본인확인 지원포털

본인확인기관 지정정기심사
본인확인기관 사후관리 절차 - 정기점검(모의침투, 취약점진단, 현장실사, 이행점검) 편

안녕하세요. 이번 차시에는 본인확인기관 사후관리 절차인 정기점검에 대해 알아보도록 하겠습니다.

-본인확인기관 사후관리-
「본인확인기관 지정 등에 관한 기준」 제13조 사후관리에 따라 본인확인서비스의 안전성 및
이용 편의성 제고를 위해 본인확인기관별 연 1회 적합성 심사, 즉 정기점검을 실시하고 있습니다.
정기점검 단계에서는 모의침투, 취약점진단, 현장실사 및 이행점검을 실시하게 됩니다.

-본인확인기관 정기점검-
<인증앱/인증모듈에 대한 모의침투>
<시스템 취약점 진단>
<현장실사 및 이행점검>
모의침투 및 시스템 취약점 진단 수행사를 지정한 후 개인정보보호, 관리체계 보안 등,
외부 전문가를 구성해 본인확인기관과 유관기관에 대한 정기점검을 실시하고 있습니다.
본인확인서비스용 인증 앱과 인증 모듈에 대한 모의침투 및 시스템 취약점 점검 과정을 실시하고,
ARS 대행사와 중계운영사 등을 대상으로 한 현장실사를 실시하며,
또한, 아이핀, 휴대폰, 인증서, 카드 기반 본인확인기관 등을 대상으로
현장실사와 이행점검을 실시하는 등 본인확인기관에 대한 사후관리 절차로 정기점검을 진행하고 있습니다.

-본인확인기관 정기심사 점검방법-
정기심사 진행 시 세부 점검방법을 자세히 알아보겠습니다.
점검방법은 다음 그림과 같이 크게 세 가지로 진행됩니다.
-APP/모듈 모의침투
-테스트베드 구축 및 인증 APP,모듈 대상 모의침투 진행
*APP : Android, Apple 마켓에 업로드 된 최신 인증 APP대상 모의침투
*모듈 : 최신 인증모듈 대상 모의침투 테스트베드 구성
-취약점 진단-
-본인확인서비스 주요 서버(서버,DB,네트워크,정보보호)대상 진단
*주요정보통신기반시설 및 전자금융기반시설 취약점 분석 평가기준 준용
-현장실사-
-본인확인기관 적합성 심사 평가기준(87개 통제항목)에 따른 현장실사

-인증 모듈에 대한 모의침투 과정-
* 테스트베드를 구축 후 인증앱과 인증 모듈에 대한 모의침투 과정으르 신청기관에서 안드로이드 및 아이폰 모바일 앱 마켓에
업로드 한 최신 인증앱을 대상으로 모의침투 과정을 진행
* 인증대행사/CP사 등에서 사용하는 최신 인증모듈을 대상으로도 모의침투 과정을 진행하여, 보안 취약성을 탐지하고 이에대한
조치 여부를 정기적으로 점검하고
첫번째는 인증앱과 인증 모듈에 대한 모의침투 과정입니다.
테스트베드를 구축한 뒤 인증앱과 인증 모듈에 대한 모의침투 과정을 진행해서 신청기관에서
안드로이드 및 아이폰 모바일 앱 마켓에 업로드한 최신 인증앱을 대상으로 모의침투 과정을 진행하며,
인증대행사, CP사 등에서 사용하는 최신 인증모듈을 대상으로도 모의침투 과정을 진행해
보안 취약성을 탐지하고 이에 대한 조치 여부를 정기적으로 점검하고 있습니다.

-취약점 진단과정-
두번째는 취약점 진단 과정입니다.
<서버,DB,네트워크 및 정보보호 시스템 등 본인확인서비스 주요 시스템을 대상으로 보안 취약점을 정기적으로 진단하고
발견된 보안취약점에 대한 조치여부를 정기적으로 점검>
서버, DB, 네트워크 및 정보보호 시스템 등 본인확인서비스 주요 시스템을 대상으로 보안 취약점을
정기적으로 진단하고 발견된 보안 취약점에 대한 조치 여부를 정기적으로 점검하고 있습니다.

-적합성 평가 현장실사-
<적합성 평가 현장실사>
-적합성 심사 평가기준인 87개 통제항목에 따라 아이핀/휴대폰/인증서/카드 기반 본인확인기관에 대해서 매번 정기적으로 현장실사를 진행
세번째는 본인확인기관에 대한 적합성 평가 현장실사 과정입니다.
적합성 심사 평가 기준인 87개 통제항목에 따라 아이폰, 휴대폰, 인증서, 카드 기반 본인확인기관에 대해서
매번 정기적으로 현장실사를 진행하고 있습니다.
인증앱과 인증모듈에 대한 모의침투, 취약점 진단과정을 자세히 알아보겠습니다.

-인증앱/인증모듈 모의침투-
인증대행사가 배포하는 본인확인서비스 인증모듈에 대한 모의침투 과정을 진행하기 위해서
1. 인증모듈 현황 파악을 위한 시스템 현황표를 작성해 주시고,
2. 본인확인서비스 인증모듈 목록을 제출해 주시면,
3. 테스트베드 구축 후 모의침투 과정을 수행한 후,
4. 현장방문 시 결과를 리뷰해 드리는 절차로 진행됩니다.

간편인증용 모바일 앱에 대한 모의침투 과정은 다음과 같은 순서로 진행됩니다.
<간편인증용 모바일앱 모의침투>
1. 모바일앱 현황 파악을 위한 시스템 현황표를 작성해서 제출해 주시면,
2. 앱 마켓에서 최신버전 앱을 다운로드 후 모의침투 과정을 수행한 후,
3. 현장방문 시 결과를 리뷰해 드리는 절차로 진행됩니다.

시스템 취약점 점검은
<시스템 취약점 점검>
1. 취약점 진단 대상 파악을 위한 시스템 현황표를 작성 후 제출해 주시면,
2. 취약점 진단 대상을 선정한 후에,
3. 취약점 진단용 스크립트를 전달해 드리고
4. 실행 결과를 회신해 주시면,
5. 현장방문 인터뷰를 진행한 후에,
6. 현장실사 시 결과를 리뷰해 드리는 절차로 진행됩니다.

-심사사항별 적합성 평가기준-
<적합>
-신청기관의 본인확인업무가 심사사항별 세부심사기준에 규정된 요구사항을 충족하는 경우
<보안>
-본인확인기관 지정기준 및 세부 심사기준의 위반 사실 및 정도가 경미하여 즉시 시정할 수 있는 경우, 고의 또는 중대한 과실이
아닌 사소한 부주의나 단순한 오류로 인한 경우
<부적합>
-본인확인기관 지정기준 및 세부 심사기준에 부합하지 않으며, 다수의 이용자가 대체수단을 이용하는데 중대한 지장을 초래할
것으로 인정되는 경우
다음으로, 본인확인기관에 대한 현장실사를 자세히 알아보겠습니다.
현장실사에서는 87개 적합성 심사 평가사항별 적합성을 평가하게 되며,
각각의 심사사항에 대한 적합성 평가기준의 유형과 판단기준은 다음과 같습니다.
신청기관의 본인확인업무가 심사사항별 세부 심사기준에 규정된 요구사항을 충족하는 경우 적합으로 판단하고,
본인확인기관 지정기준 및 세부 심사기준의 위반 사실 및 정도가 경미하여 즉시 시정할 수 있는 경우,
또는 사소한 부주의나 단순한 오류로 인한 경우로 판단되는 경우 보완사항으로 판단하며,
본인확인기관 지정기준 및 세부 심사기준에 부합하지 않으며,
다수의 이용자가 대체수단을 이용하는데 중대한 지장을 초래할 것으로 인정되는 경우에는 부적합으로 판단하게 됩니다.
만일, 부적합한 사항이 발견된 경우, 해당 사항의 경중에 따라
경고, 업무중지, 지정취소 등의 행정처분이 내려지거나 또는 후속조치를 안내해 드립니다.

그럼, 본인확인기관 사후심사는 어떻게 진행될까요?
본인확인기관 사후관리 정기점검 적합성 심사 절차 흐름도를 살펴보면 다음과 같습니다.

-적합성 심사 절차 흐름도-
1. 신청기관은 방송통신위원회에 본인확인기관 적합성 심사를 신청하면
2. 방송통신위원회는 신청기관에 적합성 심사 계획을 통보해 드립니다.
3. 이후, 방송통신위원회는 심사 계획을 수립하며 심사팀을 구성하게 되고,
4. 심사팀은 신청기관에 대한 본인확인기관 적합성 심사를 실시하게 됩니다.
5. 심사팀은 현장실사 후 도출된 보완사항을 중심으로 심사보고서를 작성하여 방송통신위원회에 제출하게 됩니다.
대략적인 적합성 심사 일정을 살펴보면 다음과 같습니다.

-정기심사 적합성 심사 일정-
<1일차 착수회의>
- 주요내용 : 기관현황소개(임직원 참석), 시간 : 11시간
<1일차 기관현황>
- 주요내용 : 심사대상 문서접수 및 검토, 대체수단 발급, 본인확인서비스 소개, 본인확인DB연동, NW구성도 등 소개,
기술인력 및 재정 심사(회계사)
, 시간 : 13시 30분 ~ 17시
<2~4일차 서면심사 및 현장실사>
- 주요내용 : 현장실사/검증, 관련자면담, Server/NW/DB/AP OS 및 로그, 정책점검 등 서면/현장실사, 시간 : 10시 ~ 17시
<5일차 종료회의>
- 주요내용 : CISO, CPO 등 임원급 참석, 심사결과 총평, 시간 : 11시
기관별 적합성 심사 시 현장실사는 총 5일간 진행되며,
1일차에는 오전에 착수회의를 진행하고, 오후에는 심사대상 문서를 접수 및 검토한 뒤 대체수단 발급과
본인확인서비스, 본인확인DB와 네트워크 구성도 등을 중심으로 기관 현황을 파악하게 됩니다.
2일차부터 4일차에는 서면실사와 현장실사를 진행하게 됩니다. 본인확인서비스 담당자 인터뷰를 진행하여
서버, 네트워크, DB, OS 및 로그, 정책 등에 대한 현장실사를 진행하게 됩니다.
그리고 마지막 5일차에는 87개 통제항목에 대한 적합성 심사결과를 총평합니다.
종료회의를 통해 현장실사를 마무리합니다.

-적합성 심사 절차 흐름도-
현장실사 이후 진행되는 일정은 다음과 같습니다.
앞서 살펴본 바와 같이 현장실사 심사팀이 구성돼 5일간 신청기관에 대한 적합성 심사를 진행한 뒤,
방송통신위원회에 보완사항을 중심으로 심사 보고서를 제출하면,
6. 방송통신위원회는 신청기관에 현장실사에서 도출된 보완사항에 대해 소명을 요청드리며,
7. 신청기관은 방송통신위원회에 ‘이행조치계획서’를 제출하시고 보완사항에 대해 이행조치 계획을 수립하신 후,
8. 30일이내, 또는 조치기간 60일 연장할 경우 최장 90일 이내에 도출된 보완사항에 대해 조치를 완료하신 뒤에 이를 보완조치 내역서에 작성하여 방송통신위원회에 제출해 주시면,
9. 방송통신위원회는 보완사항 조치여부 확인 계획을 수립한 후 다시 심사팀을 구성하고,
10. 심사팀은 신청기관을 다시 방문하여 보완사항에 대한 조치여부를 현장에서 확인하는 ‘이행점검’ 과정을 수행하게 됩니다.
11. 이행점검 종료 후에 심사팀은 심사결과보고서를 작성하여 이를 방송통신위원회에 제출하면
12. 최종적으로 방송통신위원회는 신청기관에 적합 또는 허가 유지 여부를 통보해 드리는 순서로 적합성 심사가 진행됩니다.

정기점검 후 본인확인업무의 정지 및 지정취소 등에 관한 행정처분 내용에 대해 살펴보면 다음과 같습니다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제9조의 7, 제1항을 통해
본인확인업무의 정지 및 지정취소 등에 관한 행정처분 기준이 제시되어 있습니다.

-심사사항별 적합성 평가기준-
거짓이나 그 밖의 부정한 방법으로 본인확인기관을 지정받은 경우,
또는 본인확인업무의 정지명령을 받은 자가 그 명령을 위한하여 업무를 정지하지 않은 경우,
정보통신망법 제23조의4 제1항 제1호 및 제2호에 따라 지정 취소될 수 있으며,
지정받은 날로부터 6개월 이내에 본인확인업무를 개시하지 않거나 6개월 이상 계속하여,
본인확인업무를 휴지한 경우(법 제23조의4제1항제3호)에는 1차로 업무정지 3개월, 2차 위반 시 지정 취소될 수 있습니다.
또한, 정보통신망법 제23조의3 제4항에 따른 지정기준에 적법하지 않게 된 경우,
1차 위반시 경고, 2차 위반시 업무정지 3개월, 그리고 3차 위반 시 업무정지 6개월에 처해질 수 있습니다.
행정처분 기준에 대해 자세히 살펴보면 다음과 같습니다.

-본인확인기관 사후관리-
<행정처분 기준 행정처분 감경사유>
1. 위반행위가 고의나 중대한 과실이 아닌 사소한 부주의나 단순한 오류로 인한 것으로 인정되는 경우
2. 위반의 내용, 정도가 경미하여 즉시 시정할 수 있다고 인정되는 경우
3. 업무정지 또는 지정취소 처분으로 다수의 이용자가 대체수단을 이용하는데 중대한 지장을 초래할 것으로 인정되는 경우
위반행위가 둘 이상인 경우로서 그에 해당하는 각각의 처분기준이 다른 경우에는,
그 중 무거운 처분기준에 따르며, 다만, 둘 이상의 처분기준 중 경고가 포함되어 있는 경우에는 경고를 함께 부과할 수 있고,
둘 이상의 처분기준이 모두 업무정지인 경우에는 각 처분기준을 합산한 기간을 넘지 않는 범위에서
무거운 처분기준의 2분의 1의 범위에서 가중할 수 있습니다.

-본인확인기관 사후관리-
그리고, 위반행위의 횟수에 따른 행정처분기준은 최근 1년간 같은 위반행위로 행정처분을 받은 경우에 적용하게 됩니다.
이 경우 위반행위에 대하여 행정처분을 받은 날과 다시 같은 위반행위로 적발된 날을 각각 기준으로 하여 위반횟수를 계산하게 됩니다.
다만, 처분권자는 다음 각 목에 해당하는 사유를 고려하여 처분을 법 제23조의4 제1항 제1호 및 제2호에 해당하는 경우 감경할 수 있습니다.
이 경우 그 처분이 업무정지인 경우에는 그 처분기준의 2분의 1의 범위에서 감경할 수 있고,
지정취소인 경우에는 6개월의 업무정지로 감경할 수 있습니다.

마지막으로 본인확인업무 휴지 및 폐지 절차에 대해 알아보도록 하겠습니다.

-본인확인업무 휴/폐지 절차-
<휴/폐지 절차도>
1. 서비스 중단통보(신청기관→이용자) : D-60
2. 서비스 중단통보(신청기관→방통위) : D-60
3. 신청서 검토 및 통보(방통위, KISA → 신청기관)
4. 본인확인기관 업무폐지 : D-DAY
본인확인기관 지정 후 여러가지 사유로 인해 부득이하게 본인확인기관 운영을 중단하거나 업무를 폐지할 수 있습니다.
이 경우 정보통신망법 제23조의3 제3항에 따라 본인확인기관이 본인확인업무를 폐지하고자 하는 때에는
폐지하고자 하는 날의 60일 전까지 이를 이용자에게 통보하고, 방송통신위원회에 신고하도록 규정하고 있습니다.

-본인확인업무 폐지 신고서 및 첨부자료-
1. 제1항 각 호의 사항을 기재한 통보서류
2. 대체수단 및 개인정보의 파기 계획에 관한 서류
3. 이용자의 보호조치 계획에 관한 서류
4. 본인확인기관지정서
그리고, 정보통신망법 시행령 제9조의 6에 따라 본인확인기관은
폐지의 사유, 폐지의 일시와 대체수단 및 개인정보의 파기에 관한 사항을 이용자에게 통보하도록 정하고 있습니다.
또한 본인확인업무의 폐지할 경우 본인확인업무 폐지 신고서에 다음 각 호의 서류를 첨부하여
방송통신위원회에 제출하도록 정하고 있습니다.

이번 차시는 본인확인기관 사후관리 절차로 정기점검과 행정처분 기준,
그리고 본인확인업무 휴지 및 폐지 절차에 대해 살펴보았습니다.

감사합니다.

-한국인터넷진흥원-