) 요청이 있을 경우 즉시 인증서를 폐지합니다.
    • 가. 가입자의 신청에 따른 폐지(삭제)
      • 1. 앱을 통한 폐지(삭제)
        • I. 가입자는 앱의 인증서 메뉴에서 삭제버튼을 선택합니다.
        • II. 가입자의 신원을 인증서 비밀번호로 확인합니다.
        • III. 가입자의 전자서명생성정보를 이용하여 폐지(삭제) 요청 정보를 전자서명 합니다.
        • IV. 우리은행은 인증서를 폐지(삭제) 한 후, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
      • 2. 고객센터를 통한 폐지(삭제) 신청
        • I. 가입자는 고객센터를 통해 인증서 폐지(삭제) 신청을 요청합니다.
        • II. 고객센터에서는 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청합니다.
        • III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 가입자의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
      • 3. 영업점 방문을 통한 폐지(삭제) 신청
        • I. 가입자는 영업점 방문을 통해 인증서 폐지(삭제) 신청을 요청합니다.
        • II. 영업점 직원은 위 1. 앱을 통한 폐지(삭제) 방법을 가입자에게 안내합니다. 부득이한 경우 신원확인 후 폐지신청서를 작성하여 개인금융플랫폼부 전자서명인증사업팀으로 해당 가입자의 민원처리를 요청 합니다.
        • III. 우리은행은 인증서를 폐지(삭제) 한 후 폐지(삭제) 완료 사실을 고객의 휴대전화로 통지하며, 인증서 폐지 목록을 갱신하고 그 사실을 확인할 수 있도록 지체없이 공고합니다.
    • 나. 우리은행의 직권에 따른 폐지(삭제)
      • 우리은행은 본 준칙 “4.9.2.1 인증서 폐지 요건”에 명시한 사유가 확인되는 경우, 가입자의 신청 없이 직권으로 인증서를 폐지(삭제) 할 수 있습니다. 인증서 폐지(삭제) 처리 즉시 해당 인증서가 폐지(삭제) 상태임을 이용자들이 항상 확인할 수 있도록 지체없이 공고합니다.
      • 1. 우리은행의 직권으로 아래 사항에 해당할 경우 당행 인증서를 폐지(삭제) 처리하고, 인증서 폐지 목록을 갱신하며 누구든지 그 사실을 항상 확인할 수 있도록 지체 없이 공고합니다. 절차는 본 준칙 “2.2 공고 방법”을 참조합니다.
        • • 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급받은 사실이 있거나, 이를 가입자가 이용한 사실을 인지한 경우
        • • 우리은행 가입자가 명의도용 등 부정한 방법으로 인증서를 발급한 가능성을 객관적으로 인지한 경우
        • • 우리은행의 약관 및 운영정책 또는 본 인증업무준칙을 가입자가 위반한 사실을 객관적으로 인지한 경우
        • • 우리은행이 가입자의 키쌍 훼손을 인지한 경우

4.9.3 인증서 폐지 목록의 발행주기

  • 우리은행은 인증서 폐지 목록을 적어도 매일 1회 이상 갱신합니다.

4.9.4 인증서 폐지 목록 발행 최대 소요 시간

  • 인증서 폐지(삭제) 시 인증서 폐지 목록(CRL) 생성 후 공고설비에 게시되는 데까지 소요시간은 최대 24시간 이내입니다.

4.9.5 가입자 정보의 전송방법 및 가입자 정보의 기밀성, 무결성 등에 대한 정보보안 방법

  • 우리은행은 정보통신망을 이용하여 가입자 정보를 전송하는 경우 모든 정보는 암호화하여 전송함으로써 가입자 정보의 기밀성, 무결성 등을 보장합니다.

4.9.6 인증서 폐지 신청 접수부터 폐지까지 소요되는 처리시간

  • 인증서 폐지(삭제) 신청 접수부터 폐지(삭제)까지 소요시간은 최대 24시간 이내입니다.

4.10 인증서 유효성 확인 서비스

4.10.1 서비스 운영 특징

  • 인증서 유효성 확인 서비스(OCSP, Online Certificate Status Protocol)란 가입자의 인증서의 이용 가능 상태를 실시간으로 확인하는 서비스로서 가입자가 이용자의 서비스에 접속하여 자신의 인증서를 제출하면 이용자는 인증서 일련번호를 우리은행 OCSP 시스템에 전송, 우리은행은 가입자가 제출한 인증서의 유효성을 실시간으로 검증하여 검증결과를 이용자에 회신합니다. 우리은행 OCSP 서비스를 제공받고자 하는 이용자는 우리은행과 서비스 이용 수수료, 계약의 해지, 기타 사항을 명시한 별도의 계약으로 서비스를 받을 수 있습니다.

4.10.2 서비스 가용성

  • 유지보수 또는 서비스 장애로 인해 일시적으로 사용할 수 없는 경우를 제외하고 인증서 상태 서비스를 연중무휴로 제공합니다.

4.10.3 서비스 운영 기능 및 기타사항

  • 해당 사항이 없습니다.

4.11 서비스 가입 해지 및 철회

  • 가입자가 서비스 해지를 원하면 인증서를 폐지(삭제)하거나 앱을 탈퇴 또는 삭제 시 서비스 중단을 할 수 있습니다. 또한, 가입자가 서비스 해지 시 인증서 폐지(삭제)와 가입자의 인증서 관련 개인정보는 우리은행의 개인정보처리방침에 따라 처리합니다.

4.12 기타 부가 서비스

  • 기타 부가서비스는 제공하지 않습니다.

5. 시설 및 운영관리

5.1 물리적 보호조치

5.1.1 인증시스템 구성 및 위치

  • 우리은행의 전자서명인증업무를 위한 인증서 발급 및 전자서명 처리 시스템은 데이터센터에 이중화 구성되어있으며, 전자서명인증업무와 무관한 다른 시스템과는 물리적으로 분리되어 있습니다. 또한, 우리은행의 인증시스템을 위한 시설의 위치는 아래와 같습니다.
  • 위치: 서울 마포구 월드컵북로60길 17 우리금융상암센터 8층
  • 재해복구센터 위치 : 경기 성남시 분당구 성남대로925번길 36 KT IDC 분당센터 2층

5.1.2 물리적 접근 통제

  • 우리은행의 전자서명인증업무 관련 설비가 위치한 데이터센터는 외부인의 침입이나 불법적 접근 또는 화재 등의 물리적 위협으로부터 인증시스템 등이 설치된 장소를 다음과 같이 안전하게 보호합니다.
    • 1. 우리은행은 인증시스템을 별도의 통제구역 내에 설치 및 운영하고 랙별 시건장치를 통해 인가된 사용자에게만 물리적인 접근을 허용합니다.
    • 2. 우리은행의 출입통제시스템은 신원확인카드, 지문인식 등 다중으로 결합하여 통제구역에 대한 접근을 통제합니다.
    • 3. 우리은행은 하드웨어 보수 등의 업무수행을 위하여 비인가자가 인증시스템운영실 등에 출입할 경우 반드시 담당관리자가 동행합니다.
    • 4. 우리은행은 출입통제시스템과 연계하여 통제구역 출입내역을 기록하고 정기적으로 그 기록을 검토하고 있습니다.
    • 5. 우리은행은 CCTV 카메라 및 모니터링시스템, 침입감지시스템 등 감시통제시스템을 설치하여 이상 상황 발생 시 경보 및 인접 시설간 유·무선 연락 기능을 확보하여 운영하고 있습니다.
    • 6. 우리은행은 2인 이상 청원경찰을 배치하여 보안경비업무를 수행하며 운영하고 있습니다.

5.1.3 전원

  • 우리은행은 갑작스러운 정전으로 인한 심각한 피해를 방지하기 위하여 무 정전 전원 공급장치를 사용합니다. 또한, 온도 및 습도를 일정하게 유지하기 위해 공기조절 시스템을 설치 운영합니다.

5.1.4 수해방지

  • 우리은행은 침수로부터 인증시스템 및 중요 장비를 안전하게 보호하기 위하여 바닥으로부터 떨어져 설치합니다.

5.1.5 화재 예방

  • 우리은행은 인증시스템실 등에 화재 탐지기, 휴대용 소화기 및 자동 소화 설비를 설치합니다.

5.1.6 방호

  • 우리은행은 인증시스템 운영실의 외벽을 외부 침입으로부터 보호할 수 있도록 설계합니다.
    • 1. 운영실을 분리할 수 있도록 인증시스템 운영실의 내벽을 설계
    • 2. 창문이 있는 경우 강화유리 또는 강화 필름으로 코팅한 유리를 사용

5.1.7 매체 저장

  • 우리은행은 주요 저장, 기록 매체를 금고에 저장하여 물리적으로 접근을 통제합니다.

5.1.8 원격지 백업

  • 우리은행은 인증서 등 중요정보 보관을 위해 10km 이상 떨어진 곳에 원격지 백업설비를 마련하여 보관합니다. 우리은행은 원격지 백업설비의 안전한 운영을 위하여 비인가자의 접근을 차단하고 CCTV 카메라를 통하여 모니터링을 수행합니다.

5.1.9 항온/항습, 통풍설비에 관한 사항

  • 1. 우리은행은 인증시스템의 안정적인 운영을 위한 온도 및 습도를 일정하게 유지하기 위해 항온 항습 장치를 설치합니다.
  • 2. 우리은행은 통풍창을 통한 외부 침입을 방지하기 위하여 차폐막과 감지기를 설치합니다.

5.1.10 폐기물 처리

  • 1. 우리은행은 문서, 디스켓 등을 폐기하는 경우 물리적으로 이를 파기합니다.
  • 2. 우리은행은 시설과 장비의 폐기 처리에 관한 사항은 내부 절차에 따라 처리하거나 안전하게 폐기합니다.

5.2 절차적 보호조치

5.2.1 전자서명인증업무 수행을 위한 업무 분장

  • 가. 우리은행은 전자서명인증업무의 안전성 및 신뢰성을 확보하기 위하여 업무를 역할별로 분리하여 수행합니다.
    • 1. 인증업무 관리책임자는 인증업무준칙(CPS), 인증서 정책, 정보보안정책, 사업연속성계획, 재해복구계획을 승인하는 등 인증 업무를 총괄합니다.
    • 2. 인증정책 관리자는 인증업무 정책의 수립, 등록, 유지 및 개정을 담당합니다.
    • 3. 보안관리자는 시스템(CA, CERT, OCSP, RA 등)과 인증서비스에 대한 보안을 담당합니다.
    • 4. 내부 감사자는 전자서명인증업무와 인증시스템 감사로그에 대한 정기적인 내부감사를 수행합니다.
    • 5. 키 생성 관리자는 암호화모듈장비(HSM)의 활성화에 필요한 물품과 정보를 제공하며 인증기관 키생성/보관/운반/파기 등 세부 절차서에 따른 업무를 수행합니다.
    • 6. 키 생성 소유자는 키 쌍 생성에 필요한 암호화 장비 활성화(activation)에 사용되는 다자인증 권한을 보유합니다
    • 7. 인증서 발급/생성 관리자는 인증 시스템에서 인증서 발급/갱신/폐지(삭제)를 관리하며 인증서 폐지목록(ARL,CRL)을 발급하고 관리합니다.
    • 8. 인증서 등록 및 신원확인 담당자는 가입자 인증서 신규 발급 및 관리에 대한 통계를 분석하며 가입자 신청 및 신원확인이 처리되면 해당 내역을 확인하고 비정상적인 신청 또는 신원확인 이슈 발생 시 내부 보고 및 승인 후 처리합니다.
    • 9. 인증기관 웹사이트 관리자는 인증센터, 관리자포털, 개발자포털 등 웹사이트에 인증업무준칙, 개인정보처리방침 등을 게시하고 관리합니다
    • 10. 개발자는 인증 시스템(Root CA, CA), 등록관리시스템(RA), 가입자 등록관리시스템 등 인증업무에 필요한 개발을 수행하고 관리합니다.
    • 11. 운영자는 인증센터의 시설 및 장비, 인증서비스에 필요한 시스템(예_OCSP 등)을 운영하고 관리합니다.
  • 나. 우리은행은 전자서명인증업무의 수행에 필요한 인력 및 운영절차는 내부지침에 따라 수행합니다.
  • 다. 전자서명인증업무 수행을 위한 업무의 종류와 업무 분장은 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 에 따라 수행합니다.

5.2.2 동일인에 의해 동시 수행될 수 없는 전자서명인증업무

  • 우리은행은 전자서명인증업무 운영 시 신뢰성 및 보안성 확보를 위하여 다음과 같이 업무 분리 원칙을 준수합니다.
    • 1. 인증기관 전자서명생성정보 생성 · 백업 · 이용 · 삭제 · 파기 업무는 3인 이상이 공동으로 수행합니다.
    • 2. 인증시스템의 설치 운영 및 유지보수 업무는 2인 이상이 공동으로 수행합니다.
    • 3. 동일인에 의해 동시 수행될 수 없는 전자서명인증업무는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’ 규정을 두어 별도로 규정하고 있습니다.

5.2.3 업무 담당자 현황 및 담당자 인증방법

  • 1. 우리은행은 업무 권한에 따라 출입통제시스템에 등록된 소지 기반의 신원확인카드와 생체기반의 안면인식을 통해 신원을 확인합니다.
  • 2. 우리은행의 업무 담당자는 내부지침인 ‘우리은행 인증업무 업무분장 및 직무기술서’에 규정을 두어 별도로 규정하고 있습니다.

5.3 인적보안

5.3.1 자격요건 및 신원확인 절차

  • 1. 우리은행의 인증시스템 운영 인력은 국가가 인정하는 정보통신 또는 정보보호 관련 자격을 취득하거나 이에 준하는 업무 경력을 보유하고 있습니다.
  • 2. 우리은행은 인증시스템 운영 인력에 대하여 보안업무지침 내부 규정에 따라 신원확인을 하고 있으며 이상이 없는 임직원만 관련 업무를 수행하도록 하고 있습니다.

5.3.2 업무 수행 인력의 교육 및 업무순환

  • 1. 우리은행은 인증시스템 보호조치 및 비상복구 대응 등에 대하여 소속직원이 관련 내용을 숙지할 수 있도록 내부교육 등의 필요한 조치를 합니다.
  • 2. 우리은행은 전자서명인증업무 수행 인력이 연 1회 이상 정보보호 관련 내부 또는 외부교육을 이수하도록 합니다.
  • 3. 우리은행은 인증시스템을 관리하는 직원에 대하여 업무상 취득한 기말사항의 준수에 관한 서약서를 작성하여 날인하도록 합니다.
  • 4. 업무순환 및 업무환경의 변화 등으로 인하여 보호조치의 수정이 필요한 경우, 이를 지체없이 보완합니다.
  • 5. 우리은행은 인증시스템의 안전한 운영을 위해 업무를 역할별로 분장하여 수행하고 있으며, 인증시스템을 관리하는 직원이 인사이동 또는 퇴직하는 경우에는 내부규정에 따라 계정삭제 및 출입매체 반납 등의 적절한 조치를 취합니다.

5.3.3 비인가 된 행위에 대한 처벌

  • 우리은행은 전자서명법령 및 준칙에 인가되지 않는 행위를 한 경우에는 내부규정인 ‘징계지침’ 에 따라 해당 직원을 징계합니다.

5.4 감사 기록

5.4.1 감사기록의 유형 및 보존 기간

  • 우리은행은 다음의 내용으로 하는 인증시스템 감사기록을 정기적으로 백업하여 관리하고 있으며, 감사기록은 5년간 보존합니다.
    • 1. 인증서 관리에 관한 기록(인증서 발급/폐지(삭제) 등)
    • 2. 인증서 사용에 관한 기록(전자서명 생성/이용/전달 등)
    • 3. 인증서 발급에 사용되는 개인정보 등

5.4.2 감사기록 검토 등 보호조치

  • 보안관리자는 사건 발생 시 감사기록을 세밀히 검토하고 보존합니다. 각 시스템의 감사기록은 감사관리자에 의해 총괄 관리되며 시스템의 각 운영관리자는 해당 업무에 대한 감사기록만 열람할 수 있습니다.

5.4.3 감사기록 백업주기 및 절차

  • 1. 우리은행은 감사기록에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다.
  • 2. 백업과 관련한 상세한 절차는 내부지침에 따라 실시합니다.

5.5 기록 보존

5.5.1 보존되는 기록의 유형

  • 우리은행은 다음 업무와 관련된 내역을 기록 및 보존합니다.
    • 1. 가입자의 인증서 발급 및 관리 등 전자서명인증업무
    • 2. 우리은행 인증시스템 등의 운영 업무

5.5.2 기록의 보존 기간

  • 우리은행은 본 준칙 “5.5.1 보존되는 기록의 유형”의 보존 대상 기록을 인증서 유효기간 만료일로부터 5년간 보존합니다.

5.5.3 보존기록 보호조치

  • 우리은행은 보존기록에 대해 엄격한 물리적 및 절차적, 인적 통제를 통해 보안을 유지하고 조회가 필요한 경우 인적 통제를 통한 인가된 관리자 업무 범위에 한정시키며 권한이 없는 업무 담당자는 변경 및 삭제가 불가능합니다. 또한, 보존장소는 잠금장치가 구비된 캐비넷에 보관하여 보존기록의 위/변조 및 훼손을 방지하도록 보호합니다.

5.5.4 보존기록의 백업주기 및 백업절차

  • 1. 우리은행은 보존기록을 천재지변 및 기타 재난 발생 시 보존기록의 소실 및 파괴에 대비하여 주기적으로 백업하여 보존합니다.
  • 2. 우리은행은 변경된 내역에 대해 매일 백업하고 있으며, 전체 데이터에 대해서는 주 단위로 백업합니다. 또한, 백업과 관련한 상세한 절차는 관련 내부 지침에 따라 수행합니다.

5.6 전자서명인증사업자의 전자서명생성정보 갱신

  • 인증사업자의 인증서(또는 전자서명생성정보)가 만료되는 날의 3년 전부터 새로운 전자서명생성정보를 생성하고, 이 때부터 생성되는 가입자 인증서는 새로운 인증사업자 전자서명생성정보로 발급합니다. 다만, 이전의 인증사업자 인증서도 유지하여, 기존 가입자 인증서는 이전 인증사업자가 인증서의 유효기간이 만료될 때까지 정상적으로 이용할 수 있도록 처리합니다. 이를 통해 가입자들이 인증사업자의 전자서명생성정보 갱신으로 인해 발생할 수 있는 불편을 최소화합니다. 또한, 갱신된 인증서는 본 준칙의 4.4항목에 따라 가입자 및 이용자에게 배포됩니다.

5.7 장애 및 재난 복구

5.7.1 장애 및 재해 유형별 처리 및 복구 절차

  • 우리은행은 전자서명인증업무와 관련하여 발생하는 장애 또는 재해에 대해 유형별로 나누어 내부지침을 규정하고 계획 및 연속성 보장 대책을 수립하고 이에 따라 신고 및 복구 절차를 진행합니다.

5.7.2 업무 장애방지 등 연속성 보장 대책

  • 1. 우리은행은 시스템 자원 및 소프트웨어 등에 장애가 발생한 경우에 이중으로 설치한 시스템 자원 및 소프트웨어를 이용하여 복구합니다.
  • 2. 우리은행은 인증서 등의 주요 데이터에 훼손·멸실이 발생하였을 때 백업된 자료를 이용하여 신속히 복구하여 서비스의 연속성을 보장합니다.
  • 3. 우리은행은 영업연속성계획관리 지침 등 관련 정책에 따라 업무의 중단 가능성을 최소화하고 지속적으로 서비스를 제공하기 위하여 노력합니다.

5.8 업무 휴지·폐지·종료

  • 우리은행은 전자서명인증업무를 휴지·폐지 또는 종료할 경우 관련 법과 규정에 따라 적절한 절차를 통하여 진행하여야 합니다.

5.8.1 전자서명인증업무 휴지

  • 자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무의 전부 또는 일부를 휴지하는 경우 휴지 기간을 정하여 휴지하려는 날의 30일전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.

5.8.2 전자서명인증업무 폐지 및 종료

  • 자연재해 또는 천재지변이 아닌 불가피한 사정으로 우리은행이 전자서명인증업무를 폐지 및 종료하려는 경우 폐지 및 종료하려는 날의 60일 전까지 그 사실을 가입자에게 통보하고 인터넷 홈페이지에 가입자의 개인정보 폐지(삭제) 등 가입자 보호조치 내용을 게시합니다.

6. 기술적 보호조치

6.1 전자서명생성정보 보호

6.1.1 전자서명생성정보 생성

  • 1. 우리은행은 인가된 자만이 전자서명생성정보를 생성할 수 있습니다.
  • 2. 우리은행은 물리적 침해 등으로부터 보호되는 FIPS 140-2 Level 3 인증을 받은 HSM을 사용하여 전자서명생성정보를 생성합니다.
  • 3. 전자서명생성정보 생성 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 생성합니다.

6.1.2 전자서명생성정보의 크기 및 해쉬 값

  • 우리은행은 안전하고 신뢰할 수 있는 전자서명 알고리즘을 사용하기 위하여 다음과 같은 크기의 키 및 해쉬 값을 이용합니다.
    • 1. 최상위인증기관(Root CA)
      • I. RSA 전자서명검증정보: 4,096 bit
      • II. 해쉬 알고리즘: SHA-2 256 bit
    • 2. 인증기관(CA) 및 OCSP
      • I. RSA 전자서명검증정보: 2,048 bit
      • II. 해쉬 알고리즘 : SHA-2 256 bit
    • 3. 가입자
      • I. RSA 전자서명검증정보: 2,048 bit
      • II. 해쉬 알고리즘: SHA-2 256 bit

6.2 전자서명생성정보 보호 조치

6.2.1 전자서명생성정보의 저장 시 보호조치

  • 우리은행은 전자서명생성정보가 분실, 훼손 또는 도난, 유출되지 않도록 하드웨어보안장치(HSM)에 전자서명생성정보를 안전하게 저장합니다.

6.2.2 전자서명생성정보의 이용 시 보호조치

  • 우리은행은 전자서명생성정보 활성화 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.

6.2.3 전자서명생성정보의 백업 보관 시 보호조치

  • 1. 우리은행은 전자서명생성정보 백업 작업을 다자인증 통제(최소 3명 이상) 하에서 합니다.
  • 2. 우리은행은 백업된 전자서명생성정보 중 1부를 전자서명인증업무 수행 시설과는 별도의 원격지 저장설비에 안전하게 보관합니다.
  • 3. 우리은행은 전자서명생성정보를 백업 보관하는 경우, 2인 이상의 권한 있는 직원이 공동으로 이를 수행합니다.

6.2.4 전자서명생성정보의 삭제 및 파기 시 보호조치

  • 1. 우리은행은 다음과 같은 경우 전자서명생성정보를 삭제 및 파기 할 수 있습니다.
    • • 인증서 유효기간의 만료
    • • 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우
    • • 키 손상이 우려되는 경우(서버 해킹 등)
  • 2. 우리은행은 인가된 자만이 전자서명생성정보를 삭제 및 파기할 수 있습니다.
  • 3. 전자서명생성정보 삭제 및 파기 작업은 다자인증 통제(최소 3명 이상) 하에서 전자서명생성정보를 삭제 및 파기합니다.
  • 4. 우리은행은 관리책임자와 보안관리자의 입회 하에 백업된 전자서명생성정보와 그 원본을 안전하게 삭제 및 파기합니다.

6.3 전자서명생성정보 및 전자서명검증정보의 관리

  • 우리은행은 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실 · 훼손 또는 도난·유출되지 않도록 안전하게 관리합니다.

6.4 데이터 보호 조치

  • 우리은행은 권한이 있는 관리자만 데이터에 접근할 수 있습니다.
    • 1. 접근 권한 최소화 및 사전승인으로 접근 권한을 통제합니다.
    • 2. 데이터 접근 권한의 적정성을 주기적으로 점검합니다.
    • 3. 부적절한 접근 권한일 경우 회수 및 철회합니다.

6.5 시스템 보안 통제

  • 1. 우리은행은 전자서서명시스템을 이중화하여 구성합니다.
  • 2. 우리은행은 인증시스템의 보안 소프트웨어를 설치하여 운영하고 보안 장비를 운영합니다.
  • 3. 우리은행은 인증시스템에 대한 물리적 접근통제 목록을 문서화하여 접근통제 현황에 대한 주기적인 모니터링을 합니다.
  • 4. 우리은행은 인증시스템에 설치되는 프로그램의 사용을 제한하고 통제합니다.

6.6 시스템 운영 관리

  • 우리은행은 전자서명인증 인증시스템의 운영에 대한 형상관리를 다음과 같이 합니다.
    • - 인증시스템의 S/W 등록에 대한 형상관리
    • - 인증시스템의 변경사항 등 운영관리에 대한 형상관리

6.7 네트워크 보호조치

  • 1. 우리은행은 물리적으로 분리된 두 개의 서로 다른 ISP로부터 회선을 공급받아 이중화 구성하여, 한 개의 회선이 장애가 발생하여도 서비스 제공을 중단하지 않고 안전하게 서비스를 제공할 수 있습니다.
  • 2. 우리은행 침입 차단시스템 및 침입 방지시스템을 운영하여 불법적인 접근을 차단하여 안전하게 서비스를 제공합니다.
  • 3. 우리은행은 로그기록을 주기적으로 분석하여 전자서명서비스에 대한 침입시도, 네트워크 부하 등을 파악하고 이에 적절하게 대응합니다.
  • 4. 우리은행은 침입탐지시스템의 데이터베이스를 주기적으로 갱신하고, 네트워크관리시스템을 이용하여 전자서명인증시스템을 지속적으로 모니터링 합니다.

6.8 시점확인서비스 보호조치

  • 우리은행은 시점확인서비스를 제공하지 않습니다.

7. 인증서 형식

7.1 인증서 형식

7.1.1 최상위인증기관 전자서명 인증서 프로파일

  • - 기본 필드
번호 필드명 ASN.1 type 비고
1 Version INTEGER 버전 3
2 Serial number INTEGER 고유일련번호(자동할당)
3 Signature OID sha256WithRSA
4 Issuer
  • CN=WooriBank Root CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
5 Validity 최상위인증기관 인증서 유효기간(20년)
notBefore UTCTime
notAfter UTCTime
6 Subject
  • CN=WooriBank Root CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
7 Subject Public Key Info
algorithm OID rsaEncryption
subject PublicKey BIT STRING RSA 4096 bit
8 Extensions 확장필드 참조

  • - 확장 필드
번호 필드명 ASN.1 type 비고
1 Subject Key Identifier OCTET STRING subjectPublicKey 정보의 160비트 해쉬값
2 Key Usage BIT STRING
  • Certificate Signing
  • Off-line CRL Signing
  • CRL Signing
3 Basic Constraints
  • Subject Type=CA
  • Path Length Constraint=None
cA TRUE
pathLenConstraint INTEGER
4 Policy Constraints Required Explicit Policy Skip Certs=0

7.1.2 인증기관 전자서명 인증서 프로파일

  • - 기본 필드
번호 필드명 ASN.1 type 비고
1 Version INTEGER 버전 3
2 Serial number INTEGER 고유일련번호(자동할당)
3 Signature OID sha256WithRSA
4 Issuer
  • CN=WooriBank Root CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
5 Validity 인증기관 인증서 유효기간(10년)
notBefore UTCTime
notAfter UTCTime
6 Subject
  • CN=WooriBank CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
7 Subject Public Key Info
algorithm OID rsaEncryption
subject PublicKey BIT STRING RSA 2048 bit
8 Extensions 확장필드 참조

  • - 확장 필드
번호 필드명 ASN.1 type 비고
1 authority Key Identifier
KeyIdentifier OCTET STRING 최상위인증기관 인증서의 Subject Key Identifier
authorityCertIssuer GeneralNames 최상위인증기관 인증서의 Subject
authorityCertSerialNumber INTEGER 최상위인증기관 인증서의 Serial Number
2 Subject Key Identifier OCTET STRING subjectPublicKey 정보의 160비트 해쉬값
3 Key Usage BIT STRING
  • Certificate Signing
  • Off-line CRL Signing
  • CRL Signing
4 Certificate Policy
  • [1]Certificate Policy: Policy Identifier=All issuance policyes
  • [1,1]Policy Qualifier Info: Policy Qulifier Id=Qualifier:
  • https://pcc.wooribank.com/woori_cps.html
  • [1,2]Policy Qualifier Info: Policy Qualifier Id=User Notice
  • Qualifier:Notice Text= This certificate is issued from WOORI BANK Inc. (WOORI_ROOT_CA)
policyIdentifier OID
policyQualifiers
PolicyQualifierId OID
Qualifier
CPSuri IA5String
UserNotice
NoticeReference SEQUENCE
ExplicitText BMPString
5 Basic Constraints
  • Subject Type=CA
  • Path Length Constraint=0
cA TRUE
pathLenConstraint INTEGER
6 Policy Constraints Required Explicit Policy Skip Certs=0
requireExplicitPolicy INTEGER
inhibitPolicyMapping INTEGER
7 Authority Information Access
  • [1]Authority Info Access
    • Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
    • Alternative Name:
      • URL=http://ocsp.wooribank.com:9020/OCSPServer
8 CRL Distribution Point
  • [1]CRL Distribution Point
  • Distribution Point Name:
  • Full Name:
  • URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint DistributionPointName
reasons ReasonFlags
cRLIssuer GeneralNames

7.1.3 가입자 전자서명 인증서 프로파일

  7.1.3.1 개인 인증서 프로파일

  • - 기본 필드
번호 필드명 ASN.1 type 비고
1 Version INTEGER 버전 3
2 Serial number INTEGER 고유일련번호(자동할당)
3 Signature OID sha256WithRSA
4 Issuer
  • CN=WooriBank CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
5 Validity 가입자 인증서 유효기간 (3년)
notBefore UTCTime
notAfter UTCTime
6 Subject [1]
type OID
value
  • printableString 또는
  • utf8String
7 Subject Public Key Info
algorithm OID rsaEncryption
subject PublicKey BIT STRING RSA 2048 bit
8 Extensions 확장필드 참조
[1]
  • CN=가입자 이름, SERIALNUMBER=해쉬(YYYYMMDDHHSS+6자리랜덤숫자),
  • OU=Individual, OU=WooriBank Cert, O=WooriBank, C=KR

  • - 확장 필드
번호 필드명 ASN.1 type 비고
1 authority Key Identifier
KeyIdentifier OCTET STRING 인증기관 인증서의 Subject Key Identifier
authorityCertIssuer GeneralNames 인증기관 인증서의 Subject
authorityCertSerialNumber INTEGER 인증기관 인증서의 Serial Number
2 Subject Key Identifier OCTET STRING subjectPublicKey 정보의 160비트 해쉬값
3 Key Usage BIT STRING [1]
4 Certificate Policy
  • [1]Certificate Policy: Policy Identifier=1.2. 410.200116.1.1
policyIdentifier OID
policyQualifiers
PolicyQualifierId OID
Qualifier
CPSuri IA5String
UserNotice
NoticeReference SEQUENCE
ExplicitText BMPString
5 Subject Alternative Names otherName 가입자 이름 + 은행 통합고객번호
6 CRL Distribution Point
  • [1]CRL Distribution Point
  • Distribution Point Name:
  • Full Name:
  • URL=ldap://ldap.wooribank.com:389/ou=dp분배점번호p폐지목록일련번호,ou=crl,ou=WooriBank Certo=WooriBank,c=KR
distributionPoint DistributionPointName
reasons ReasonFlags
cRLIssuer GeneralNames
7 Authority Information Access
  • [1]Authority Info Access
    • [1]Authority Info Access
    • Access Method=Online Certificate Status Protocol(1.3.6.1.5.5.7.48.1)
    • Alternative Name:
      • URL=http://ocsp.wooribank.com:9020/OCSPServer
accessMethod OID
accessLocation GeneralName
[1]
  • 서명용인증서
  • digitalSignature,
  • nonRepudiation

7.2 인증서 유효성 확인정보(LDAP) 형식

7.2.1 인증기관 인증서 폐지목록 프로파일

  • - 기본 필드
번호 필드명 ASN.1 type 비고
1 Version INTEGER 버전 2
2 Signature OID sha256WithRSA
3 Issuer
  • CN=WooriBank Root CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
4 This Update UTCTime 발급시점
Next Update UTCTime 폐지목록유효기간(100일)
5 Revoked Certificates [1]
userCertificate INTEGER 폐지된 인증서의 일련번호
revocationDate UTCTime 폐지된 날짜
crlEntryExtensions Extensions [2]
6 Extensions [3]
[1] 효력정지 및 폐지된 인증서가 없을 경우 Rovoked Certificate 필드를 생성하지 않음
[2] 아래 “3) ARL 엔트리 확장필드” 참조
[3] 아래 “2) ARL 확장필드” 참조

  • - 확장 필드
번호 필드명 ASN.1 type 비고
1 authority Key Identifier
KeyIdentifier OCTET STRING 최상위인증기관 인증서의 Subject Key Identifier
authorityCertIssuer GeneralNames 최상위인증기관 인증서의 Subject
authorityCertSerialNumber INTEGER 최상위인증기관 인증서의 Serial Number
2 CRL Number INTEGER ARL일련번호

  • - ARL 엔트리 확장 필드
번호 필드명 ASN.1 type 비고
1 Reason Code ENUMERATED 폐지사유

7.2.2 가입자 인증서 폐지목록 프로파일

  • - 기본 필드
번호 필드명 ASN.1 type 비고
1 Version INTEGER 버전 2
2 Signature OID sha256WithRSA
3 Issuer
  • CN=WooriBank CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
4 This Update UTCTime 발급시점
Next Update UTCTime 폐지목록유효기간(24시간)
5 Revoked Certificates [1]
userCertificate INTEGER 폐지된 인증서의 일련번호
revocationDate UTCTime 폐지된 날짜
crlEntryExtensions Extensions [2]
6 Extensions [3]
[1] 효력정지 및 폐지된 인증서가 없을 경우 Rovoked Certificate 필드를 생성하지 않음
[2] 아래 “3) CRL 엔트리 확장필드” 참조
[3] 아래 “2) CRL 확장필드” 참조

  • - 확장 필드
번호 필드명 ASN.1 type 비고
1 authority Key Identifier
KeyIdentifier OCTET STRING 인증기관 인증서의 Subject Key Identifier
authorityCertIssuer GeneralNames 인증기관 인증서의 Subject
authorityCertSerialNumber INTEGER 인증기관 인증서의 Serial Number
2 CRL Number INTEGER CRL일련번호
3 Issuing Distribution Point
  • [1]CRL Distribution Point
  • Distribution Point Name:
  • Full Name:
  • URL=ldap://ldap.wooribank.com:389/ou=dp폐지목록분배점번호p폐지목록일련번호,ou=crl,ou=WooriBank Cert,o=WooriBank,c=KR
  • onlyContainsUserCerts=예
  • onlyContainsCACerts=아니오
  • IndirectCRL=아니오
DistributionPointName IA5String
onlyContainsUserCerts BOOLEAN
onlyContainsCACerts BOOLEAN
onlySomeReasons BIT STRING
IndirectCRL BOOLEAN

  • - CRL 엔트리 확장 필드
번호 필드명 ASN.1 type 비고
1 Reason Code ENUMERATED 폐지사유

7.3 인증서 유효성 확인 서비스(OCSP) 형식

  • - 기본 필드
번호 필드명 ASN.1 type 비고
1 Version INTEGER 버전 3
2 Serial number INTEGER 고유일련번호(자동할당)
3 Signature OID sha256WithRSA
4 Issuer
  • CN=WooriBank Root CA 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
5 Validity 인증기관 인증서 유효기간 (10년)
notBefore UTCTime
notAfter UTCTime
6 Subject
  • CN=WooriBank OCSP 1,
  • OU=WooriBank Cert,
  • O=WooriBank,
  • C=KR
type OID
value
  • printableString 또는
  • utf8String
7 Subject Public Key Info
algorithm OID rsaEncryption
subject PublicKey BIT STRING RSA 2048 bit
8 Extensions 확장필드 참조

  • - 확장 필드
번호 필드명 ASN.1 type 비고
1 authority Key Identifier
KeyIdentifier OCTET STRING 최상위인증기관 인증서의 Subject Key Identifier
authorityCertIssuer GeneralNames 최상위인증기관 인증서의 Subject
authorityCertSerialNumber INTEGER 최상위인증기관 인증서의 Serial Number
2 Subject Key Identifier OCTET STRING subjectPublicKey 정보의 160비트 해쉬값
3 Key Usage BIT STRING
  • digitalSignature
  • nonRepudiation
4 Certificate Policy
  • [1]Certificate Policy: Policy Identifier=1.2.410.200116.2
  • [1,1]Policy Qualifier Info: Policy Qulifier Id=Qualifier:
  • https://pcc.wooribank.com/woori_cps.html
  • [1,2]Policy Qualifier Info:Policy Qualifier Id=User Notice
  • Qualifier:Notice Text=This is WooriBank OCSP certificate
policyIdentifier OID
policyQualifiers
PolicyQualifierId OID
Qualifier
CPSuri IA5String
UserNotice
NoticeReference SEQUENCE
ExplicitText BMPString
5 Extended Key Usage OID OCSP 서명(1.3.6.1.5.5.7.3.9)
6 CRL Distribution Point
  • [1]CRL Distribution Point
  • Distribution Point Name:
  • Full Name:
  • URL=ldap://ldap.wooribank.com:389/CN=WooriBank Root CA 1,OU=WooriBank Cert,O=WooriBank,C=KR?authorityRevocationList
distributionPoint DistributionPointName
reasons ReasonFlags
cRLIssuer GeneralNames
7 Authority Information Access
  • [1]Authority Info Access
    • Access Method=온라인 인증서 상태 프로토콜 (1.3.6.1.5.5.7.48.1)
    • Alternative Name:
      • URL=http://ocsp.wooribank.com:9020/OCSPServer
8 Policy Constraints Required Explicit Policy Skip Certs=0

8. 감사 및 평가

8.1 감사 및 평가 현황

  • 1. 우리은행은 전자서명인증업무에 관한 안정성을 확보하기 위해 법 제8조(운영기준 준수 사실의 인정) 규정에 따라 운영기준의 준수 여부에 대하여 매년 평가기관으로부터 평가를 받습니다.
  • 2. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수 여부에 대해 평가를 하고 그 결과를 인정기관에 제출합니다.
  • 3. 운영기준 준수 사실 인정의 유효기간은 인정받은 날로부터 1년으로 합니다.
  • 4. 우리은행은 인증서 신규 발급 및 관리에 대한 정기적인 내부감사를 수행하며, 인증시스템 감사로그(Audit log)에 대해 2개월 주기로 내부감사를 수행합니다.

8.2 평가자의 신원, 자격

  • 1. 평가자의 신원 및 자격은 전자서명법 시행령 제 5조(평가기관의 선정기준 및 절차 등)에 따라 선정됩니다.
  • 2. 평가기관의 전문인력 요건은 시행령[별표1]에 따릅니다.
  • 3. 내부감사는 전문성을 갖춘 전담조직의 인력으로 구성하여 실시합니다.

8.3 평가 대상과 평가자의 관계

  • 1. 평가기관은 법령상 과학기술정보통신부에 의해 ‘피 평가기관에 대한 공정성, 객관성, 신뢰성, 독립성을 확보’한 것으로 인정받은 기관으로 평가자와 평가대상과는 독립성 등이 유지되고 있습니다.
  • 2. 내부감사는 인증부서와 별도조직인 IT그룹 IT내부감사팀에 의해 수행되며, 인증부서에 대한 독립성을 유지하고 있습니다.

8.4 평가 목적 및 내용

  • 1. 우리은행은 인정기관으로부터 운영기준의 준수 사실에 대한 인정을 받기 위해 평가기관으로부터 평가를 받습니다.
  • 2. 평가내용은 전자서명인증사업자의 운영기준 준수 여부에 대해 평가하며, 세부사항은 평가기관이 정한 세부평가 기준에 따릅니다.
  • 3. 우리은행은 ‘우리WON인증 서비스 내부감사 업무 매뉴얼’에 의거 하여 평가 내용을 관리하고 있습니다.

8.5 부적합 사항에 대한 조치

  • 1. 과학기술정보통신부 장관은 운영기준 준수 사실의 인정을 받은 전자서명인증사업자가 법 제17조(시정명령) 각호의 어느 하나에 해당하는 경우에 기간을 정하여 시정을 명할 수 있으며, 운영기준 준수 사실의 인정을 받은 전자서명인증사업자는 기간 내에 시정명령을 이행하여야 합니다.
  • 2. 내부감사자는 내부감사 결과에 따라 인증부서에 재점검을 요청 및 필요시 조치요구를 할 수 있으며, 조치요구사항에 대하여 인증부서의 이행사항을 사후 관리하여야 합니다.

8.6 결과 보고

  • 1. 평가기관은 평가를 신청한 전자서명인증사업자의 운영기준 준수여부에 대해 평가를 하고 그 결과를 인정기관에 제출하여야 합니다.
  • 2. 내부감사자는 감사에 대한 결과보고를 IT그룹 IT내부감사팀 팀장에게 보고 및 결과에 대한 결재를 득한 후 인증부서에 통보합니다.

9. 전자서명인증업무 보증 등 기타사항

9.1 수수료

  • 1. 가입자가 전자서명인증서비스를 이용하는 데 있어서, 가입자에게는 별도의 발급 또는 갱신 수수료가 부과되지 않습니다.
  • 2. 이용자가 전자서명인증서비스를 이용하는데 있어서 이용자가 지불하는 수수료와 그 환불에 대한 내용은 이용자와의 별도 계약에 따릅니다.

9.2 배상

9.2.1 보험적용

  • 우리은행 인증업무의 책임 보증을 위해 보험에 가입되어 있습니다.

9.2.2 보험 및 보증의 범위

  • 우리은행은 전자서명인증업무와 관련하여 가입자 또는 이용자에게 손해를 입힌 경우 법 제20조(손해배상책임)에 따라 그 손해를 배상합니다.

9.3 영업비밀

9.3.1 기밀 정보의 범위

  • 우리은행 인증업무와 관련되어 합리적인 수준에서 공개되지 않도록 보호하는 기밀 정보는 다음과 같습니다.
    • 1. 전자서명생성정보
    • 2. 인증기관 시스템에 접근할 때 사용되는 활성화 데이터
    • 3. 업무연속성 장애대응 비상대책 및 재해 복구 계획
    • 4. 정보의 기밀성·무결성 또는 가용성을 보호하는데 사용되는 보안준칙
    • 5. 개인정보로 보유하는 정보
    • 6. 감사로그 및 보존 기록

9.3.2 기밀 정보 범위에 속하지 않는 정보

  • 인증서 및 인증서 폐지(삭제) 데이터는 기밀 정보로 간주되지 않습니다. 또한, 본 인증업무준칙에 따라 공개가 의무화된 정보는 기밀 정보로 간주되지 않습니다.

9.3.3 기밀 정보 보호 책임

  • 우리은행은 이용자와 가입자의 정보를 보호하기 위하여 합리적인 수준에서 기밀 정보를 처리하고 보호합니다.

9.4 개인정보 보호

9.4.1 개인정보 보호 계획

  • 우리은행은 다음 웹사이트에 게시된 개인정보 정책에 따라 개인정보를 처리합니다.
  • 1. 우리WON인증 서비스 개인정보처리방침
    https://spib.wooribank.com/pib/Dream?withyou=CTCER0149&fromSite=pib

9.4.2 개인정보 간주되는 정보

  • 우리은행은 인증서비스 관련 개인정보를 처리함에 있어 게시된 개인정보처리방침을 따르고 있습니다.

9.4.3 개인정보 보호의 책임

  • 우리은행은 인증업무수행 과정에서 취득한 자료에 대하여 안전하게 보호하고 관리합니다.

9.4.4 개인정보 사용에 대한 통지 및 동의

  • 우리은행은 개인정보보호법 등 관계 규정을 준수하며, 인증서 발급 시 개인정보 사용에 대한 이용 동의를 받습니다.

9.4.5 개인정보보호에 대한 처리방침

  • 우리은행은 개인정보보호법 등 관계 규정을 준수하여 홈페이지에 게시된 개인정보처리방침에 따라 개인정보를 수집·보유·처리합니다.

9.5 지식재산권

  • 다음 사항에 대한 지식재산권은 저작권법 등 관련법률에 따라 우리은행에 귀속됩니다.
    • 1. 우리은행 인증시스템을 위해 개발된 소프트웨어 및 하드웨어
    • 2. 본 전자서명인증 업무준칙 및 우리은행 서비스 이용 약관과 운영 정책
    • 3. 우리은행이 생성한 전자서명 정보
    • 4. 기타 관련 법령에 따라 우리은행에게 권리가 귀속되는 일체의 저작물

9.6 보증

  • 1. 우리WON인증서는 본 준칙에 따라 발급됨을 보증합니다.
  • 2. 우리WON인증서 내에 포함된 내용이 발급신청 당시 기준으로 우리은행 CA에 등록된 사실임을 보증합니다.

9.7 보증 예외 사항

  • 우리은행은 전자서명법, 동법, 시행령 및 시행규칙, 우리은행의 약관 또는 운영정책과 본 전자서명인증 업무준칙에서 정한 사항 이외의 사항 즉, 가입자 신용 및 가입자 관련 정보의 불변성 등을 보증하지 않습니다.

9.8 보험의 보상 범위

  • 우리은행은 전자서명인증업무의 수행과 관련하여 전자서명법 제20조(손해배상책임)에 따라 손해배상을 담보하기 위하여 보험에 가입하고 있으며 당해 보험 계약에서 정한 연간 총 한도 보상액은 10억원입니다.

9.9 배상 한계

  • 우리은행은 전자서명인증업무의 수행과 관련하여 가입자 또는 이용자에게 손해를 입힌 경우에는 그 손해를 배상합니다. 단, 우리은행의 고의 또는 과실이 없을 경우 그 손해에 대한 책임을 지지 않습니다.

9.10 준칙의 효력

9.10.1 준칙의 유효기간

  • 인증업무준칙은 홈페이지에 게시되고 본 문서에 명시된 기간 이후에 효력이 발생합니다. 또한, 개정사항은 홈페이지에 게시된 이후에 적용됩니다. 다만, 각 호의 사유가 발생한 때에 효력이 소멸합니다.
    • 1. 우리은행의 전자서명인증업무가 정지된 경우 해당 정지 기간
    • 2. 우리은행이 전자서명인증업무의 전부를 휴지한 경우 해당 휴지 기간
    • 3. 우리은행이 전자서명인증업무를 폐지한 경우 폐지 시점 이후
    • 4. 기타 전자서명인증 업무준칙의 효력이 소멸하는 경우로 과학기술정보통신부 장관이 인정하는 경우

9.10.2 준칙의 종료

  • 인증업무준칙 및 관련된 정책 문서는 신규 버전으로 개정되기 전까지 효력을 유지합니다.

9.10.3 준칙의 경과 조치

  • 본 인증업무준칙 효력이 종료된 시점을 기준으로 발급된 모든 인증서의 남은 유효기간 동안 본 인증업무준칙 효력이 적용됩니다.

9.11 통지 및 의사소통

  • 우리은행은 가입자의 전자서명생성정보에 대한 손상, 노출, 파손, 분실, 도난 등 인증서의 신뢰도 및 유효성에 중대한 영향을 미치는 사실이 발생할 때 해당 사실을 홈페이지에 공고합니다.

9.12 이력 관리

  • 우리은행은 전자서명인증업무준칙의 변경 이력을 관리합니다.

9.13 분쟁 해결

  • 1. 전자서명인증체계 관련자에게 전달되는 문서(또는 전자문서)는 아래와 같이 법적 효력을 갖습니다.
    • I. 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)의 각 항에 따른 사항
    • II. 전자서명법 제3조(전자서명의 효력)의 각 항에 따른 사항
  • 2. 전자서명인증업무와 관련하여 우리은행과 가입자 또는 이용자간 분쟁이 발생한 경우 전자서명법 제22조(분쟁의 조정)에 따라 전자문서 · 전자거래분쟁조정위원회에 조정을 신청하여 관련 절차에 따라 신속한 방법으로 분쟁을 해결할 수 있습니다.

9.14 관할법원

  • 전자서명인증서비스 관련 소송 발생 시, 관할 법원은 민사소송법이 정한 바에 따릅니다.

9.15 관련 법률 준수

  • 1. 전자서명인증업무와 관련된 전자서명인증체계 관련자들은 전자서명법 및 관계법령을 준수하여야 합니다.
  • 2. 본 인증업무준칙의 해석과 적용은 전자서명법 등 대한민국 관련 법률에 따릅니다.

9.16 기타 규정

  • 해당 사항이 없습니다.

부칙(2023.03.06)

  • 이 준칙은 2023년 3월 7일부터 시행됩니다.

부칙(2023.06.12)

  • 이 준칙은 2023년 6월 13일부터 시행됩니다.

부칙(2024.01.03)

  • 이 준칙은 2024년 1월 9일부터 시행됩니다.

부칙(2024.02.19)

  • 이 준칙은 2024년 2월 21일부터 시행됩니다.

부칙(2024.08.29)

  • 이 준칙은 2024년 9월 4일부터 시행됩니다.

  • 개정사항 비교표보기