"공인인증기관 지위가 사라지면 그에 의존하던 공공분야에 대체수단이 필요하다. 여기로 사설인증사업자가 들어오면 수수료가 발생할텐데 그 비용을 누가 부담할지에 검토가 부족하다. 또 서명과 인증은 법적으로 다른 개념인데 우리 법에 이게 혼합돼 있어 향후 개편돼야 한다."
상명대학교 지적재산권학과 최민식 교수가 지난 3월 발표된 정부의 전자서명법 전부개정안 조문과 내용을 검토한 결과 몇 가지 문제 소지가 있음을 지적하는 견해를 피력했다. 21일 서울 여의도 금융투자교육원에서 열린 '전자서명법개정 전문가 심포지엄' 주제발표를 통해서다.
정부의 전자서명법 전부개정안은 3월 30일자로 입법예고됐다. 개정안은 전자서명의 법적 서명효력을 명시했고, '전자서명'과 '공인전자서명' 구별을 없앴다. 과학기술정보통신부 장관이 지정했던 '공인인증기관' 지위를 신설기준 고시에 근거한 '전자서명인증사업자'로 변경했다.
앞서 전부개정안은 대통령 직속 4차산업혁명위원회 '규제개혁해커톤'의 전문가 토론을 거쳐 구성됐다. 개정안을 발표한 과학기술정보통신부 입법예고 후 5월 9일까지 의견수렴 기간을 뒀다. 5월 11일 공청회를 열어 일반 국민과 이해관계자가 모여 토론과 질의응답도 진행했다.
하지만 개정 전자서명법 내용과 구성에 문제가 있다는 비판이 나온다. 국민적 합의가 부족하고, 산업 생태계와 이용자들에게 혼란을 줄거란 우려다. 심포지엄은 이런 문제를 구체화하고 쟁점을 도출해 전자서명법 개정에 앞서 국회에 의견을 전달한다는 취지로 열렸다.
이날 심포지엄 현장에서 최 교수는 참석자들에게 자신도 전자서명법 개정 과정에 부분적으로 참여했지만, 현재 나와 있는 개정안이 완벽하지 않다는 지적에 일부 동의했다. 그는 법학자로서 개정안의 목적, 쟁점사항, 문제점을 제시하며 수정 검토가 필요하다는 견해를 내놨다.
먼저 최 교수는 현행 공인인증제도 특징을 제시했다. 정부가 도입초기에 보급과 확산을 적극적으로 촉진한 결과 현재까지 금융실명제의 '실지명의(실명)확인' 등 150개이상 법률에서 전자서명법을 인용하는 체제가 자리잡았다고 평했다. 그 배경으로 공인인증서가 주민등록번호라는 '확실한 식별자'를 포함했고, 정부가 제도적으로 꽤 다양한 분야에 쓸 수 있는 용도제한 공인인증서를 무료발급하게 했고, 기술적으로 공인인증서를 보급 초기 전용 토큰 없이 하드드라이브나 USB저장장치에 보관할 수 있게 했고, 국내 인증기관간 상호연동이 이뤄졌음을 꼽았다.
다만 공인인증서를 '인감'에 비유하는 건 철 지난 인식이라고 꼬집었다. 그는 "PKI기반 공인인증서가 도장으로 치면 정교하고 복잡하며 멋지게 만든 인감(도장)처럼 보이더라도 인감같은 법적효과를 갖는다고 말할 수는 없다"며 "최근 서명으로 인감을 대체할 수 있는 '본인서명사실확인' 제도가 시행돼 인감이 무의미해졌는데, 전통적인 인감 메타포는 시대에 뒤떨어진 게 아닌가 생각한다"고 언급했다.
정부는 전자서명법 전부개정안을 통해 '공인인증서 폐지' 정책을 추진하고 있다는 입장이다. 그러나 최 교수는 "개정안은 국가가 인증을 수행하는 '공인인증'의 폐지, 현행 전자서명법에 규정된 공인인증기관과 인증서 발급절차 관련 내용을 걷어내고, 대신 전자서명 인증업무 평가제를 도입하려는 것"이라며 "강력하게 '공인인증서 폐지'를 추진한다기보다는, 현행법에 일정 요건을 갖춘 업체만 (공인인증기관으로) 지정하는 진입장벽을 만든 게 문제점이라 보고 그걸 바꾸려 한 게 목적이라 생각한다"고 말했다.
■ "전자서명 개념-법적 효력, 인증사업자-인증서 법적지위 쟁점"
최 교수는 이어 전부개정안의 쟁점사항을 열거했다. 그는 전부개정안 중 '전자서명' 개념을 정의한 제2조, 전자서명 법적효력을 정의한 제3조, 전자서명인증업무 관련 근거를 제시한 제4조와 제5조, 운영기준 준수사실 표시 근거로 만든 제7조 등 4가지를 꼽았다.
현행법 제2조 2항은 전자서명의 정의에 '서명자를 확인'한다는 기능을 포함하고 있다. 개정안 같은 조항에는 이 표현이 빠졌다. 최 교수는 이게 서명자를 확인한다는 개념을 인터넷의 본인확인, 신원확인, 실명제 같은 용도로 오인해 우려한 결과라고 봤다. 그는 "이 부분은 문서에 담긴 서명이 서명자의 신원이 아니라 문서 내용의 진정성을 확보해 준다는 것으로 봐야 하는데 여러 우려가 있어 빠졌다"며 "전자서명 정의에 들어가는 건 당연한데 '전자문서 서명자를 확인'한다는 표현이 정확할 것"이라고 설명했다.
현행법 제3조는 '공인전자서명'과 '그 외 전자서명'의 법적효력을 구별해 왔다. 개정안은 공인전자서명 언급 없이 '법령의 규정 또는 당사자간의 약정에 따른 전자서명'의 법적효력을 다룬다. 최 교수는 "민법상 모든 문서는 작성한 즉시 추정력을 인정하고, 모든 전자서명과 서명은 법적 추정력이 있다"며 "서명의 진정성은 사후 (분쟁시) 소송절차에서 확인하는 것이라 아무리 법적으로 (효력의 우위를) 추정하더라도 의미가 없다"고 봤다. 지난 2001년 개정 전자서명법 국회심사 검토보고서에는 구별 필요성을 인정했지만, 그렇지 않다는 게 최 교수 견해다.
전부개정안 제4조와 제5조는 '전자서명인증사업자'가 '평가기관'에 운영기준 준수 평가를 신청하고, 평가기관은 '인정기관'에 그 평가결과를 제출하고, 인정기관은 전자서명인증사업자에게 운영기준 준수 증명서를 발급한다는 근거를 담고 있다. 이 체계상 인정기관과 평가기관은 과기정통부 장관이 지정하고, 운영기준 자체도 과기정통부 고시로 만들어진다. 최 교수는 "다양한 인증기술 중 공통분모인 PKI 기반으로 운영기준을 만든다고 알고 있다"며 "전문가들께서 그 외 기술 관련 의견을 운영기준에 반영되게 하는게 타당하다 생각한다"고 말했다.
현행법상 인증서는 공인인증서와 사설인증서 두 가지로 나뉜다. 전부개정안 제7조는 이 구별 대신 '기준준수 표시 인증서'와 그 표시가 없는 '기타 인증서'를 구별하는 체계를 만든다. 법이 바뀌면 기존 공인인증서에 더해 일부 사설인증서가 기준준수 표시 인증서로 취급된다. 사설인증서의 나머지가 기타 인증서로 남게 된다. 최 교수는 "현행 공인인증서와 일부 사설인증서가 평가기준을 충족한 (기준준수 표시) 인증서로 통합되겠지만, 다른 인증서와 법적 효력은 같을 것"이라고 말했다.
■ "서명-인증 분리, 사업자격 완화, 분쟁조정제도 필요"
최 교수는 이어 그가 나름대로 검토한 전자서명법 전부개정안의 문제점을 짚었다. 그는 현행 공인인증기관의 지위상실에 따라 공공분야에서 대체수단이 필요해짐을 지적했다. 사설인증사업자들이 공공분야에 쓰이는 인증서를 발급하는 역할을 할 수는 있지만, 수수료가 발생한다는 점이 문제가 될 수 있다고 봤다. 그는 "공공부문이 사설인증서 사용에 따른 비용을 지불한다면 세금을 통해 할 텐데, 세금으로 비용을 전가하는 게 타당하겠느냐"며 "발생할 비용을 누가 부담할 것인지에 검토가 부족하다"고 봤다.
최 교수가 개정안에서 고민이 부족하다고 본 다른 부분은 법체계상 '전자서명'과 '전자인증' 개념의 혼동이다. 현행법에서도 전자서명과 전자인증이 혼용되고 있다. 하지만 서명과 인증은 법적으로 다른 개념이다. 그는 "우리법은 서명과 인증이 여전히 혼합돼 있는데 (전자서명법이) 향후 '(전자)서명과 인증에 관한 법률'로 확대 개편돼야 한다고 생각한다"며 "이미 유럽의 에이다스(eIDAS)라는 법률이 그런 형태를 취하고 있는데, 우리도 (서명과 별개인) 인증 부분을 명확히 규정할 필요가 있다"고 강조했다.
법 개정으로 소비자 이익과 전자서명 시장이 커질 거란 낙관론도 있다. 소비자 이익이 커질 수 있다는 시각은 다양한 인증기술의 경쟁에 따른 기대다. 이는 지문, 안면인식, 홍채인식 등 생체정보인증 기술 확산 흐름에 주목한 전망이다. 전자서명 시장 확대 가능성은 진입장벽으로 작용했던 공인인증기관 지정제도 폐지로 스타트업같은 기업도 이 분야에 참여할 수 있을 것이란 관측에서 나온다. 이런 시각에 최 교수는 "반론으로 소비자에게 초기 혼란이 클 것이고 시장에서 스타트업이 아닌 대기업과 외국계 기업이 독점할 것이란 얘기도 있다"고 언급했다.
최 교수는 또 개정안에 수정이 필요한 부분으로 ▲전자서명의 정의에 빠진 '전자문서 서명자의 신원확인'을 포함할 것 ▲공인인증기관 지정제 대신 개정안 제5조 제1항으로 도입되는 전자서명인증사업자의 자격요건을 전기통신사업법상 '부가통신사업자'와 같은 수준인 신고제로 완화해 경쟁을 촉진할 것 ▲전자서명관련 분쟁 발생시 이용자를 보호할 분쟁조정제도를 도입할 것 등 세 가지를 제안했다. 공인인증제도 폐지에 따라 인증서간 상호연동이 필요하다며 블록체인 공동인증, FIDO 공동인증 방식 활용 방안도 제안했다.
관련기사
- 한국FIDO산업포럼, 21일 개정 전자서명법 전문가 토론회2018.06.21
- 전자서명법 개정안 공청회 찬반 뚜렷...일각 "재검토해야"2018.06.21
- 공인인증서 20년 만에 폐지된다2018.06.21
- 공인인증서 우월 지위 폐지 법안 나왔다2018.06.21
최 교수는 "개정안의 전자서명인증사업자 자격요건에서 결격사유같은 부분은 불필요하며 이는 또다른 진입장벽을 만드는 것이라 생각한다"며 "이용자 보호 차원에서는 분쟁시 무조건 소송으로 가지 않도록 분쟁조정이 필요한데 (별도기관 설립 필요 없이) 전자문서 및 전자거래 기본법에 근거한 분쟁조정위원회에서 업무가 가능할 거라 생각한다"고 말했다.
이어 "정부 정책으로 거래 위험수준에 맞는 인증기술 도입, 안전한 인증서 활용 지원, 신기술 개발 지원과 이용자 홍보, 편리한 인증서 이용환경 조성, 다양한 인증수단 발굴 이뤄져야 한다"고 덧붙였다.