전자서명법 전부개정안, 모호함에 인증시장 ‘멘붕’

과기정통부 입법예고 개정안, 앞뒤 안 맞아 혼선 가중
불필요한 규제 신설, 사회적 비용 높인다는 비판 잇따라

[보안뉴스 오다인 기자] 공인인증서로 인한 각종 폐해를 없앤다는 정부의 전자서명법 전부개정안이 오히려 불필요한 규제를 새로 만들고 ‘제2의 공인인증서’ 사태를 초래할 것이라는 우려가 커지고 있다. 연간 수천억 원에 달하는 인증 비용이 국민의 사회적 비용으로 전가될 수 있다는 지적도 제기되고 있다.

[이미지=iclickart]

과학기술정보통신부(장관 유영민, 이하 과기정통부)는 전자서명법 전부개정법률안(이하 전부개정안)을 지난달 30일 입법예고했다. 과기정통부는 공인인증서 제도가 인증시장의 독점을 초래하고 기술·서비스 혁신을 저해할 뿐더러 이용자 불편을 초래하기 때문에 이를 폐지한다고 밝혔다. 전자서명 수단이 차별없이 경쟁하는 여건을 조성하고 국가경쟁력을 강화하며 국민 인터넷 이용환경을 개선하겠다는 취지다. 입법예고 기간은 40일간으로 5월 9일까지다.

그러나 그 취지와 다르게 전부개정안이 인증시장의 혼란만 키울 수 있다는 비판이 나온다. 전부개정안 제5조에 등장하는 ‘평가기관’과 ‘인정기관’의 정체를 알 수 없다는 지적이 대표적이다. 과기정통부는 전자서명 인증사업자의 운영기준 준수여부를 평가하기 위해 인증사업자가 평가기관의 평가를 받도록 유도하고, 평가기관은 그 결과를 인정기관에 제출토록 규정하고 있다. 의무는 아니지만 인증사업자가 준수사실을 표시할 수 있도록 함으로써 사실상 과기정통부가 지정하는 평가기관과 인정기관에 힘을 실어준 조치라고 볼 수 있다.

인증전문가포럼 박성기 대표는 “평가기관이 무엇을 평가한다는 것인지 명확하지 않은 데다 평가기관의 전문성과 자격에 대한 법적 근거도 없다”고 말했다. 그는 “수많은 전자서명·인증 수단이 개발되는 상황에서 이를 평가기관이 어떻게 평가한다는 것인지 알 수 없다”고 비판했다. 게다가 평가 신청 비용 및 증명서 발급 비용 등이 분명하게 명시되지 않아 전자서명 인증사업자가 이중 부담을 지게 될 것이라고 전망했다. 즉, 전부개정안은 평가·인정이라는 추가적인 규제를 만들면서 사업자의 비용 부담까지 늘리는 법안이라는 것.

이 때문에 시장 독과점이 심화될 것이라는 우려도 나온다. 익명을 요청한 인증사업자 A씨는 “전부개정안을 보면 인증시장을 무주공산(無主空山)으로 만들겠다는 것인데, 결국 시장 지배적 사업자가 인증사업까지 다 차지하게 될 것”이라고 우려했다. 그는 특히 “이동통신사와 글로벌 대기업이 인증사업을 주도할 공산이 크다”고 짚었다.

또한, A씨는 현재 “연간 약 3,800만 건의 공인인증서가 발급되고 그 중 80%인 약 3,000만 건이 국민들에게 무료로 제공되고 있다”고 말했다. 공인인증서 폐지 후 대체인증서에 대해 국민 1인당 1만 원씩 지불한다고 해도 사회적 비용이 연간 3,000억 원 가량 추가적으로 발생하는 셈이다. 그는 “이 비용을 누군가는 지불하게 될 것”이라고 덧붙였다.

사회적 비용이 국민에게 전가된다는 우려는 전부개정안이 현행 전자서명법 내 공인전자서명의 원본 추정 효력을 삭제한 부분과도 맞물린다. 전부개정안은 제3조 ‘전자서명의 효력’에서 기존의 “공인전자서명이 있는 경우에는 당해 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정한다”는 조항을 없애고 “법령의 규정 또는 당사자간의 약정에 따른 전자서명은 서명, 서명날인 또는 기명날인으로서의 효력을 가진다”고 규정하고 있다.

익명을 요청한 인증사업자 B씨는 “지금까지 공인인증서의 부인방지 효력이 있었기 때문에 관련 업계나 은행에서 계속 써온 것”이라며 “전부개정안은 부인방지 효력을 없앰으로써 전자서명 당사자들을 법정으로 몰고 있다”고 말했다. 두 개의 전자문서 중 어느 것이 원본인지 가릴 책임과 부담을 개별 이용자에게 전가시킨다는 것. 그는 “법을 만드는 이유는 사회 질서를 유지하고 사회적 비용을 최소화하기 위함”이라며 전부개정안이 혼란만 가중시키고 있다고 지적했다.

B씨는 현행 전자서명법 제18조의2 ‘본인확인’ 기능이 전부개정안에 빠진 것도 문제라고 지적했다. 그는 “전자서명을 한다는 건 전자서명을 하는 당사자, 즉 본인확인 기능이 내포된 것”이라며 “인증에 대한 기본적인 이해가 부족한 사람들이 만든 법안처럼 보인다”고 비판 수위를 높였다.

전부개정안이 전자서명의 본인확인 기능은 삭제하면서 제10조 ‘전자문서의 시점확인’은 포함시킨 부분도 모순이라는 견해다. B씨는 “시점확인을 한다는 건 위변조 사실이 없다는 걸 입증하는 것”이라며 “부인방지 효력도 없는 전자문서에 대해 시점확인을 왜 받는다는 것인지 모르겠다”고 말했다.

인증전문가포럼 박성기 대표는 전부개정안이 제3조를 통해 자유로운 전자서명 서비스 제공을 보장하면서 제9조 ‘가입자 신원확인’에서 전자서명 인증사업자는 대통령령이 정하는 바에 따라 가입자의 신원을 확인하도록 규정한 부분도 이상하다고 짚었다. 다시 말해 전자서명 서비스를 제공하는 데 있어 전자서명 인증사업자가 되레 규제를 받게 되는 역차별이 발생한다는 것이다.

박성기 대표는 전부개정안에서 본인확인 기능이 빠짐으로써 “핀테크 산업 발전으로 구축된 다양한 인증수단들이 본인확인 효력을 법적으로 뒷받침 받지 못하는 결과가 생긴다”고 덧붙였다. 즉, “각종 인증수단들의 기능이 오직 서명날인하는 전자서명 기능에만 한정된다”는 것이다.

전부개정안 제4조에 언급된 ‘국제적으로 인정되는 기준 등을 고려한 전자서명인증업무 운영기준’이라는 규정도 모호하다는 비판이 인다. 이에 대해 박성기 대표는 “해외 평가기관인 웹 트러스트(WebTrust) 같은 기관을 가리키는 것으로 유추되지만 이는 SSL 인증서를 평가하는 곳이지 전자서명법에서 말하는 인증서를 주로 평가하는 기관은 아니”라고 설명했다. 그는 “인증에 대한 평가를 왜 웹 표준을 만드는 기관 기준에 따라야 하는지 의문”이라고 말했다.

한편, 과기정통부는 지난 11일(1차)과 12일(2차) 각각 한국인터넷진흥원 서울본원과 정부세종청사에서 ‘전자서명법 전부개정 관련 관계기관 설명회’를 개최했다. 전부개정안은 소관 상임위원회 심사 시 고용진 국회의원(더불어민주당, 서울 노원구갑)이 대표발의한 전자서명법 일부개정안과 함께 논의될 예정이다.
[오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)