세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
제2의 공인인증서 만드는 전자서명법 전부개정안
  |  입력 : 2018-04-25 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
과기정통부 개정안, 인증전문가들이 반대하는 이유
내용상 모순점 및 문제점, 7가지로 자세하게 정리해보면


[보안뉴스= 박성기 인증전문가포럼 대표] 공인인증제도를 폐지하고 새로운 인증제도를 만들고자 2가지 안이 발표됐다. 고용진 국회의원(더불어민주당, 서울 노원구갑)이 발의한 전자서명법 일부개정안과 과학기술정보통신부(이하 과기정통부)가 입법예고한 전자서명법 전부개정안이 그것이다.

[이미지=iclickart]


인증전문가들은 이 중 과기정통부 개정안에 대해 제2의 공인인증기관을 만드는 새로운 규제 입법이라며 강하게 반발하고 있다. 과기정통부 개정안은 만들 때부터 산·학·연 인증전문가들의 참여나 국민 대상 공청회도 없었다. 그러다보니 우리나라 전자서명·인증제도를 축소시키는 동시에 제2의 공인인증기관을 새로 만드는 규제로, 내용이 모순적이라는 지적과 함께 논란의 대상이 되고 있다.

과기정통부 개정안 내용 가운데 무엇이 문제이기에 인증전문가들이 이렇게 강하게 반대하는 것인지 그 내용을 자세히 소개하고자 한다.

첫째, 과기정통부 개정안은 공인인증기관을 폐지하고 새로운 ‘전자서명인증사업자’를 만들어 전자서명인증업무를 하도록 한다.
과기정통부 개정안 제5조는 전자서명인증사업자가 되려면 외부의 평가기관으로부터 평가를 받고 과기정통부가 지정한 인정기관으로부터 증명서를 발급받도록 하고 있다. 이때 평가기관의 평가에 대해 세부내용이 없으며, 무엇을 평가받고 누가 평가를 한다는 것인지 명확하지 않다.

전자서명 인증기술은 다양하면서도 독특한 전문성을 갖고 있는 것들이 많다. 전자서명 인증기술은 제각기 특징과 전문성이 있기에 사실상 다양한 전자서명 인증기술을 어느 특정한 평가기관에서 평가하기에는 무리가 있다.

과기정통부 개정안이 말하는 평가기관이 단순히 웹표준 평가기관을 말하는 것인지 아니면 다른 무엇인지 알 수 없는 상태다. 만약 웹표준 평가기관으로부터 외부 평가를 받으라고 한다면 웹표준에 따르지 않고 국제적으로도 독특한 전자서명 인증기술을 가진 사업자는 평가를 받기가 어려울 뿐만 아니라 전자서명인증사업자로 지정받기가 어려워질 것이다.

게다가 제각기 다른 인증기술을 평가할 수 있는 평가기관도 사실상 드물 것이다. 평가기준도 제각각 달라지기에 제대로 된 평가가 이뤄질지도 의문이다. 또한, 외부 평가기관의 평가를 받으려면 많은 비용을 지불해야 한다. 전자서명인증사업자가 되고자 하는 기업에겐 큰 부담이자 새로운 규제인 것이다.

일례로, 지문인증 등 생체인증을 제공하는 글로벌 FIDO인증이 글로벌 웹트러스트(Web Trust)에서 웹표준 평가를 받고 인증기술을 만든 것일까? 대답은 ‘아니오(No)’다.

평가기관의 평가를 받고 나면 ‘인증기관’에서 증명서를 발급 받으라고 하는데, 해당 인증기관이 무엇인지 또는 어떤 역할을 하는 곳인지조차 명확하지 않은 상태다.

현행 전자서명법에서 한국인터넷진흥원이 공인인증기관을 심사하고 공인인증기관에 지정서를 교부하던 것과 비교해볼 때, 공인인증기관 지정 심사만 외부에 맡겼을 뿐이지 그 절차나 내용은 비슷하다고 볼 수 있다. 즉, 과기정통부의 전자서명법 전부개정안은 제2의 공인인증기관을 만드는 새로운 규제를 담은 법안이라 할 수 있다.

반면, 고용진 의원이 발의한 전자서명법 일부개정안은 인증사업을 할 때 정부가 만든 등록기준만 맞추면 등록할 수 있게 했다. 또한, 등록기관에서 전자서명법을 근거로 한 전자서명인증업무를 수행할 수 있게 돼 있다. 규제를 완화해 다양한 전자서명과 인증수단을 가진 인증사업자들이 자유롭게 전자서명 인증사업을 할 수 있도록 하는 법안이다.

둘째, 과기정통부 개정안은 전자서명·인증의 영역과 법적효력을 축소시킨다.
과기정통부 개정안은 전자문서 원본에 대한 추정 효력(전자서명법 제3조제2항)을 삭제했다. 이는 ‘전자문서 및 전자거래 기본법’상 전자서명된 전자문서의 원본 추정력을 상실시킬 수 있기 때문에 국내 전자문서 산업에 혼란을 초래할 우려가 있다.

전자계약서나 동의서 등 전자문서에 서명된 전자서명은 제3자 증명을 원칙으로 한다. 계약 당사자간 전자문서의 위·변조에 대한 분쟁이 발생할 경우 중립적인 제3의 인증기관에서 전자서명의 진위와 전자문서의 진본에 대한 증명을 수행한다.

그러나 과기정통부 개정안에는 이러한 내용이 사라져 당사자간 알아서 해결할 수밖에 없게 됐다. 민법적으로 해결할 방법이 있지 않느냐는 말은 전자서명된 전자문서의 원본 추정력과 전자서명의 기능을 제대로 알지 못하다는 사실을 반증한다.

이와 함께 현행 전자서명법의 본인인증 효력도 삭제됐다. 이는 다양한 핀테크 산업의 발전으로 이뤄진 여러 인증수단의 본인인증 효력을 법적으로 뒷받침하지 못하는 결과를 초래한다. 다양한 인증수단의 기능을 오직 서명날인하는 전자서명 기능에만 한정하기 때문이다.

전자서명 기능은 단순한 서명날인 기능뿐만 아니라 해당 전자문서에 전자서명한 사람이 당사자가 맞는지 본인확인하는 기능이 함께 내포돼 있다. 현행 전자서명법을 비롯해 외국의 전자서명법도 인증서를 전자서명과 본인확인으로 구분해 법적효력을 부여하고 있다.

고용진 의원의 전자서명법 일부개정안은 사물인터넷(IoT)이나 생체인증 등 모든 인증수단이 효력을 갖도록 전자서명의 효력과 본인인증의 효력에 대한 법적 기반을 마련해 국내 인증기술 개발과 산업 발전 확대를 추구하고 있다.

셋째, 과기정통부 개정안은 법 효력과 내용에서 혼란을 일으킨다.
과기정통부 개정안 제3조는 전자서명의 효력을 일반전자서명과 구분없이 부여하고 있다. 그러나 제5조에서 전자서명인증사업자를 언급하며 전자서명인증사업자의 역할이 전자서명인증업무라고 정하고 있다. 제3조에서 정한 전자서명의 효력이 전자서명인증사업자가 발급한 인증서에 대한 효력만을 말하는 것인지 모호해 혼란이 발생하고 있다.

제10조에 가서는 시점확인 서비스를 전자서명인증사업자만이 할 수 있게 정하는 바, 제3조와 달리 사실상 전자문서에 대한 위·변조 방지 및 시점확인은 전자서명인증사업자에게만 전자서명의 효력을 부여하는 형태가 되고, 시점확인 서비스를 전자서명인증사업자만 독점할 수 있도록 만들었다.

기술적으로 전자서명 기능만을 응용해 시점확인을 제공할 수 있다. 그럼에도 과기정통부 개정안은 전자서명인증사업자만이 시점확인을 할 수 있다고 규제하고 있다. 이는 현재 공인인증기관이 독점 제공하는 시점확인 서비스와 다를 바가 없다. 일본이나 영국 등 해외에서는 시점확인 서비스에 대해 별도의 규제가 없다. 시점확인 서비스가 가능한 기업들은 자유롭게 시점확인 서비스를 제공하고 있다.

넷째, 과기정통부 개정안은 전자서명인증사업자에 역차별을, 인증서 발급 절차에 모순을 일으킨다.
과기정통부 개정안 제3조는 전자서명인증사업자가 되지 않아도 전자서명인증서비스를 통해 전자서명을 제공하면 법적 효력을 갖게 돼 있다. 이러한 전자서명 서비스 제공자는 정부가 정하는 가입자 신원확인에 대한 규제를 받지 않아 자유롭게 서비스를 제공할 수 있다.

그러나 전자서명인증사업자는 대통령령으로 정하는 데 따라 가입자 신원을 확인하게 돼 있다. 다시 말해 전자서명인증사업자가 전자서명인증서비스에 있어 오히려 규제에 묶이는 역차별이 생기게 된다.

현행 전자서명법상 공인인증기관의 공인인증서 발급에 대한 가입자 신원확인 방법은 대통령령으로 정한다. 과기정통부 개정안 부칙은 개별 법령에 있는 공인인증서를 삭제하는 대신 전자서명의 전제조건으로 ‘실지명의 확인이 가능한 인증서’를 명시하고 있다. 실제 주민등록번호를 기반으로 가입자 신원확인이 가능한 인증서를 요구하고 있는 것이다.

즉, 기존 공인인증제도와 마찬가지인 셈이다. 현행 전자서명법상 공인인증기관과 공인인증서처럼 제2의 공인인증기관과 공인인증서를 만들어내는 개정 법안으로 해석할 수 있다. 과기정통부 개정안 제3조에서 말하는 전자서명인증사업자가 되지 않아도 전자서명이 효력을 가진다는 건 사실상 ‘빛 좋은 개살구’에 지나지 않는다.

다섯째, 과기정통부 개정안은 사기업의 사업에 정부 행정권한을 남용하고 있다.
과기정통부 개정안 제5조가 정하는 전자서명인증사업자의 자격조건을 보면, 1항의 2호와 3호는 민간 사업자의 내부적 자율 규율에 대한 내용으로 정부가 자격조건을 정하는 것은 지나친 행정 간섭에 해당되는 조항이다.

현행 전자서명법상 공인인증기관 지정 조건은 정부가 공인인증 역무를 민간 사업자에게 위탁하는 형태이기에 이 같은 조건을 명시할 수 있었다. 과기정통부 개정안의 전자서명인증사업자는 정부가 공인인증 역무를 위탁하는 것이 아니라 민간 사업자들이 스스로 평가받고 전자서명인증업무를 하는 것이다. 민간 사업자들의 자율 규제이자 사기업의 내부적인 업무에 대해 정부가 규제하고 조건을 내거는 것은 행정권한을 남발하는 규제 행위다.

외부 평가기관에서 평가를 받으라는 건 현행 전자서명법에서 한국인터넷진흥원이 공인인증기관을 평가하던 일을 외부로 떠넘기는 것과 다르지 않다. 외형상으로만 민간 자율규제와 평가라는 허울을 가질 뿐 사실상 정부가 기존에 공인인증기관을 지정하듯 제2의 공인인증기관을 지정하는 것과 다름없다.

이와 대조적으로, 고용진 의원의 전자서명법 일부개정안은 기존 전자서명법의 인증기관 자격조건 규제를 완화해 사기업의 자율에 맡기고 있다.

여섯째, 기존 공인인증기관의 특혜를 법으로 보장해 공정경쟁 논란을 일으킬 수 있다.
과기정통부 개정안은 공인인증서를 폐지하고 공인인증기관을 없애는 대신 전자서명인증사업자를 만들면서 기존 공인인증기관에 외부 평가기관의 평가를 1년간 유예해주고 있다. 이는 출발점에서부터 전자서명 인증사업을 하는 사업자들에게 불리한 환경을 조성하는 시장 불공정 조항이 될 수 있다.

기존 전자서명법에 의한 공인인증서 기술 규격이 폐지되고 새로운 인증기술이 도입돼 전자서명인증 서비스를 제공하는 가운데 기존 공인인증기관도 동일하게 외부 평가를 받고 전자서명 인증사업을 하도록 하는 것이 공정할 것이다.

일곱째, 과기정통부 개정안은 전자서명인증서비스 제공 시 인증사업자에게 이중 비용을 요구한다.

▲박성기 인증전문가포럼 대표[사진=박성기 대표]

과기정통부 개정안은 기존 전자서명법과 달리 본인확인 효력을 삭제해 서명날인하는 전자서명에만 효력을 부여하고 있다. 그렇기 때문에 전자서명인증사업자가 되기 위해 많은 비용을 들여 외부 평가기관으로부터 평가를 받아야 하며, 본인확인을 위해서는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에서 정하는 본인확인기관 지정을 별도로 받아야 한다. 그래야만 전자서명서비스와 본인확인서비스를 제공할 수 있기 때문이다.

즉, 본인확인 및 전자서명을 하려면 전자서명인증사업자만이 아니라 본인확인기관 지정도 별도로 받아야 하는 논리가 만들어진다. 전자서명인증사업자가 두 개의 별도 시스템을 만들어 평가받고 또 지정받아야 하는 엄청난 비용 낭비를 유발한다. 기존 전자서명법에선 인증기관 지정만 받으면 두 가지를 모두 서비스할 수 있었다.

우여곡절 끝에 새로 만들어지는 전자서명법이 시대에 역행하는 규제가 돼 우리나라 인증 산업의 발목을 잡아서는 안 될 것이다.
[글_ 박성기 인증전문가포럼 대표]

필자 소개_ 박성기는 외신·IT전문일간지 기자를 거쳐 아시아PKI포럼 비즈니스워킹그룹과 한국정보인증에서 일했다. 전자문서중계사업자협의회 회장, 스마트솔루션 최고경영자(CEO)를 역임했다. 현재 인증전문가포럼 대표이자 한국NFC 인증사업본부장이다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)