세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
공인인증서 개정안, 어떤 방향으로 가야 하나
  |  입력 : 2018-02-08 18:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전자서명법, 공인전자서명 요건 만족해야 법적 효력 있도록 개정돼야

[보안뉴스= 이상진 고려대학교 정보보호대학원장] 전자서명법에 명시되어 있는 공인인증서의 명칭, 효력 등을 변경 내지 폐지해 획일화된 인증 시장을 개선할 것으로 알려졌다. 그 이유는 공인인증서의 사용이 불편하고 다양한 인증수단의 진입을 원천적으로 막기 때문이라고 한다. 그러나 인증 시장을 개선한다는 취지가 자칫 잘못돼 악화가 양화를 몰아내는 현상으로 귀결되지 않았으면 한다.

[이미지=iclickart]


민원서류를 발급받으려고 구청이나 등기소에 가야만 했던 경험이 없는 세대들은 공인인증서 사용이 많이 불편하다고 느낄 수 있으나, 연말정산 서류를 준비하느라 고생했던 필자는 공인인증서로 로그인하여 한 번에 모든 서류를 준비할 수 있게 된 지금이 너무나 편리하다고 생각하며, 이러한 전자정부 체계가 고마운 것도 사실이다.

공인인증서를 사용할 때, 함께 설치되는 보안관련 프로그램이 시스템과 충돌하거나 제대로 설치되지 않아서 다들 짜증난 적이 있을 것이다. 또한, 인터넷 익스플로러가 아닌 웹브라우저를 사용할 수 없어 불편함을 느낀 적도 있을 것이다. 그렇지만 이는 액티브X를 사용했기 때문이고 웹 서비스를 제대로 구현하지 않았기 때문이다. 공인인증서가 웹서비스 사용을 불편하게 하는 본질적인 요인은 아니다.

공인인증서는 인감증명서라 할 수 있다. 부동산 거래와 같이 법적 책임이 따르는 계약을 할 때, 신분 확인을 하고 인감도장으로 계약서에 날인한다. 이때 인감증명서로 인감의 진위 여부를 확인한다. 사이버 공간에서는 인감도장에 해당하는 전자서명생성정보(개인키)로 전자서명을 하고 공인인증서로 합당한 전자서명인지 확인한다. 인감증명서가 국가에서 발급하여 법적인 보증을 하듯이 과기정통부에서 지정한 공인인증기관이 신원을 확인하고, 전자서명생성정보에 대응하는 공인인증서를 발급함으로써 법적인 보증을 한다.

이런 이유로 공인인증서가 사이버 공간에서 신분증처럼 신분 확인용으로도 사용되고 있다. 우리나라는 인터넷 사이트에 별도로 가입하지 않아도 공인인증서만 있으면 신분을 확인할 수 있는 인프라가 구축되어 있다. 국세청 사이트에 회원으로 가입하지 않아도 공인인증서로 로그인하여 연말정산 서류를 발급받을 수 있는 이유이다.

이러다 보니 혹자들은 공인인증서가 신규 인증 기술의 시장 진입을 막는 요인이라고 말한다. 그러면 공인인증서를 사용하지 않는 카카오뱅크의 성공은 어떻게 설명할 수 있을까? 신규 인증 기술이 공인인증서 규제 때문에 도입되지 않은 것이 아니라 기존의 틀을 바꿀 정도의 장점을 제시하지 못한 때문은 아닐까?

공인인증서는 신분을 확인하기 위해서가 아니라 전자서명 생성정보가 특정 개인이 등록한 것임을 보증하기 위해 도입된 것이다. 전자문서에 전자서명을 한 이후에는 해당하는 전자문서 또는 전자서명의 변경 여부를 공인인증서에 있는 정보로 확인할 수 있어야 한다. 이러한 조건을 만족하는 기술은 다양하게 개발될 수 있다. 문제는 전자서명을 생성하는 정보가 특정 개인이 등록한 유일한 정보임을 증명해주는 수단은 어떤 형태로든 있어야 하며, 그것이 인증서라고 할 수 있다. 인감증명서처럼 인증서가 있어야만 전자문서에 적힌 사항에 대한 법적 책임자를 알 수 있다.

국가가 보증하는 인증서가 공인인증서이며, 그 외의 기관에서 보증하는 것이 사설인증서이다. 공인인증서와 사설인증서의 구별을 없애기 위해 전자서명법을 개정한다고 하는데 법적인 책임 소재를 어떻게 해결할 것인지 궁금하다. 공인인증기관에게 요구했던 보안의 정도를 충족하지 못하는 기관이 발급하는 사설인증서에도 동일한 효력을 준다면 보안사고가 발생했을 때의 문제는 어떻게 해결할 것인가? 공인인증기관도 보안사고는 발생할 것이다. 그렇지만 보안 환경이 열악한 곳에서는 더 쉽게 발생할 것이다. 규제를 철폐한다고 항상 좋아지는 것은 아니다.

인감도장과 막도장을 만드는 방법은 같지만 법적인 지위는 다르다. 국가가 관리하는 인감이 있기 때문에 부동산 거래와 같이 책임이 따르는 계약에 인감을 사용할 수 있다. 공인인증서를 폐지하면 법률적인 책임이 요구되는 전자문서에 전자서명을 어떻게 할 것인가?

전자서명법에는 공인전자서명에 대해 ‘서명 당시 가입자가 전지서명 생성정보를 지배·관리하고 있을 것’을 요구하고 있다. 현재의 전자서명 생성정보는 대부분 패스워드로 암호화돼 PC에 저장돼 있다. 이러한 상황은 가입자가 전자서명 생성정보를 지배·관리하고 있다고 말할 수 없다. 해킹 기술이 발달해 PC에서 입력하는 패스워드는 쉽게 탈취 가능하고, 전자서명 생성정보도 알아낼 수 있다. 따라서 PC나 보안 기능이 없는 외부저장 장치에 전자서명 생성정보를 보관하는 행위는 가입자가 전자서명 생성정보를 지배·관리하고 있다고 말할 수 없으므로 해당 정보로 서명한 전자서명은 전자서명법에서 말하는 공인전자서명이 아니다.

▲고려대학교 정보보호대학원 이상진 원장

이러한 사실을 제대로 인식하고, 공인인증서 보급 당시와 달라진 환경을 고려해 전자서명 생성정보가 보안토큰과 같은 안전한 곳에서 보관된 경우에만 전자서명에 법적 효력을 인정하는 형태로 법 개정이 이뤄지길 바란다.

현재와 다른 형태로 개발된 전자서명에도 안전성이 동일하다면 동일한 법적 지위를 주는 것은 맞다. 그것은 전자서명법에 정의된 전자서명 생성정보의 요건인 가입자만이 보유한 유일한 정보이고, 가입자가 지배·관리하고 있으며, 사후에 변경되지 않았음이 입증되는 형태여야 한다. 또한, 현재의 공인인증기관에게 요구하고 있는 보안 수준도 사설인증기관에게 똑같이 요구해야 한다.

지금 잘못 사용되고 있는 공인인증서는 개정돼야 하며, 향후 개발되는 전자서명이 공인전자서명의 요건을 만족하는 경우에만 동일한 법적 지위를 부여하는 형태로 전자서명법이 개정돼야 한다.
[글_ 이상진 고려대학교 정보보호대학원장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)