검수요청.png검수요청.png

"전자서명 인증업무 평가‧인정제"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
 
(같은 사용자의 중간 판 2개는 보이지 않습니다)
1번째 줄: 1번째 줄:
'''전자서명 인증업무 평가‧인정제'''는 [[전자서명]]의 신뢰성을 제고하고, 이용자의 합리적 선택에 필요한 저보제공을 위해 도입한 제도이다.  
+
'''전자서명 인증업무 평가‧인정제'''<!--전자서명 인증업무 평가 인정제, 전자서명 인증업무 평가 및 인정제-->는 [[전자서명]]의 신뢰성을 제고하고, 이용자의 합리적 선택에 필요한 정보제공을 위해 도입한 제도이다. 현행법의 [[공인인증서]]는 일반 인증서와 구별되는 별도 법적효력이 있지만, 개정안의 평가를 통과한 인증수단에는 별도 법적효력이 부여되지 않는다. 다만 운영기준을 준수했다는 표시를 통해 이용자들이 이를 선택할 수 있게 했다.
  
==개요==
+
== 개요 ==
 +
전자서명 인증업무 평가‧인정제는 전자서명의 신뢰성을 제고하고, 이용자의 합리적 선택에 필요한 정보제공을 위해 도입한 제도이다. 2020년 5월 20일, 공인인증서와 사설인증서의 구별을 없애는 내용의 전자서명법 전부개정안이 20대 국회 마지막 본회의를 통과했다. 공인인증서의 '공인' 지위를 박탈하는 대신 전자서명인증업무 운영기준 준수 사실 평가 및 인정제가 도입된다. 현행 공인인증서는 1년마다 잊지 않고 갱신해야 해서 불편하고, 하드웨어에 저장된 인증서에 [[웹브라우저]]가 접근할 수 있도록 하는 [[플러그인]]을 수차례 설치해야 해 보안 공격에 취약했다. 게다가 점점 다양해지는 이용자의 웹 이용 환경을 고려하지 않는다는 점 때문에 비판받아왔다.
  
==주요 내용==
+
[[과학기술정보통신부]]는 특히, 이번 법 개정으로 "블록체인과 생체인증 등 신기술을 기반으로 한 다양한 전자서명수단 간 경쟁이 활성화할 것"이라고 기대했다. 이미 시장에선 [[카카오]]와 [[네이버]], 이동통신 3사 등 대기업뿐 아니라 다양한 스타트업이 개발한 간편 인증 서비스가 각축을 벌인다. 6~8자리 암호만 입력하거나 이런 절차마저 안면인식 등으로 대체해 이용자에게 장벽 없는 경험을 선사하는 서비스 사이에서 기존 공인인증서가 도태되는 건 자연스러운 절차이다.<ref>정인선 기자, 〈[http://h21.hani.co.kr/arti/society/society_general/48720.html (뉴스 큐레이터) 공인인증서, 네가 그리울 거야 아주 가끔]〉, 《한겨레21》, 2020-05-22 </ref>
과학기술정보통신부장관은 전자서명의 신뢰성을 제고하고 가입자 및 이용자가 합리적으로 전자서명인증서비스를 선택하는 데 필요한 정보를 제공하기 위하여 전자서명인증업무 운영기준 준수사실을 인정하는 제도를 도입했다. 전자서명인증사업자는 과학기술정보통신부장관이 선저하여 고시하는 평가기관의 평가 등을 거쳐 과학기술정보통신부장관이 선정하여 고시하는 인정기관으로부터 전자서명인증업무 운영 기준 준수사실의 인정을 받을 수 있다. 인정기관은 전자서명인증사업자의 전자서명인증업무 운영기준 준수사실을 인정한 경우 증명서를 발급하고, 증명서를 발급받은 전자서명인증사업자는 전자서명인증업무 운영기준 준수사실을 표시할 수 있도록 한다. 과학기술정보통신부장관은 평가기관 또는 인정기관이 선정기준에 맞지 아니하게 된 이유 등에는 그 선정을 취소하거나 업무의 전부 또는 일부의 정지를 명할 수 있도록 한다.
 
  
==참고자료==
+
== 등장배경 ==
 +
1999년 제정된 [[전자서명법]]에 공인인증 제도를 도입한 뒤 21년 만에 공인인증서 제도가 역사 속으로 완전히 사라지게 되었다. 공인인증서는 한국의 전자서명 제도 도입 초기에 광범위하게 활용되면서 전자상거래 활성화 등 국가 정보화에 기여하였으나, 현시점에는 공인인증서가 시장독점을 초래하고 전자서명 기술의 발전과 서비스 혁신을 저해하며, 다양하고 편리한 전자서명수단에 대한 국민들의 선택권을 제한한다는 등의 문제점이 제기되고 있었다. 이러한 문제점을 개선하기 위해 공인인증서 제도를 폐지함으로써 민간의 다양한 전자서명 수단들이 기술 및 서비스를 기반으로 차별 없이 경쟁할 수 있는 여건을 조성하고, 전자서명의 신뢰성 제고 및 전자서명인증 서비스 선택에 필요한 정보 제공을 위하여 국제적 기준을 고려한 전자서명의 신뢰성 제고 평가 및 인정제도를 도입하는 등 전자서명 제도를 국가 위주로 개편하여 관련 산업의 경쟁력을 제고하는 동시에 국민의 선택권을 확대하기 위함이다.<ref name="과기">과학기술정보통신부 (정보보호기획과), 〈[https://www.lawmaking.go.kr/mob/ogLmPp/58990 전자서명법 전부개정법률(안) 입법예고]〉, 《국민참여입법센터》, 2020-05-19 </ref>
 +
 
 +
== 주요 내용 ==
 +
[[파일:기존의 전자서명 방식.png|썸네일|400픽셀|기존의 전자서명 방식]]
 +
 
 +
[[과학기술정보통신부]] 장관은 전자서명의 신뢰성을 제고하고 가입자 및 이용자가 합리적으로 전자서명인증 서비스를 선택하는 데 필요한 정보를 제공하기 위하여 전자서명인증업무 운영기준 준수 사실을 인정하는 제도를 도입했다. 전자서명인증사업자는 과학기술정보통신부 장관이 선정하여 고시하는 평가기관의 평가 등을 거쳐 과학기술정보통신부 장관이 선정하여 고시하는 인정기관으로부터 전자서명인증업무 운영 기준 준수 사실의 인정을 받을 수 있다. 인정기관은 전자서명인증사업자의 전자서명인증업무 운영기준 준수 사실을 인정한 경우 증명서를 발급하고, 증명서를 발급받은 전자서명인증사업자는 전자서명인증업무 운영기준 준수 사실을 표시할 수 있도록 한다. 과학기술정보통신부 장관은 평가기관 또는 인정기관이 선정기준에 맞지 아니하게 된 이유 등에는 그 선정을 취소하거나 업무의 전부 또는 일부의 정지를 명할 수 있도록 한다.
 +
 
 +
전자서명 신뢰성을 제고하고, 이용자의 합리적 선택에 필요한 정보제공을 위해 전자서명 인증업무 평가‧인정제를 도입한다. 공인인증서 제도가 폐지됨에 따라 전자서명수단의 신뢰성 제고와 이용자의 합리적 선택에 필요한 정보제공을 위해 국제기준 등을 고려한 전자서명인증업무 운영기준을 마련해 고시할 수 있도록 했다. 전자서명인증사업자는 과학기술정보통신부 장관이 선정하는 평가기관에 운영기준을 준수했는지 여부에 대해 평가를 신청할 수 있다. 평가기관은 평가 결과를 인정기관에 제출하고, 인정기관은 자료 확인 후 운영기준을 준수한다는 증명서를 발급받을 수 있다. 전자서명 사업자는 운영기준 준수 사실을 표시하는 것은 가능하다. 이용자들은 전자서명수단에 대한 객관적 정보를 제공받아 전자서명수단을 선택할 수 있다. 이를 두고 과학기술정보통신부는 다양한 신기술 전자서명의 개발 및 확산에 대응해 이용자에게 신뢰성과 안정성이 높은 전자서명의 선택을 지원하는 한편, 신기술과 중소기업 전자서명 서비스의 신뢰성 입증, 시장진출 기회를 확대를 뒷받침하기 위한 제도를 도입하는 것이라고 평가했다.<ref name="이유">이유지 기자, 〈[https://byline.network/2020/05/20-94/ 전자서명법 개정안 국회 본회의 통과, ‘공인인증서’ 21년만에 역사 속으로]〉, 《바이라인네트워크》, 2020-05-20 </ref>
 +
 
 +
=== 전부개정법률(안) ===
 +
가. 공인인증기관, [[공인인증서]] 및 공인전자서명 제도의 폐지(안 제2조)
 +
:[[과학기술정보통신부]] 장관이 지정하는 공인인증기관, 공인인증기관에서 발급하는 공인인증서 및 공인인증서에 기초한 공인전자서명 개념을 삭제함.
 +
나. 전자서명의 효력 부여(안 제3조)
 +
:법령의 규정이나 당사자 간의 약정에 따라 한 전자서명은 서명, 서명날인 또는 기명날인으로서의 효력을 가지며, 그 외의 전자서명은 전자적 형태라는 이유로 서명, 서명날인 또는 기명날인으로서의 효력이 부인되지 아니하도록 함.
 +
다. 다양한 [[전자서명]]수단의 이용 활성화 노력(안 제6조)
 +
:국가는 다양한 전자서명수단의 이용 활성화를 위하여 노력하여야 하며, 전자서명수단을 특정할 경우에는 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 또는 감사원규칙에 명시하도록 함.
 +
라. 전자서명인증업무 운영기준 준수사실 인정제도의 도입(안 제7조부터 제13조까지)
 +
# 과학기술정보통신부 장관은 전자서명의 신뢰성을 제고하고 가입자 및 이용자가 합리적으로 전자서명인증서비스를 선택하는 데 필요한 정보를 제공하기 위하여 전자서명인증업무 운영기준 준수사실을 인정하는 제도를 도입함.
 +
# 전자서명 인증사업자는 과학기술정보통신부 장관이 선정하여 고시하는 평가기관의 평가 등을 거쳐 과학기술정보통신부장관이 선정하여 고시하는 인정기관으로부터 전자서명인증업무 운영기준 준수사실의 인정을 받을 수 있음.
 +
# 인정기관은 전자서명 인증사업자의 전자서명 인증업무 운영기준 준수사실을 인정한 경우 증명서를 발급하고, 증명서를 발급받은 전자서명인증사업자는 전자서명 인증업무 운영기준 준수사실을 표시할 수 있도록 함.
 +
# 과학기술정보통신부 장관은 평가기관 또는 인정기관이 선정기준에 맞지 아니하게 된 경우 등에는 그 선정을 취소하거나 업무의 전부 또는 일부의 정지를 명할 수 있도록 함.
 +
마. 전자서명인증업무준칙의 작성, 게시 및 준수(안 제15조제1항)
 +
:증명서를 발급받은 전자서명인증사업자는 전자서명인증서비스의 종류 및 이용조건, 전자서명인증 업무의 수행방법 및 절차 등이 포함된 [[전자서명인증업무준칙]]을 작성하여 인터넷 홈페이지 등에 게시하고 이를 성실히 준수하도록 함.
 +
바. 전자서명 관련 분쟁의 조정 신청(안 제22조)
 +
:전자서명에 관련된 분쟁의 조정을 받으려는 자는 「전자문서 및 전자거래 기본법」에 따른 전자문서 및 전자거래분쟁조정위원회에 조정을 신청할 수 있도록 함.<ref name="과기"></ref>
 +
 
 +
:{|class=wikitable width=1000 style="background-color:#ffffee"
 +
|+<big>'''2018년도 조문별 개정이유와 기대효과'''</big>
 +
!align=center style="background-color:#ffeecc" width="9%"|조 문
 +
!align=center style="background-color:#ffeecc"|개정 이유
 +
!align=center style="background-color:#ffeecc"|개정 내용
 +
!align=center style="background-color:#ffeecc"|입법 효과
 +
|-
 +
|align=center|가입자 보호(안 제8조)
 +
|align=center|가입자 보호를 위한 세부조적인 사항을 정하기 위함
 +
|align=center|전자서명인증업무의 종류, 수행방법 및 이용조건 등이 포함된 [[전자서명인증업무준칙]]을 작성하여 게시하고, 주요 내용을 가입자에게 고지하도록 하며, 전자서명 인증업무를 휴지 및 폐지하는 경우에는 가입자에게 해당사실을 사전 통보하도록 규정
 +
|align=center|전자서명 인증업무의 제공 및 휴지 및 폐지시 가입자 보호를 위해 필요한 사항을 규정함으로써 전자서명 가입자의 권익 보호
 +
|-
 +
|align=center|가입자 신원확인<br>(안 제9조)
 +
|align=center|신뢰성 있는 전자서명인증 업무 제공을 위해 가입자의 신원확인 절차 및 방법을 구체적으로 정하기 위함
 +
|align=center|증명서를 발급받은 전자서명 인증사업자에게 전자서명 인증업무를 제공받고자 하는 가입자의 신원을 대통령이 정하는 바에 따라 확인하도록 규정
 +
|align=center|법령에 따른 가입자 신원확인 절차 마련으로 전자서명 인증업무의 안정성 및 신뢰성이 제고될 것으로 기대됨
 +
|-
 +
|align=center|전자문서의 시점확인<br>(안 제10조)
 +
|align=center|전자서명 인증사업자가 제 삼자의 지위에서 전자문서가 제시된 시점을 확인하는 서비스를 제공함으로써 전자문서의 유통을 활성화할 필요
 +
|align=center|전자서명 인증사업자는 가입자 및 이용자의 요청이 있는경우, 전자문서가 당해 전자서명 인증사업자에게 제시된 시점을 전자서명하여 확인할 수 있음
 +
|align=center|전자문서에 대한 객관적인 시점확인을 통해 전자문서 유통 활성화 기여
 +
|-
 +
|align=center|시정명령<br>(안 제11조)
 +
|align=center|전자서명의 신뢰성있는 유통 및 이용자 보호를 위해 가입자 보호조치 등 법률상 의무위반사항에 대한 시정을 명할 수 있는 근거를 마련하기 위함
 +
|align=center|* 증명서를 발급받은 전자서명 인증사업자가 제5조 제7항에 따른 운영기준 준수여부에 대한 평가기준을 충족하지 못한 경우<br>* 제7조 1항에서 정한 방법과 다르게 운영기준 준수사실을 표시한 경우<br>* 제8조의 규정을 위반하여 인증업무준칙을 작성, 게시, 준수하지 아니하거나 전자서명 인증업무의 휴지 및 폐지 사실을 게시 및 통보하지 않을 경우<br>* 제9조의 규정을 위반하여 가입자의 신원을 확인하지 아니한 경우 등에 대하여 기간을 정하여 시정조치를 명할 수 있음
 +
|align=center|가입자 보호조치 등에 대한 실효성이 확보될 것으로 기대됨
 +
|-
 +
|align=center|검사 등<br>(안 제12조)
 +
|align=center|인증업무의 안정성 및 신뢰성 확보와 가입자 보호를 위한 행정조사 근거 마련하기 위함
 +
|align=center|* 제7조 제1항의 규정에 따른 운영기준 준수사실의 표시 여부<br>* 제8조의 규정에 따른 인증업무준칙의 작성, 게시, 준수 및 전자서명 인증업무의 휴업 및 폐지사실에 대한 게시와 통지 방법의 이행 여부<br>* 제9조의 규정에 따른 신원확인 절차 및 방법의 준수 여부에 대한 자료제출 또는 관계 공무원에 의한 시설 및 물건의 검사에 관한 규정
 +
|align=center|가입자 보호조치 등에 대한 실효성이 확보될 것으로 기대됨
 +
|}
 +
 
 +
전자서명 인증업무 평가‧인정제는 현행법 제4조와 제6조를 대체하는 성격을 띤다. 현행법의 공인인증서는 일반 인증서와 구별되는 별도 법적효력이 있지만, 개정안의 평가를 통과한 인증수단에는 별도 법적효력이 부여되지 않는다. 다만 운영기준을 준수했다는 표시를 통해 이용자들이 이를 선택할 수 있게 했다. 개정안 제4조는 전자서명 및 문서 위변조 방지 및 서명자 확인, 전자서명인증업무 가입, 이용, 폐지 관련 사항과 시설 및 자료 보호에 관련 사항 등에 국제적으로 인정되는 기준을 고려해 전자서명인증업무 운영기준을 마련하게 했다. 개정안 제6조는 평가기관과 인정기관을 선정 및 취소하거나 업무를 일부 또는 전부 정지할 수 있는 관리 근거를 담았다. 개정안 제5조는 전자서명인증사업자가 운영기준을 준수했는지 여부를 평가기관에 신청하고, 평가기관의 평가와 인정기관의 확인을 거쳐 증명서를 발급받을 수 있게 했다. 개정안 제7조는 증명서를 발급받은 전자서명인증사업자가 이용자 선택을 위한 정보 제공 차원에서 운영기준 준수 사실을 표시할 수 있게 했다.<ref>임민철, 황정빈 기자, 〈[https://www.zdnet.co.kr/view/?no=20180712171929 650억원 규모 공인인증 시장 '대변혁']〉, 《지디넷코리아》, 2018-08-08 </ref>
 +
 
 +
== 논란 ==
 +
=== 전자서명인증업무평가제 도입 ===
 +
{|class="wikitable plainrowheaders" align="right" style="text-align:center; margin:10px 10px 10px 15px; background-color:#ffffee;"
 +
!align="right" style="background-color:#ffeecc"|
 +
!align="right" style="background-color:#ffeecc"| 바뀐 내용
 +
|-
 +
!align="right" style="background-color:#ffffee"| 전자서명 법적효력
 +
| 공인 및 사설 인증서간 구분 폐지, 동등한 법적 효력
 +
|-
 +
!align="right" style="background-color:#ffffee"| 전자서명 업체 관리
 +
| 공인인증기관 지정제에서 '전자서명인증업무 평가제'로
 +
|-
 +
!align="right" style="background-color:#ffffee"| 특정 전자서명기술 강제
 +
| 고시가 아닌 법률 등 상위 법령으로만 가능
 +
|-
 +
!align="right" style="background-color:#ffffee"| 기존 공인인증기관
 +
| 혼란 방지 위해 1년간 평가받은 것(전자서명인증사업자)으로 유예
 +
|-
 +
|}
 +
 
 +
일상생활에서 주민등록증, 인감, 서명 등이 필요하듯 [[인터넷]]으로 전자거래를 할 때도 본인을 인증해주는 수단이 필요하다. 정부는 이처럼 중요한 전자서명 제도를 20년 만에 전면 개정하는 법안을 입법 예고했는데, 공인인증서와 사설인증서 간 구분을 없애고 동등한 법적 효력을 부여하는 게 핵심이다. [[금융결제원]]의 공인인증서나 카카오페이 인증이 똑같은 법적 지위를 갖게 되었다. 업계는 인증서 춘추전국 시대를 맞아 생체인증이나 블록체인 같은 신기술이 활성화되고 고객의 선택권이 확대될 것으로 기대하고 있다. 하지만, 일각에선 정부가 새 법안에서 전자서명인증업무 평가제를 도입해 또 다른 규제를 만들려 한다고 우려한다. 정부는 평가제가 민간 인증의 신뢰성을 높이는 방안이 될 수 있다는 입장이나, 추가 논의가 필요해 보인다. 정부안에 전자서명된 문서의 법적 효력이 삭제된 부분도 논란이다.
 +
 
 +
정부 전자서명법 개정안에서 눈에 띄는 내용은 공인인증기관 한국정보인증, 한국증권전산, 금융결제원, [[한국전자인증㈜]], [[㈜한국무역정보통신]], [[㈜한컴위드]] 등은 지정제도를 전자서명인증업무 평가제도로 바꾸고 특정 전자서명 기술을 강제하려면 고시가 아닌 법률 등 상위 법령으로만 가능하게 못 박은 점이다. 또한, 금융권 등에서 각종 지침을 통해 공인인증서 사용을 사실상 강제해왔던 전례를 없애기 위함이다. 기존 공인인증기관들은 앞으로 전자서명인증사업자로 이름이 바뀌는데, 이용자 혼란을 막기 위해 1년간 평가를 받은 것으로 간주하기로 했다. 모든 전자서명 인증 서비스 기업이 정부 평가를 받을 필요는 없지만, 평가를 받으면 증명서를 주는데 기존 공인인증기관들은 이 증명서를 이미 받은 것으로 1년간 인정해준다는 의미이다.<ref name="김이">김현아, 이재운 기자, 〈[https://www.edaily.co.kr/news/read?newsid=01111926619171856 공인인증 폐지되고 '전자서명평가제' 도입..독일까 득일까]〉, 《이데일리》, 2018-04-01 </ref>
 +
 
 +
=== 전자서명된 문서 법적 효력 삭제 ===
 +
업계는 드디어 '인증서 자율경쟁 시대가 전화됐다며 환영하는 분위기이다. 정부가 추진하겠다는 '전자서명인증업무평가제'에 대해선 반신반의하는 지적도 있다. 엔트러스트코리아 이문형 지사장은 "공인인증서 제도 폐지에 따라 국내 업체는 물론 해외 업체에도 새로운 기회가 열리고 있다"라고 말했다. 라온시큐어 관계자도 "공인인증서 폐지가 다양한 대체 인증수단 확대로 이어질 전망"이라고 말했다. 수기 서명으로 본인 인증이 가능한 기술을 개발한 시큐브 관계자는 "기술 개발 후 지속적인 영업과 마케팅을 통해 금융권 도입 논의가 활발하며, 자체 인증 솔루션인 큐(Q) 인증과 결합하고 [[블록체인]] 기술 개발도 속도를 내 시너지를 노리고 있다"라고 설명했다.
 +
 
 +
라온시큐어 관계자는 "주요 은행 및 카드사, 이동통신사, 카카오페이 등 국내 최다 [[FIDO]] 생체인증 솔루션 구축 실적을 보유하고 있는 점이 장점이며, 2020년 2월에는 블록체인 기업 '더루프'와 협약을 맺고 블록체인 기반의 FIDO 생체인증 시스템 개발과 신사업 공동 협력을 추진할 예정"이라고 말했다. 공인기관 자격을 갖고 있었던 한컴시큐어도 "기존 공인인증서의 기반 기술인 [[PKI]]는 블록체인과 근본적인 개념이 거의 같으며, 기존 인증기술과 블록체인을 결합해 신사업을 추진해나갈 것"이라고 밝혔다.
 +
 
 +
반면, 인증전문가 포럼 관계자는 전자서명인증업무 평가제를 걱정했다. 정부는 모든 전자서명 업체가 평가를 받을 필요는 없다고 하나 은행이나 쇼핑몰 등 고객 단에서는 평가단은 인증서와 그렇지 않은 인증서를 차별할 수밖에 없고, 새로운 진입 규제법인지 민간경쟁 활성화 법인지 모호하다고 비판했다. 또한, 국제 평가기관이 있는데 국내만 통용되는 평가제를 만들어 기업에 이중부담을 주지 말고 함께 갈 수 있도록 해야 하며, 정부 법안에 예전과 달리 전자 서명된 문서의 법적 효력이 빠져 있는 문제를 지적했다. 이에, 과학기술정보통신부 박준국 정보보호 산업 과장은 "평가조차 안 하면 공인인증기관이나 대기업 인증만 시장에서 신뢰를 받을 것이며, 국제 평가기관인 웹트러스트 방식은 PKI 방식만 평가해 카카오페이 인증은 평가 자체가 안되다"라고 반박했다.<ref name="김이"></ref>
 +
 
 +
=== 전부개정안 문제제기 ===
 +
;전자서명인증사업자
 +
전자서명 인증기술은 제각기 특징과 전문성이 있기에 사실상 다양한 전자서명 인증기술을 어느 특정한 평가기관에서 평가하기에는 무리가 있다. 과학기술정보통신부 개정안이 말하는 평가기관이 단순히 웹 표준 평가기관을 말하는 것인지 아니면 다른 무엇인지 알 수 없는 상태이다. 만약 웹 표준 평가기관으로부터 외부 평가를 받으라고 한다면 웹 표준에 따르지 않고 국제적으로도 독특한 전자서명 인증기술을 가진 사업자는 평가를 받기가 어려울 뿐만 아니라 전자서명인증사업자로 지정받기가 어려워질 것이다.  평가기준도 제각각 달라지기에 제대로 된 평가가 이뤄질지도 의문이다. 또한, 외부 평가기관의 평가를 받으려면 많은 비용을 지불해야 한다. 전자서명 인증사업자가 되고자 하는 기업에겐 큰 부담이자 새로운 규제인 것이다. 평가기관의 평가를 받고 나면 인증기관에서 증명서를 발급받으라고 하는데, 해당 인증기관이 무엇인지 또는 어떤 역할을 하는 곳인지조차 명확하지 않은 상태이다. 즉, 과학기술정보통신부의 전자서명법 전부개정안은 제2의 공인인증기관을 만드는 새로운 규제를 담은 법안이라 할 수 있다.<ref name="박성">박성기 인증전문가포럼 대표, 〈[https://www.boannews.com/media/view.asp?idx=68753&page=1&kind=2 제2의 공인인증서 만드는 전자서명법 전부개정안]〉, 《보안뉴스》, 2018-04-250 </ref>
 +
 
 +
;전자서명 및 인증의 영역과 법적효력 축소
 +
과학기술정보통신부 개정안은 전자문서 원본에 대한 추정 효력(전자서명법 제3조 제2항)을 삭제했다. 이는 전자문서 및 전자거래 기본법상 전자서명된 전자문서의 원본 추정력을 상실시킬 수 있기 때문에 국내 전자문서 산업에 혼란을 초래할 우려가 있다. 전자계약서나 동의서 등 전자문서에 서명된 전자서명은 제 삼자 증명을 원칙으로 한다. 계약 당사자 간 전자문서의 위조 및 변조에 대한 분쟁이 발생할 경우 중립적인 제 삼의 인증기관에서 전자서명의 진위와 전자문서의 진본에 대한 증명을 수행한다. 그러나 과학기술정보통신부 개정안에는 이러한 내용이 사라져 당사자 간 알아서 해결할 수밖에 없게 됐다. 민법적으로 해결할 방법이 있지 않으냐는 말은 전자서명된 전자문서의 원본 추정력과 전자서명의 기능을 제대로 알지 못하다는 사실을 반증한다. 또한, 현행 전자서명법의 본인인증 효력도 삭제됐다. 이는 다양한 핀테크 산업의 발전으로 이뤄진 여러 인증수단의 본인인증 효력을 법적으로 뒷받침하지 못하는 결과를 초래한다. 다양한 인증수단의 기능을 오직 서명날인하는 전자서명 기능에만 한정하기 때문이다.<ref name="박성"></ref>
 +
 
 +
;전자서명인증사업자 역차별 및 발급절차 모순
 +
과학기술정보통신부 개정안 제 3조는 전자서명인증 사업자가 되지 않아도 전자서명인증 서비스를 통해 전자서명을 제고하면 법적 효력을 갖게 되어있다. 이러한 전자서명 서비스 제공자는 정부가 정하는 가입자 신원 확인에 대한 규제를 받지 않아 자유롭게 서비스를 제공할 수 있다. 그러나 전자서명인증 사업자는 대통령령으로 정하는 데 따라 가입자 신원을 확인하게 되어있다. 즉, 전자서명인증 사업자가 전자서명인증 서비스에 있어 오히려 규제에 묶이는 역차별이 생기게 된다. 과학기술정보통신부 개정안 부칙은 개별 법령에 있는 공인인증서를 삭제하는 대신 전자서명의 전제조건으로 실지명의 확인이 가능한 인증서를 명시하고 있어 실제 주민등록번호를 기반으로 가입자 신원 확인이 가능한 인증서를 요구하고 있다. 즉, 기존 공인인증제도와 마찬가지인 셈이다.<ref name="박성"></ref>
 +
 
 +
;인증사업자 이중비용 요구
 +
과학기술정보통신부 개정안은 기존 전자서명법과 달리 본인확인 효력을 삭제해 서명날인하는 전자서명에만 효력을 부여하고 있다. 그렇기 때문에 전자서명인증사업자가 되기 위해 많은 비용을 들여 외부 평가기관으로부터 평가를 받아야 하며, 본인확인을 위해서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에서 정하는 본인확인 기관 지정을 별도로 받아야 한다. 그래야만 전자서명 서비스와 본인확인 서비스를 제공할 수 있기 때문이다. 즉, 본인확인 및 전자서명을 하려면 전자서명인증사업자만이 아니라 본인확인 기관 지정도 별도로 받아야 하는 논리가 만들어진다. 전자서명인증사업자가 두 개의 별도 시스템을 만들어 평가받고 또 지정받아야 하는 엄청난 비용 낭비를 유발한다. 기존 전자서명법에선 인증기관 지정만 받으면 두 가지를 모두 서비스할 수 있었다.<ref name="박성"></ref>
 +
 
 +
== 전망 ==
 +
공인인증서 제도 폐지로 공인 및 사설 인증서 차별이 없어지면서 관련 시장과 산업 지형에 변화가 예상된다. 기존 공인인증서 역시 여러 인증수단 가운데 하나가 된다. 이에 따라 인증 솔루션 시장은 완전 자율경쟁 체제에 돌입하게 됐다. 정부는 블록체인, 생체인증 등 다양한 신기술을 이용한 새로운 전자서명 서비스 개발이 활성화될 것으로 전망하고 있다. 전자서명 이용기관은 기존 공인 전자서명 대신 편의성과 신뢰성이 높은 다양한 전자서명수단의 이용을 확대하고, 이용자들도 불편함 없는 편리하고 다양한 전자서명 서비스를 이용할 수 있을 것으로 예상된다. 새로운 전자서명 기술 확산은 [[사물인터넷]] 기기 등 사물 간 인증과 관련한 혁신적 서비스 창출에도 기여할 것으로 기대된다. 공인인증제도가 폐지되어도 기존의 공인인증서는 다양한 전자서명 수단 중의 하나로 계속 사용될 수 있도록 했다. 기존 공인인증서 이용자에 불편이 없도록 기존에 발급된 공인인증서는 유효기간까지 이용할 수 있다. 그 이후에는 이용기관과 이용자 선택에 따라 일반 전자서명 중 하나로 사용할 수 있게 된다.
 +
 
 +
과학기술정보통신부 [[장석영]] 2차관은 "이번 개정으로 신기술 전자서명이 활성화되고, 국민들께 더욱 안전하고 편리한 인터넷 이용환경을 제공할 수 있게 됐으며, 포스트 코로나 시대 비대면 서비스의 핵심인 인증기술 발전에도 기여할 수 있게 됐다"라고 말했다. 또한, "법 시행 전까지 시행령 등 하위법령 개정에 만전을 기하고 제도 변화에 따른 국민 혼란이 없도록 철저히 대비하겠다"라고 밝혔다.<ref name="이유"></ref>
 +
 
 +
{{각주}}
 +
 
 +
== 참고자료 ==
 
* 김현아, 이재운 기자, 〈[https://www.edaily.co.kr/news/read?newsid=01111926619171856 공인인증 폐지되고 '전자서명평가제' 도입..독일까 득일까]〉, 《이데일리》, 2018-04-01
 
* 김현아, 이재운 기자, 〈[https://www.edaily.co.kr/news/read?newsid=01111926619171856 공인인증 폐지되고 '전자서명평가제' 도입..독일까 득일까]〉, 《이데일리》, 2018-04-01
 
* 박성기 인증전문가포럼 대표, 〈[https://www.boannews.com/media/view.asp?idx=68753&page=1&kind=2 제2의 공인인증서 만드는 전자서명법 전부개정안]〉, 《보안뉴스》, 2018-04-25
 
* 박성기 인증전문가포럼 대표, 〈[https://www.boannews.com/media/view.asp?idx=68753&page=1&kind=2 제2의 공인인증서 만드는 전자서명법 전부개정안]〉, 《보안뉴스》, 2018-04-25
 
* 과학기술정보통신부 (정보보호기획과), 〈[https://www.lawmaking.go.kr/mob/ogLmPp/58990 전자서명법 전부개정법률(안) 입법예고]〉, 《국민참여입법센터》, 2020-05-19
 
* 과학기술정보통신부 (정보보호기획과), 〈[https://www.lawmaking.go.kr/mob/ogLmPp/58990 전자서명법 전부개정법률(안) 입법예고]〉, 《국민참여입법센터》, 2020-05-19
 
* 이유지 기자, 〈[https://byline.network/2020/05/20-94/ 전자서명법 개정안 국회 본회의 통과, ‘공인인증서’ 21년만에 역사 속으로]〉, 《바이라인네트워크》, 2020-05-20
 
* 이유지 기자, 〈[https://byline.network/2020/05/20-94/ 전자서명법 개정안 국회 본회의 통과, ‘공인인증서’ 21년만에 역사 속으로]〉, 《바이라인네트워크》, 2020-05-20
 +
* 정인선 기자, 〈[http://h21.hani.co.kr/arti/society/society_general/48720.html (뉴스 큐레이터) 공인인증서, 네가 그리울 거야 아주 가끔]〉, 《한겨레21》, 2020-05-22
 +
* 임민철, 황정빈 기자, 〈[https://www.zdnet.co.kr/view/?no=20180712171929 650억원 규모 공인인증 시장 '대변혁']〉, 《지디넷코리아》, 2018-08-08
  
==같이 보기==
+
== 같이 보기 ==
 +
* [[전자서명]]
 
* [[전자서명법]]
 
* [[전자서명법]]
 
* [[공인인증서]]
 
* [[공인인증서]]
  
{{금융|토막글}}
+
{{금융|검토 필요}}

2020년 6월 3일 (수) 10:25 기준 최신판

전자서명 인증업무 평가‧인정제전자서명의 신뢰성을 제고하고, 이용자의 합리적 선택에 필요한 정보제공을 위해 도입한 제도이다. 현행법의 공인인증서는 일반 인증서와 구별되는 별도 법적효력이 있지만, 개정안의 평가를 통과한 인증수단에는 별도 법적효력이 부여되지 않는다. 다만 운영기준을 준수했다는 표시를 통해 이용자들이 이를 선택할 수 있게 했다.

개요[편집]

전자서명 인증업무 평가‧인정제는 전자서명의 신뢰성을 제고하고, 이용자의 합리적 선택에 필요한 정보제공을 위해 도입한 제도이다. 2020년 5월 20일, 공인인증서와 사설인증서의 구별을 없애는 내용의 전자서명법 전부개정안이 20대 국회 마지막 본회의를 통과했다. 공인인증서의 '공인' 지위를 박탈하는 대신 전자서명인증업무 운영기준 준수 사실 평가 및 인정제가 도입된다. 현행 공인인증서는 1년마다 잊지 않고 갱신해야 해서 불편하고, 하드웨어에 저장된 인증서에 웹브라우저가 접근할 수 있도록 하는 플러그인을 수차례 설치해야 해 보안 공격에 취약했다. 게다가 점점 다양해지는 이용자의 웹 이용 환경을 고려하지 않는다는 점 때문에 비판받아왔다.

과학기술정보통신부는 특히, 이번 법 개정으로 "블록체인과 생체인증 등 신기술을 기반으로 한 다양한 전자서명수단 간 경쟁이 활성화할 것"이라고 기대했다. 이미 시장에선 카카오네이버, 이동통신 3사 등 대기업뿐 아니라 다양한 스타트업이 개발한 간편 인증 서비스가 각축을 벌인다. 6~8자리 암호만 입력하거나 이런 절차마저 안면인식 등으로 대체해 이용자에게 장벽 없는 경험을 선사하는 서비스 사이에서 기존 공인인증서가 도태되는 건 자연스러운 절차이다.[1]

등장배경[편집]

1999년 제정된 전자서명법에 공인인증 제도를 도입한 뒤 21년 만에 공인인증서 제도가 역사 속으로 완전히 사라지게 되었다. 공인인증서는 한국의 전자서명 제도 도입 초기에 광범위하게 활용되면서 전자상거래 활성화 등 국가 정보화에 기여하였으나, 현시점에는 공인인증서가 시장독점을 초래하고 전자서명 기술의 발전과 서비스 혁신을 저해하며, 다양하고 편리한 전자서명수단에 대한 국민들의 선택권을 제한한다는 등의 문제점이 제기되고 있었다. 이러한 문제점을 개선하기 위해 공인인증서 제도를 폐지함으로써 민간의 다양한 전자서명 수단들이 기술 및 서비스를 기반으로 차별 없이 경쟁할 수 있는 여건을 조성하고, 전자서명의 신뢰성 제고 및 전자서명인증 서비스 선택에 필요한 정보 제공을 위하여 국제적 기준을 고려한 전자서명의 신뢰성 제고 평가 및 인정제도를 도입하는 등 전자서명 제도를 국가 위주로 개편하여 관련 산업의 경쟁력을 제고하는 동시에 국민의 선택권을 확대하기 위함이다.[2]

주요 내용[편집]

기존의 전자서명 방식

과학기술정보통신부 장관은 전자서명의 신뢰성을 제고하고 가입자 및 이용자가 합리적으로 전자서명인증 서비스를 선택하는 데 필요한 정보를 제공하기 위하여 전자서명인증업무 운영기준 준수 사실을 인정하는 제도를 도입했다. 전자서명인증사업자는 과학기술정보통신부 장관이 선정하여 고시하는 평가기관의 평가 등을 거쳐 과학기술정보통신부 장관이 선정하여 고시하는 인정기관으로부터 전자서명인증업무 운영 기준 준수 사실의 인정을 받을 수 있다. 인정기관은 전자서명인증사업자의 전자서명인증업무 운영기준 준수 사실을 인정한 경우 증명서를 발급하고, 증명서를 발급받은 전자서명인증사업자는 전자서명인증업무 운영기준 준수 사실을 표시할 수 있도록 한다. 과학기술정보통신부 장관은 평가기관 또는 인정기관이 선정기준에 맞지 아니하게 된 이유 등에는 그 선정을 취소하거나 업무의 전부 또는 일부의 정지를 명할 수 있도록 한다.

전자서명 신뢰성을 제고하고, 이용자의 합리적 선택에 필요한 정보제공을 위해 전자서명 인증업무 평가‧인정제를 도입한다. 공인인증서 제도가 폐지됨에 따라 전자서명수단의 신뢰성 제고와 이용자의 합리적 선택에 필요한 정보제공을 위해 국제기준 등을 고려한 전자서명인증업무 운영기준을 마련해 고시할 수 있도록 했다. 전자서명인증사업자는 과학기술정보통신부 장관이 선정하는 평가기관에 운영기준을 준수했는지 여부에 대해 평가를 신청할 수 있다. 평가기관은 평가 결과를 인정기관에 제출하고, 인정기관은 자료 확인 후 운영기준을 준수한다는 증명서를 발급받을 수 있다. 전자서명 사업자는 운영기준 준수 사실을 표시하는 것은 가능하다. 이용자들은 전자서명수단에 대한 객관적 정보를 제공받아 전자서명수단을 선택할 수 있다. 이를 두고 과학기술정보통신부는 다양한 신기술 전자서명의 개발 및 확산에 대응해 이용자에게 신뢰성과 안정성이 높은 전자서명의 선택을 지원하는 한편, 신기술과 중소기업 전자서명 서비스의 신뢰성 입증, 시장진출 기회를 확대를 뒷받침하기 위한 제도를 도입하는 것이라고 평가했다.[3]

전부개정법률(안)[편집]

가. 공인인증기관, 공인인증서 및 공인전자서명 제도의 폐지(안 제2조)

과학기술정보통신부 장관이 지정하는 공인인증기관, 공인인증기관에서 발급하는 공인인증서 및 공인인증서에 기초한 공인전자서명 개념을 삭제함.

나. 전자서명의 효력 부여(안 제3조)

법령의 규정이나 당사자 간의 약정에 따라 한 전자서명은 서명, 서명날인 또는 기명날인으로서의 효력을 가지며, 그 외의 전자서명은 전자적 형태라는 이유로 서명, 서명날인 또는 기명날인으로서의 효력이 부인되지 아니하도록 함.

다. 다양한 전자서명수단의 이용 활성화 노력(안 제6조)

국가는 다양한 전자서명수단의 이용 활성화를 위하여 노력하여야 하며, 전자서명수단을 특정할 경우에는 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 또는 감사원규칙에 명시하도록 함.

라. 전자서명인증업무 운영기준 준수사실 인정제도의 도입(안 제7조부터 제13조까지)

  1. 과학기술정보통신부 장관은 전자서명의 신뢰성을 제고하고 가입자 및 이용자가 합리적으로 전자서명인증서비스를 선택하는 데 필요한 정보를 제공하기 위하여 전자서명인증업무 운영기준 준수사실을 인정하는 제도를 도입함.
  2. 전자서명 인증사업자는 과학기술정보통신부 장관이 선정하여 고시하는 평가기관의 평가 등을 거쳐 과학기술정보통신부장관이 선정하여 고시하는 인정기관으로부터 전자서명인증업무 운영기준 준수사실의 인정을 받을 수 있음.
  3. 인정기관은 전자서명 인증사업자의 전자서명 인증업무 운영기준 준수사실을 인정한 경우 증명서를 발급하고, 증명서를 발급받은 전자서명인증사업자는 전자서명 인증업무 운영기준 준수사실을 표시할 수 있도록 함.
  4. 과학기술정보통신부 장관은 평가기관 또는 인정기관이 선정기준에 맞지 아니하게 된 경우 등에는 그 선정을 취소하거나 업무의 전부 또는 일부의 정지를 명할 수 있도록 함.

마. 전자서명인증업무준칙의 작성, 게시 및 준수(안 제15조제1항)

증명서를 발급받은 전자서명인증사업자는 전자서명인증서비스의 종류 및 이용조건, 전자서명인증 업무의 수행방법 및 절차 등이 포함된 전자서명인증업무준칙을 작성하여 인터넷 홈페이지 등에 게시하고 이를 성실히 준수하도록 함.

바. 전자서명 관련 분쟁의 조정 신청(안 제22조)

전자서명에 관련된 분쟁의 조정을 받으려는 자는 「전자문서 및 전자거래 기본법」에 따른 전자문서 및 전자거래분쟁조정위원회에 조정을 신청할 수 있도록 함.[2]
2018년도 조문별 개정이유와 기대효과
조 문 개정 이유 개정 내용 입법 효과
가입자 보호(안 제8조) 가입자 보호를 위한 세부조적인 사항을 정하기 위함 전자서명인증업무의 종류, 수행방법 및 이용조건 등이 포함된 전자서명인증업무준칙을 작성하여 게시하고, 주요 내용을 가입자에게 고지하도록 하며, 전자서명 인증업무를 휴지 및 폐지하는 경우에는 가입자에게 해당사실을 사전 통보하도록 규정 전자서명 인증업무의 제공 및 휴지 및 폐지시 가입자 보호를 위해 필요한 사항을 규정함으로써 전자서명 가입자의 권익 보호
가입자 신원확인
(안 제9조)
신뢰성 있는 전자서명인증 업무 제공을 위해 가입자의 신원확인 절차 및 방법을 구체적으로 정하기 위함 증명서를 발급받은 전자서명 인증사업자에게 전자서명 인증업무를 제공받고자 하는 가입자의 신원을 대통령이 정하는 바에 따라 확인하도록 규정 법령에 따른 가입자 신원확인 절차 마련으로 전자서명 인증업무의 안정성 및 신뢰성이 제고될 것으로 기대됨
전자문서의 시점확인
(안 제10조)
전자서명 인증사업자가 제 삼자의 지위에서 전자문서가 제시된 시점을 확인하는 서비스를 제공함으로써 전자문서의 유통을 활성화할 필요 전자서명 인증사업자는 가입자 및 이용자의 요청이 있는경우, 전자문서가 당해 전자서명 인증사업자에게 제시된 시점을 전자서명하여 확인할 수 있음 전자문서에 대한 객관적인 시점확인을 통해 전자문서 유통 활성화 기여
시정명령
(안 제11조)
전자서명의 신뢰성있는 유통 및 이용자 보호를 위해 가입자 보호조치 등 법률상 의무위반사항에 대한 시정을 명할 수 있는 근거를 마련하기 위함 * 증명서를 발급받은 전자서명 인증사업자가 제5조 제7항에 따른 운영기준 준수여부에 대한 평가기준을 충족하지 못한 경우
* 제7조 1항에서 정한 방법과 다르게 운영기준 준수사실을 표시한 경우
* 제8조의 규정을 위반하여 인증업무준칙을 작성, 게시, 준수하지 아니하거나 전자서명 인증업무의 휴지 및 폐지 사실을 게시 및 통보하지 않을 경우
* 제9조의 규정을 위반하여 가입자의 신원을 확인하지 아니한 경우 등에 대하여 기간을 정하여 시정조치를 명할 수 있음
가입자 보호조치 등에 대한 실효성이 확보될 것으로 기대됨
검사 등
(안 제12조)
인증업무의 안정성 및 신뢰성 확보와 가입자 보호를 위한 행정조사 근거 마련하기 위함 * 제7조 제1항의 규정에 따른 운영기준 준수사실의 표시 여부
* 제8조의 규정에 따른 인증업무준칙의 작성, 게시, 준수 및 전자서명 인증업무의 휴업 및 폐지사실에 대한 게시와 통지 방법의 이행 여부
* 제9조의 규정에 따른 신원확인 절차 및 방법의 준수 여부에 대한 자료제출 또는 관계 공무원에 의한 시설 및 물건의 검사에 관한 규정
가입자 보호조치 등에 대한 실효성이 확보될 것으로 기대됨

전자서명 인증업무 평가‧인정제는 현행법 제4조와 제6조를 대체하는 성격을 띤다. 현행법의 공인인증서는 일반 인증서와 구별되는 별도 법적효력이 있지만, 개정안의 평가를 통과한 인증수단에는 별도 법적효력이 부여되지 않는다. 다만 운영기준을 준수했다는 표시를 통해 이용자들이 이를 선택할 수 있게 했다. 개정안 제4조는 전자서명 및 문서 위변조 방지 및 서명자 확인, 전자서명인증업무 가입, 이용, 폐지 관련 사항과 시설 및 자료 보호에 관련 사항 등에 국제적으로 인정되는 기준을 고려해 전자서명인증업무 운영기준을 마련하게 했다. 개정안 제6조는 평가기관과 인정기관을 선정 및 취소하거나 업무를 일부 또는 전부 정지할 수 있는 관리 근거를 담았다. 개정안 제5조는 전자서명인증사업자가 운영기준을 준수했는지 여부를 평가기관에 신청하고, 평가기관의 평가와 인정기관의 확인을 거쳐 증명서를 발급받을 수 있게 했다. 개정안 제7조는 증명서를 발급받은 전자서명인증사업자가 이용자 선택을 위한 정보 제공 차원에서 운영기준 준수 사실을 표시할 수 있게 했다.[4]

논란[편집]

전자서명인증업무평가제 도입[편집]

바뀐 내용
전자서명 법적효력 공인 및 사설 인증서간 구분 폐지, 동등한 법적 효력
전자서명 업체 관리 공인인증기관 지정제에서 '전자서명인증업무 평가제'로
특정 전자서명기술 강제 고시가 아닌 법률 등 상위 법령으로만 가능
기존 공인인증기관 혼란 방지 위해 1년간 평가받은 것(전자서명인증사업자)으로 유예

일상생활에서 주민등록증, 인감, 서명 등이 필요하듯 인터넷으로 전자거래를 할 때도 본인을 인증해주는 수단이 필요하다. 정부는 이처럼 중요한 전자서명 제도를 20년 만에 전면 개정하는 법안을 입법 예고했는데, 공인인증서와 사설인증서 간 구분을 없애고 동등한 법적 효력을 부여하는 게 핵심이다. 금융결제원의 공인인증서나 카카오페이 인증이 똑같은 법적 지위를 갖게 되었다. 업계는 인증서 춘추전국 시대를 맞아 생체인증이나 블록체인 같은 신기술이 활성화되고 고객의 선택권이 확대될 것으로 기대하고 있다. 하지만, 일각에선 정부가 새 법안에서 전자서명인증업무 평가제를 도입해 또 다른 규제를 만들려 한다고 우려한다. 정부는 평가제가 민간 인증의 신뢰성을 높이는 방안이 될 수 있다는 입장이나, 추가 논의가 필요해 보인다. 정부안에 전자서명된 문서의 법적 효력이 삭제된 부분도 논란이다.

정부 전자서명법 개정안에서 눈에 띄는 내용은 공인인증기관 한국정보인증, 한국증권전산, 금융결제원, 한국전자인증㈜, ㈜한국무역정보통신, ㈜한컴위드 등은 지정제도를 전자서명인증업무 평가제도로 바꾸고 특정 전자서명 기술을 강제하려면 고시가 아닌 법률 등 상위 법령으로만 가능하게 못 박은 점이다. 또한, 금융권 등에서 각종 지침을 통해 공인인증서 사용을 사실상 강제해왔던 전례를 없애기 위함이다. 기존 공인인증기관들은 앞으로 전자서명인증사업자로 이름이 바뀌는데, 이용자 혼란을 막기 위해 1년간 평가를 받은 것으로 간주하기로 했다. 모든 전자서명 인증 서비스 기업이 정부 평가를 받을 필요는 없지만, 평가를 받으면 증명서를 주는데 기존 공인인증기관들은 이 증명서를 이미 받은 것으로 1년간 인정해준다는 의미이다.[5]

전자서명된 문서 법적 효력 삭제[편집]

업계는 드디어 '인증서 자율경쟁 시대가 전화됐다며 환영하는 분위기이다. 정부가 추진하겠다는 '전자서명인증업무평가제'에 대해선 반신반의하는 지적도 있다. 엔트러스트코리아 이문형 지사장은 "공인인증서 제도 폐지에 따라 국내 업체는 물론 해외 업체에도 새로운 기회가 열리고 있다"라고 말했다. 라온시큐어 관계자도 "공인인증서 폐지가 다양한 대체 인증수단 확대로 이어질 전망"이라고 말했다. 수기 서명으로 본인 인증이 가능한 기술을 개발한 시큐브 관계자는 "기술 개발 후 지속적인 영업과 마케팅을 통해 금융권 도입 논의가 활발하며, 자체 인증 솔루션인 큐(Q) 인증과 결합하고 블록체인 기술 개발도 속도를 내 시너지를 노리고 있다"라고 설명했다.

라온시큐어 관계자는 "주요 은행 및 카드사, 이동통신사, 카카오페이 등 국내 최다 FIDO 생체인증 솔루션 구축 실적을 보유하고 있는 점이 장점이며, 2020년 2월에는 블록체인 기업 '더루프'와 협약을 맺고 블록체인 기반의 FIDO 생체인증 시스템 개발과 신사업 공동 협력을 추진할 예정"이라고 말했다. 공인기관 자격을 갖고 있었던 한컴시큐어도 "기존 공인인증서의 기반 기술인 PKI는 블록체인과 근본적인 개념이 거의 같으며, 기존 인증기술과 블록체인을 결합해 신사업을 추진해나갈 것"이라고 밝혔다.

반면, 인증전문가 포럼 관계자는 전자서명인증업무 평가제를 걱정했다. 정부는 모든 전자서명 업체가 평가를 받을 필요는 없다고 하나 은행이나 쇼핑몰 등 고객 단에서는 평가단은 인증서와 그렇지 않은 인증서를 차별할 수밖에 없고, 새로운 진입 규제법인지 민간경쟁 활성화 법인지 모호하다고 비판했다. 또한, 국제 평가기관이 있는데 국내만 통용되는 평가제를 만들어 기업에 이중부담을 주지 말고 함께 갈 수 있도록 해야 하며, 정부 법안에 예전과 달리 전자 서명된 문서의 법적 효력이 빠져 있는 문제를 지적했다. 이에, 과학기술정보통신부 박준국 정보보호 산업 과장은 "평가조차 안 하면 공인인증기관이나 대기업 인증만 시장에서 신뢰를 받을 것이며, 국제 평가기관인 웹트러스트 방식은 PKI 방식만 평가해 카카오페이 인증은 평가 자체가 안되다"라고 반박했다.[5]

전부개정안 문제제기[편집]

전자서명인증사업자

전자서명 인증기술은 제각기 특징과 전문성이 있기에 사실상 다양한 전자서명 인증기술을 어느 특정한 평가기관에서 평가하기에는 무리가 있다. 과학기술정보통신부 개정안이 말하는 평가기관이 단순히 웹 표준 평가기관을 말하는 것인지 아니면 다른 무엇인지 알 수 없는 상태이다. 만약 웹 표준 평가기관으로부터 외부 평가를 받으라고 한다면 웹 표준에 따르지 않고 국제적으로도 독특한 전자서명 인증기술을 가진 사업자는 평가를 받기가 어려울 뿐만 아니라 전자서명인증사업자로 지정받기가 어려워질 것이다. 평가기준도 제각각 달라지기에 제대로 된 평가가 이뤄질지도 의문이다. 또한, 외부 평가기관의 평가를 받으려면 많은 비용을 지불해야 한다. 전자서명 인증사업자가 되고자 하는 기업에겐 큰 부담이자 새로운 규제인 것이다. 평가기관의 평가를 받고 나면 인증기관에서 증명서를 발급받으라고 하는데, 해당 인증기관이 무엇인지 또는 어떤 역할을 하는 곳인지조차 명확하지 않은 상태이다. 즉, 과학기술정보통신부의 전자서명법 전부개정안은 제2의 공인인증기관을 만드는 새로운 규제를 담은 법안이라 할 수 있다.[6]

전자서명 및 인증의 영역과 법적효력 축소

과학기술정보통신부 개정안은 전자문서 원본에 대한 추정 효력(전자서명법 제3조 제2항)을 삭제했다. 이는 전자문서 및 전자거래 기본법상 전자서명된 전자문서의 원본 추정력을 상실시킬 수 있기 때문에 국내 전자문서 산업에 혼란을 초래할 우려가 있다. 전자계약서나 동의서 등 전자문서에 서명된 전자서명은 제 삼자 증명을 원칙으로 한다. 계약 당사자 간 전자문서의 위조 및 변조에 대한 분쟁이 발생할 경우 중립적인 제 삼의 인증기관에서 전자서명의 진위와 전자문서의 진본에 대한 증명을 수행한다. 그러나 과학기술정보통신부 개정안에는 이러한 내용이 사라져 당사자 간 알아서 해결할 수밖에 없게 됐다. 민법적으로 해결할 방법이 있지 않으냐는 말은 전자서명된 전자문서의 원본 추정력과 전자서명의 기능을 제대로 알지 못하다는 사실을 반증한다. 또한, 현행 전자서명법의 본인인증 효력도 삭제됐다. 이는 다양한 핀테크 산업의 발전으로 이뤄진 여러 인증수단의 본인인증 효력을 법적으로 뒷받침하지 못하는 결과를 초래한다. 다양한 인증수단의 기능을 오직 서명날인하는 전자서명 기능에만 한정하기 때문이다.[6]

전자서명인증사업자 역차별 및 발급절차 모순

과학기술정보통신부 개정안 제 3조는 전자서명인증 사업자가 되지 않아도 전자서명인증 서비스를 통해 전자서명을 제고하면 법적 효력을 갖게 되어있다. 이러한 전자서명 서비스 제공자는 정부가 정하는 가입자 신원 확인에 대한 규제를 받지 않아 자유롭게 서비스를 제공할 수 있다. 그러나 전자서명인증 사업자는 대통령령으로 정하는 데 따라 가입자 신원을 확인하게 되어있다. 즉, 전자서명인증 사업자가 전자서명인증 서비스에 있어 오히려 규제에 묶이는 역차별이 생기게 된다. 과학기술정보통신부 개정안 부칙은 개별 법령에 있는 공인인증서를 삭제하는 대신 전자서명의 전제조건으로 실지명의 확인이 가능한 인증서를 명시하고 있어 실제 주민등록번호를 기반으로 가입자 신원 확인이 가능한 인증서를 요구하고 있다. 즉, 기존 공인인증제도와 마찬가지인 셈이다.[6]

인증사업자 이중비용 요구

과학기술정보통신부 개정안은 기존 전자서명법과 달리 본인확인 효력을 삭제해 서명날인하는 전자서명에만 효력을 부여하고 있다. 그렇기 때문에 전자서명인증사업자가 되기 위해 많은 비용을 들여 외부 평가기관으로부터 평가를 받아야 하며, 본인확인을 위해서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에서 정하는 본인확인 기관 지정을 별도로 받아야 한다. 그래야만 전자서명 서비스와 본인확인 서비스를 제공할 수 있기 때문이다. 즉, 본인확인 및 전자서명을 하려면 전자서명인증사업자만이 아니라 본인확인 기관 지정도 별도로 받아야 하는 논리가 만들어진다. 전자서명인증사업자가 두 개의 별도 시스템을 만들어 평가받고 또 지정받아야 하는 엄청난 비용 낭비를 유발한다. 기존 전자서명법에선 인증기관 지정만 받으면 두 가지를 모두 서비스할 수 있었다.[6]

전망[편집]

공인인증서 제도 폐지로 공인 및 사설 인증서 차별이 없어지면서 관련 시장과 산업 지형에 변화가 예상된다. 기존 공인인증서 역시 여러 인증수단 가운데 하나가 된다. 이에 따라 인증 솔루션 시장은 완전 자율경쟁 체제에 돌입하게 됐다. 정부는 블록체인, 생체인증 등 다양한 신기술을 이용한 새로운 전자서명 서비스 개발이 활성화될 것으로 전망하고 있다. 전자서명 이용기관은 기존 공인 전자서명 대신 편의성과 신뢰성이 높은 다양한 전자서명수단의 이용을 확대하고, 이용자들도 불편함 없는 편리하고 다양한 전자서명 서비스를 이용할 수 있을 것으로 예상된다. 새로운 전자서명 기술 확산은 사물인터넷 기기 등 사물 간 인증과 관련한 혁신적 서비스 창출에도 기여할 것으로 기대된다. 공인인증제도가 폐지되어도 기존의 공인인증서는 다양한 전자서명 수단 중의 하나로 계속 사용될 수 있도록 했다. 기존 공인인증서 이용자에 불편이 없도록 기존에 발급된 공인인증서는 유효기간까지 이용할 수 있다. 그 이후에는 이용기관과 이용자 선택에 따라 일반 전자서명 중 하나로 사용할 수 있게 된다.

과학기술정보통신부 장석영 2차관은 "이번 개정으로 신기술 전자서명이 활성화되고, 국민들께 더욱 안전하고 편리한 인터넷 이용환경을 제공할 수 있게 됐으며, 포스트 코로나 시대 비대면 서비스의 핵심인 인증기술 발전에도 기여할 수 있게 됐다"라고 말했다. 또한, "법 시행 전까지 시행령 등 하위법령 개정에 만전을 기하고 제도 변화에 따른 국민 혼란이 없도록 철저히 대비하겠다"라고 밝혔다.[3]

각주[편집]

  1. 정인선 기자, 〈(뉴스 큐레이터) 공인인증서, 네가 그리울 거야 아주 가끔〉, 《한겨레21》, 2020-05-22
  2. 2.0 2.1 과학기술정보통신부 (정보보호기획과), 〈전자서명법 전부개정법률(안) 입법예고〉, 《국민참여입법센터》, 2020-05-19
  3. 3.0 3.1 이유지 기자, 〈전자서명법 개정안 국회 본회의 통과, ‘공인인증서’ 21년만에 역사 속으로〉, 《바이라인네트워크》, 2020-05-20
  4. 임민철, 황정빈 기자, 〈650억원 규모 공인인증 시장 '대변혁'〉, 《지디넷코리아》, 2018-08-08
  5. 5.0 5.1 김현아, 이재운 기자, 〈공인인증 폐지되고 '전자서명평가제' 도입..독일까 득일까〉, 《이데일리》, 2018-04-01
  6. 6.0 6.1 6.2 6.3 박성기 인증전문가포럼 대표, 〈제2의 공인인증서 만드는 전자서명법 전부개정안〉, 《보안뉴스》, 2018-04-250

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 전자서명 인증업무 평가‧인정제 문서는 금융에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.