제1조(목적)
정부웹보안인증서(이하 “인증서”) 서비스 이용약관(이하 “본 약관”)은 행정안전부가 제공하는
정부웹보안인증서 운영센터(이하 “운영센터”)의 인증서비스(이하 “인증서비스”)와 관련하여
가입자의 권리와 의무 및 책임사항, 기타 이용 조건에 관한 사항을 규정함을 목적으로 한다.
제2조(용어 정의)
본 약관에서 사용하는 용어의 정의는 다음과 같다.
1.정부웹보안인증서(이하 “인증서”) 란 전자정부법 제2조제9호에 해당하는
기관, 법인 및 단체에게 발급하고,
전자정부 웹사이트와 이용자 브라우저 간에 전송되는 정보를 안전하게 보호하기 위해 암·복호화 용도로 사용되는 전자적 정보를 말한다.
2."인증”이라 함은 정부웹보안인증서 생성키가
가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명해 주는 행위를 말한다.
3."인증업무”라 함은 인증서 발급ㆍ폐지, 가입자 정보 등록ㆍ변경, 인증서ㆍ인증서 폐지 목록의 공고 등
인증서 및 인증 관련 기록 관리 등의 업무를 말한다.
4."인증기관(CA : Certification Authority)”이라 함은
GSSL 인증서를 발급하는 신뢰 기관으로 인증서 폐지 목록(CRL)을 주기적으로 발행하며,
홈페이지에 인증기관 인증서와 인증서 폐지 목록(CRL)을 게시 등의 인증업무를 담당하는 기관을 말한다.
5."운영센터”란 정부웹보안인증서 인증체계의 최상위 인증기관 및 인증기관 업무를
수행하는 전문조직이다.
6.인증기관으로부터 지정된 등록대행자는
관할 하위기관의 가입자 인증서 발급, 재발급 및 폐지 요청에 대하여 신청 정보를 검증하고
정보등록을 수행하는 상위 행정/공공기관의 인원을 말한다.
7."가입자”라 함은 인증기관으로부터 인증서를 발급받은
기관, 법인 및 단체를 말한다.
8."신청자”란 인증서를 발급받기 위한 신청기관을
대표하는 개인을 말한다.
9."신청기관”이란 인증서를 발급받기 위해 인증서를
신청한 기관, 법인 및 단체를 말한다.
10."기관관리자”란 사용자의 가입 승인과 인증서 발급 신청의
검토를 수행하는 신청기관의 관리자를 말한다.
11."정부웹보안인증서 검증키(공개키)”란 인증서를 검증하기 위하여
이용하는 전자적 정보로 인증서 내에 포함되는 정보를 말한다.
12."정부웹보안인증서 생성키(개인키)”란 인증서를 생성하기 위하여
이용하는 전자적 정보를 말한다.
13."인증서 폐지 목록(CRL : Certificate Revocation List)”이란
인증서 효력이 상실된 인증서들의 목록으로 인증기관에서 주기적으로
발급하는 전자적 정보를 말한다.
14."실시간 인증서 상태 검증(OCSP : Online Certificate Status Protocol)”이란
인증서 폐지 목록(CRL)을 획득하지 않고도
실시간으로 인증서의 상태를 검증할 수 있도록 하는 인증서 상태 실시간 검증 프로토콜을 말한다.
15."인증서 서명 요청(CSR : Certificate Signing Request)”이라 함은
인증서 신청 시 가입자가 정부웹보안인증서 생성키(개인키)를 소유함을 확인하고
인증서를 발급하기 위한 프로토콜을 말한다.
16."고유식별 이름(DN : Distinguished Name)”이란
가입자 객체를 명확히 구별할 수 있도록 부여하는 고유한 이름을 말한다.
17.“전자정부 웹사이트(이하 “웹사이트”라 한다)”라 함은
전자정부법 제2조제5호에 따른 전자정부 서비스를 제공하기 위해 구성된 웹페이지의 집합체를 말한다.
18."서비스”란 관련 소프트웨어 및 문서와 함께 본 약관에 따라
발급된 GSSL인증서를 의미한다.
19."정부웹보안인증서 발급홈페이지”란
가입자가 회원가입, 인증서발급, 재발급, 폐지 등 전자적으로 관리할 수 있는 홈페이지를 말한다.
제3조(약관 게시와 개정)
① 본 약관은 정부웹보안인증서 발급홈페이지(ssl.gpki.go.kr)에 게시하여 공지하고,
본 약관에 동의한 가입자에게 그 효력이 발생한다.
② 운영센터는 전자정부법 및 같은 법 시행령, 행정전자서명 인증업무지침,
정부웹보안인증서 인증업무준칙 등 관련 법령 및 지침을
위배하지 않는 범위에서 본 약관을 개정할 수 있으며, 본 약관을 개정할 경우 약관의 시행일 10일 전에 시행일자 및 개정 사유를 명시하여
정부웹보안인증서 발급홈페이지를 통해 공지한다.
③ 가입자는 변경된 약관에 동의하지 않으면 인증서비스 이용을 중단하고 이를 폐지할 수 있다.
가입자가 변경된 약관의 공지일로부터 10일 이내에 공문 또는 전자문서의 수단을 통하여 거부의사를 표시하지 아니한 경우,
변경된 약관에 동의하는 것으로 간주한다.
제4조(약관 외 사항)
본 약관에 명시되지 아니한 사항은 전자정부법 및 같은 법 시행령 등 관련 법령과 행정전자서명 인증업무지침 및
정부웹보안인증서 인증업무준칙(CPS)을 따른다.
제5조(인증서비스 종류)
운영센터는 인증서의 신규발급, 재발급, 폐지, 유효성 검증 등의 인증서비스를 제공한다.
제6조(인증서 유효기간)
① 인증서의 유효기간은 가입자 인증서 발급일로 부터 최대 397일까지 유효하다.
② 운영센터가 인증서 발급신청을 승인한 후 가입자가 인증서를 발급받을 수 있는 유효 기간은 15일이다.
가입자가 유효 기간 내에 인증서를 발급받지 않는 경우 인증서 발급을 재신청해야 한다.
제7조(인증서 효력)
① 인증서는 발급받은 날로부터 유효기간 동안 효력을 유지한다.
다만, 제10조에 따른 인증서 폐지 사유에 해당할 경우, 인증서는 폐지된 시점부터 효력을 상실한다.
제8조(신원 확인)
운영센터는 인증서의 신뢰성 확보를 위하여 정부웹보안인증서 인증업무준칙(CPS)에 따라 아래와 같이 가입자 정보에 대한
정확성 및 가입자 신원과 사용기관의 신원을 확인하는 절차를 거쳐야 하며,
특별한 경우 해당 절차는 현장 방문 및 대면 방식으로 진행할 수 있다.
1.신청자의 신원확인
2.신청기관의 신원확인
3.신청기관의 물리적 주소
제9조(인증서 발급)
① 운영센터가 가입자의 인증서 발급신청을 승인하면
운영센터는 정부웹보안인증서 인증업무준칙 및 인증서 발급관리 절차서에 따라
신청정보의 유효성을 검증한다.
② 운영센터가 가입자의 인증서 발급신청을 수락하고,
가입자의 신청정보가 운영센터의 발급 기준에 충족할 경우,
요청받은 인증서를 가입자에게 발급한다.
③ 운영센터는 가입자의 신청정보가 유효하지 않을 경우,
가입자의 귀책으로 인하여 승인이 불가능하거나 기타 규정한 제반 사항을 위반하여
신청하는 경우 등 정당한 사유가 있을 때는 신청을 거부할 수 있다.
④ 가입자는 아래에 해당하는 경우 인증서를 재발급 받을 수 있으며,
인증서 재발급 절차는 신규발급 절차와 동일하다.
-인증서 유효기간 만료일이 도래하거나 경과한 경우
-인증서 비밀번호를 잊은 경우
-가입자의 인증서 생성키(개인키)가 손상·유출 또는 변경되었다고 우려되는 경우
-가입자명, 도메인명 등 인증서 관련 정보가 변경된 경우
제10조(인증서 폐지)
운영센터는 아래 각 호의 어느 하나에 해당하는 경우 해당 인증서를 폐지한다.
1.가입자가 인증기관에게 인증서 폐지를 신청한 경우
2.가입자가 인증서 신청서 원본이 승인되지 않았으며,
권한이 부여되지 않았음을 인증기관에 통지한 경우
3.가입자의 개인키가 손상되었다는 증거를 입수한 경우
4.가입자의 개인키를 유추할 수 있는 방법인 인지된 경우
5.인증서의 전체 도메인 이름(Fully Qualified Domain Name, 이하 “FQDN”) 및
IP주소에 대한 도메인 인증 또는 통제의 유효성 검사를
신뢰할 수 없다는 증거를 입수한 경우
6.인증서가 CA Browser Forum 요구사항 6.1.5 및 6.1.6을 충족하지 않는 경우
-6.1.5 키길이 (Key Size)
:RSA 키쌍은 인코딩시 모듈사이즈 최소 2048 bits : 8로 나누었을때 나머지가 남지 않아야 함
※용어: 인증서구조 (modulus(계수), public exponent(공개지수)
ECDSA 키쌍은 NIST P‐256, NIST P‐384, NIST P‐521 elliptic curve 만 허용
-6.1.6 공개키 검증
RSA 키쌍은 공개키 (public exponent)는 3이상의 홀수값, 공개키 (public exponent)는 (2^16 + 1 and 2^256 ‐ 1 ) 사이의 값,
modules는 홀수로서, 소수의 승수가 아니며, 752보다 작아야 함
※용어: modulus(계수), public exponent(공개지수), ECDSA 키의 유효성검증 필수
ECC Full 공개키검증(Public Key Validation) 루틴으로 검증 또는 ECC Partial 공개키검증(Public Key Validation) 루틴으로 검증
7.인증서가 오용되고 있다는 증거를 인증기관에서 입수한 경우
8.가입자가 이용약관에 의해 가입자의 중요 의무를 하나 이상 이행하지 않았음을 인증기관에서 인지한 경우
9.인증서에 사용된 FQDN 또는 IP주소가 법적으로 허용되지 않는다는 징후를
인증기관에서 인지한 경우
(예: 법원 또는 중재인에 의해 해당 도메인을 사용할 수 있는 도메인명 등록자의 권리 박탈,
도메인명 등록자와 사용기관 간의 라이선스 또는 서비스 계약 종료 또는 도메인 등록자에 의해 해당 도메인명 갱신 실패 등)
10.부정확하거나 오도된 하위기관의 FQDN을 검증하기 위해 와일드카드 인증서가 사용되었다는 점을 인증기관에서 인지한 경우
11.인증서에 포함된 정보의 중요한 변화를 인증기관에서 인지한 경우
12.특정 요건, 인증기관의 인증업무준칙에 의해 인증서가 발급되지 않았다는 점을 인증기관에서 인지한 경우
13.인증서에 나타난 정보가 부정확하거나 오도된 것으로 인증기관에서 판단한 경우
14.인증기관이 CRL 및 OCSP 저장소의 유지보수를 계속하기로 약정한 경우를 제외한,
CA Browser Forum 요구사항에 따라
인증기관의 인증서 발급 권한이 취소, 만료, 종료되는 경우
15.인증기관의 인증업무준칙에 의해 폐지해야 하는 경우
16.가입자의 개인키를 노출하여 손상시키는 취약점을 인지하거나 개인키를 생성하는데
특정 결함이 있다는 명백한 증거가 있는 경우
제11조(개인정보보호)
가입자의 개인정보는 인증서비스의 원활한 제공을 위하여 가입자가 동의한 목적과 범위 내에서만 이용된다.
법령에 의하거나 가입자가 별도로 동의하지 않는 한 운영센터는 가입자의 개인정보를 제3자에게 제공하지 않는다.
자세한 사항은 정부웹보안인증센터 개인정보처리방침을 통해 확인한다.
제12조(지적 재산권)
① 행정안전부는 정부웹보안인증서 인증체계의 인증서 및 서비스 제공에
사용되는 상표 및 정부웹보안인증서 인증업무준칙(CPS)를 포함한
지적 재산권을 소유한다.
-인증서 정보 및 인증서 폐지 정보에 대한 재산권
-이용 약관 및 계약상의 재산권
-명의 재산권
② 가입자의 개인키 및 공개키, 인증서에 기입된 기관명, 도메인 등
DN정보는 해당 키를 올바르게 보유하고 있는 가입자의 재산으로 한다.
제13조(운영센터의 의무)
운영센터는 아래의 의무사항을 준수해야 한다.
① 인증서 발급 정보와 인증서 폐지 목록 등의 인증서 상태 정보를 공고함으로써
가입자가 신청한 인증서비스를 안정적이고
지속적으로 제공해야 한다.
② 인증서비스 운영에 지장이 되는 장애가 발생했을 경우 이를 수리 또는 복구해야 하며,
안정적인 인증서비스 운영을 위해 최선을 다해야 한다.
③ 가입자가 정당하게 요구하는 의견이나 불만에 대하여
운영센터가 검토하여 정한 기간과 절차에 따라 처리해야 한다.
④ 개인정보보호법 등 관련 법령상의 개인정보보호 규정을 준수하며
운영센터의 개인정보처리방침에 따라 가입자의 개인정보를
수집·보유·처리하며 가입자의 허락 없이 제3자에게 이를 제공할 수 없다.
⑤ 인증서비스 이용약관의 동의, 변경, 이의 제기 등
가입자의 이용약관 관련한 절차 및 내용 등에 있어 가입자의 편의를 제공하도록 노력한다.
⑥ 정당한 사유 없이 가입자의 인증서 발급, 재발급, 갱신, 폐지, 검증 등의
요청을 거부할 수 없으며, 거부할 경우 그 사유를 밝혀야 한다.
⑦ 정부웹보안인증서 생성키(개인키)가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리한다.
제14조(가입자의 의무)
가입자는 아래의 의무사항을 준수해야 한다.
① 가입자는 아래의 경우에 정확한 정보를 운영센터에 제공한다.
-운영센터가 제공하는 신뢰할 수 있는 소프트웨어(정부웹보안인증서 발급홈페이지 등)를 통해
안전한 키쌍 및 인증서 서명 요청(CSR)을 생성하고 운영센터에 정확한 정보를 전달해야 한다.
-인증서 발급, 재발급, 폐지 신청 등
-인증서에 포함된 가입자 정보의 변경 등
② 가입자는 인증서 생성키(개인키), 인증서 등이 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리한다.
③ 가입자는 운영센터로부터 발급받은 인증서의 유효기간, 용도 등을 확인하여야 한다.
④ 가입자는 인증서의 발급용도(이용 범위)내에서만 인증서를 사용한다.
⑤ 가입자는 인증서에 나열된 도메인 주소로 접속할 수 있는 서버에만 발급된 인증서를 설치하고,
가입자에게 허가된 인증서만 사용한다.
⑥ 가입자는 아래의 경우에 인증서 생성키(개인키) 및 인증서의 사용을 즉시 중지하고
운영센터에 폐지를 요청하여야 한다.
-인증서 생성키(개인키)가 분실·훼손 또는 도난·유출 가능성이 있다고 판단되는 경우
-인증서의 정보가 정확하지 않거나 부정확한 경우
-인증서가 만료되거나 폐지되었을 경우
-인증서 관련정보가 변경된 경우
⑦ 가입자는 인증서 생성키(개인키)를 기밀 사항으로 유지하며
기밀 정보가 유출되거나 훼손될 가능성이 있다고 판단되거나 인증서의 정보가
정확하지 않은 경우
가입자는 즉시 영향을 받는 인증서의 폐지를 요청하고 운영센터에 통보한다.
⑧ 가입자는 키 손상 또는 인증서 오용에 대한
인증기관의 지침에 지정된 기간 내에 응답해야 한다.
⑨ 가입자는 이용약관을 위반하거나 인증기관이 발급한 인증서가 피싱, 사기 또는
악성 프로그램 배포와 같은 범죄 활동을 가능하게 하는데
사용되는 것을 발견한 경우 인증기관이 해당 인증서를
즉시 폐지할 수 있는 자격이 있다는 것에 대하여 인정 및 수락하여야 한다.
제15조(인증기관 책임의 제한)
① 운영센터에서 발급하는 정부웹보안인증서는 전자정부법 및 같은 법 동법 시행령에 따라 발급 및 운영되므로,
정부웹보안인증서 사용과 관련하여 발생 되는 문제에 대해 운영센터는 책임지지 않는다.
② 가입자는 본 약관에서 정한 의무 위반 또는 인증서와 관련하여 허위 또는 잘못된 정보의 제공,
인증서 관리 부주의로 인하여 발생되는
손해와 손실 등에 대한 책임을 져야 한다.
제16조(배상)
인증서와 관련하여 발생한 문제에 대하여 운영센터는 금전적 보상을 하지 않는다.
제17조(진술 및 보증)
① 행정안전부는 정부웹보안인증서 인증업무준칙(CPS) 또는 본 약관에 명시된 경우를 제외하고 인증서에 대해 어떠한 진술이나
보증도 하지 않는다.
행정안전부는 인증서 인증업무준칙(CPS) 및 본 약관에 지정된 범위 내에서 아래 사항에 대해 진술한다.
1.국내외 관련 법, 법령, 시행규칙 및 준칙 준수
2.CRL 및 OCSP 응답을 정기적으로 게시 및 업데이트
3.인증기관 업무와 관련하여 인증업무준칙(CPS) 및 CA/Browser Forum 기준(Baseline Requirements)에 언급된
최소 요건과 안전하고 신뢰할 수 있는 인증체계 제공을 위해 관련된 표준과 규칙 준수
4.홈페이지에 저장소 유지
5.인증업무준칙(CPS)의 인증서 신청 절차 수행
6.인증업무준칙(CPS)의 신원확인 및 검증 절차 수행
7.인증기관에 거짓 또는 오해의 소지가 있는 정보를 제공하지 않음
8.등록대행자 업무상 신청 정보의 신청시스템 등록 시 정확한 변환
9.관련 법률 및 규정 준수
② CPS에 명시된 것을 제외하고, 모든 인증서 및 관련 소프트웨어 및 서비스는 "있는 그대로(AS IS)"와 "사용 가능한 대로(AS AVAILABLE)"
제공된다.
CRL 및 모든 참여자 또는 제3자의 참여자(키 쌍, 인증서, CRL 또는 행정안전부가 참여자에게 제공하는 기타 상품 또는
서비스의 사용 포함)에 대해
상품성에 대한 묵시적인 보증, 특정 목적의 적합성에 대한 보증 및 인증서 발급과 관련하여 제공되는
정보의 정확성에 대한 보증을 포함하여 모든 명시적 및 묵시적 보증을 부인한다.
인증업무준칙(CPS) 9.6.1 항목에 명시된 경우를 제외하고,
행정안전부는 서비스 또는 제품이 모든 기대를 충족시키거나 인증서에 대한 접근이 시기적절하거나 오류가 없을 것이라고 보증하지 않는다.
행정안전부는 제품 또는 서비스의 가용성을 보장하지 않으며, 언제든지 제품 또는 서비스 제공을 변경하거나 중단할 수 있다.
법인이 인증서 서비스를 이용한다고 해서 수탁 의무가 생기는 것은 아니다.
③ 운영센터에서 발급하는 정부웹보안인증서는 전자정부법 및 같은 법 시행령에 따라 발급 및 운영되므로,
정부웹보안인증서 사용과 관련하여 발생 되는 이슈에 대해 운영센터는 책임지지 않는다.
제18조(분쟁 해결)
본 약관 및 인증서비스는 대한민국 법령인 전자정부법 및 같은 법 시행령에 의하여 규정되고 이행된다.
운영센터는 인증서 및 인증서비스와 관련된 분쟁이 발생하면 관련 법령에 따라 해결을 위해 성실히 협의한다.
제19조(이용약관의 적용)
정부웹보안인증서 이용약관은 2023.2.24. 부터 적용된다.
