정부가 추진 중인 공인인증제도 폐지정책이 지난 3월 입법예고된 전자서명법 전부개정안을 통해 구체화됐다. 개정안에는 사설인증서와 구분되던 '공인인증서' 개념이 빠졌다. 대신 명시적인 전자서명 법적효력 및 전자서명인증업무 평가제 도입 조항이 들어갔다. 현재의 공인인증 시장에 변혁이 불가피하다. 어떤 변화가 오는 지를 상, 하편으로 살펴봤다. [편집자주]
공인인증제도는 현행 전자서명법으로 지정된 '공인인증기관'만이 공인인증서를 발급 및 갱신할 수 있도록 정한 제도다. 그간 공인인증제도로 공인인증서 외의 전자서명 기술 및 서비스 발전과 시장경쟁이 저해됐다는 판단에 따라 정부가 제도 폐지를 추진하고 있다.
핵심은 공인인증서라는 전자서명 수단을 없애는 게 아니라, 해당 기술을 과점해 온 공인인증기관이라는 법정 지위를 없애는 거다. 한국정보보호산업협회(KISIA)가 2017년 정보보호산업실태조사에서 655억원 규모로 파악한 시장에 지각변동이 예상된다.
현재 공인인증기관은 6곳이다. 앞서 2000~2002년 사이에 한국증권전산(현 코스콤), 한국정보인증, 금융결제원, 한국전산원(현 한국정보화진흥원), 한국전자인증, 한국무역정보통신, 6곳이 공인인증기관으로 지정됐다. 그간 변화도 있었다. 한국정보화진흥원이 2001년부터 맡아 온 공인인증업무를 2008년 한국정보인증에 넘기며 공인인증기관 대열에서 빠졌고, 지난달 이니텍이 16년만에 신규 공인인증기관으로 지정됐다.
과학기술정보통신부는 현행 공인인증제도의 근거가 담긴 전자서명법의 전부개정안을 입법예고했다. 개정안의 특징은 4가지다.
첫째, 공인인증서와 사설인증서간 구별이 폐지된다. 둘째, 인증사업자 대상 ‘전자서명 인증업무 평가제’가 도입된다. 셋째, 인증사업자 손해배상책임 부과와 관련 보험가입 의무화 등 인증서 이용자와 기존 공인인증서 가입자 보호 장치가 강화된다. 넷째, 이용자 불편을 줄이는 취지로 법 개정 이후 기존 공인인증서도 일정기간 쓸 수 있게 한다.
■ 공인인증 외 다양한 전자서명 인정
개정안은 공인인증서, 공인전자서명과 그외 인증서, 전자서명간 차별을 페지하고 다양한 전자서명수단이 이용될 수 있도록 하는 조항을 포함했다.
우선 개정안 제3조(전자서명의 효력)는 공인전자서명과 공인전자서명 외의 전자서명을 ‘전자서명’으로 통합하고 동일한 법적효력을 부여해 전자서명간 차별을 폐지했다. 전자서명간 동일 효력을 부여해 다양한 전자서명 기술과 서비스 발전과 경쟁을 촉진한다는 취지다. 또 전자서명이 전자적이란 이유만으로 ‘서명’으로서의 법적 효력이 부인되지 않도록 했다.
개정안 제18조(다양한 전자서명의 이용 활성화) 부분은 전자서명수단을 제한해야 할 때 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙, 감사원규칙에 근거를 두도록 했다. 불필요한 전자서명수단 제한을 방지해 다양한 전자서명 수단이 이용되게 하고 전자서명 기술과 서비스 발전을 유도한다는 취지다.
■ 개정안 내용은...전자서명인증업무 평가제 등 도입
개정안은 여러 조항을 통해 전자서명인증업무 평가제 도입과 운영기준 근거를 마련했다. 현행법 제4조(공인인증기관의 지정)와 제6조(공인인증업무준칙 등)를 대체하는 성격을 띤다. 현행법의 공인인증서는 일반 인증서와 구별되는 별도 법적효력이 있지만, 개정안의 평가를 통과한 인증수단에는 별도 법적효력이 부여되지 않는다. 다만 운영기준을 준수했다는 표시를 통해 이용자들이 이를 선택할 수 있게 했다.
개정안 제4조(전자서명인증업무 운영기준)는 전자서명·문서 위변조 방지 및 서명자 확인, 전자서명인증업무 가입·이용·폐지 관련 사항, 시설 및 자료 보호에 관련 사항 등에 국제적으로 인정되는 기준을 고려해 전자서명인증업무 운영기준을 마련하게 했다. 개정안 제6조(평가기관 및 인정기관의 관리)는 평가기관과 인정기관을 선정 및 취소하거나 업무를 일부 또는 전부 정지할 수 있는 관리 근거를 담았다.
개정안 제5조(운영기준 준수여부 평가)는 전자서명인증사업자가 운영기준을 준수했는지 여부를 평가기관에 신청하고, 평가기관의 평가와 인정기관의 확인을 거쳐 증명서를 발급받을 수 있게 했다. 개정안 제7조(운영기준 준수사실의 표시)는 증명서를 발급받은 전자서명인증사업자가 이용자 선택을 위한 정보 제공 차원에서 운영기준 준수 사실을 표시할 수 있게 했다.
■ 가입자·이용자 보호 수단 강화
개정안은 증명서를 발급받은 전자서명인증사업자의 업무준칙 작성 및 고지 의무와 업무관련 손해배상책임 규정으로 이용자 보호 근거를 뒀다.
개정안 제8조(가입자 보호)는 증명서를 발급받은 사업자가 ‘전자서명인증업무준칙’을 작성, 게시, 고지해 가입자·이용자를 보호하도록 했다. 전자서명인증업무준칙은 전자서명인증업무의 종류, 수행방법, 이용요건(요금·이용범위·유효기간 등)을 포함한다. 이에 따라 사업자는 인증업무 휴지·폐지시 그 사실을 가입자에게 사전 통보하고 필요한 가입자 보호조치도 마련해야 한다.
현행법은 제26조(배상책임)과 제34조(과태료)를 통해 공인인증기관에 공인인증서 이용에 따른 이용자 손해의 배상책임과 배상을 위한 보험가입 의무를 지웠다. 개정안도 제14조(손해배상책임)과 제24조(과태료)를 통해 증명서를 발급받은 사업자가 전자서명인증업무 관련 이용자 손해배상 책임 및 보험가입 의무를 부과하고 있다.
■ 기존 공인인증서도 계속 사용 가능
과학기술정보통신부는 전자서명법 전부개정안 설명자료를 통해 “기존 공인인증서도 전자서명 수단 중 하나로 계속 사용 가능하다”고 밝혔다. 제도개편 이후 공인인증기관이 전자서명인증사업자로 변경돼 전자서명인증서비스 수행이 가능하다는 의미다. 이용자들이 기존 공인인증기관에서 발급된 공인인증서를 여러 인증수단의 하나로 쓸 수 있다.
개정안은 부칙의 단서조항들을 통해 기존 공인인증서도 일정기간동안 여러 인증수단 중의 하나로 쓸 수 있게 했다. 제도개편으로 인한 기존 공인인증서 이용자들의 불편을 최소화한다는 취지다.
부칙 제2조 공인인증서에 대한 경과조치는 개정안대로 법이 시행된 이후에도 기존 공인인증서 전자서명의 효력을 인정해 준다. 부칙 제3조 공인인증기관에 관한 경과조치는 기존 공인인증기관들이 개정안대로 법이 시행된 이후 1년간 증명서 발급을 신청할 수 있는 전자서명인증사업자 자격을 갖춘 걸로 인정해 준다.
■ 액티브X 없는 인증서 등 다양한 인증기술 활성화 기대
이처럼 공인인증제도를 폐지하면 어떻게 될까. 개정안이 통과되면 현행법상 공인인증기관으로 지정된 소수 기업과 단체의 우월적 지위는 없어진다. 즉 십수년 넘게 국내 시장에서 전자정부와 금융 등 주요 민간서비스용 전자서명 및 본인인증 수단을 제공했던 공인인증기관 지정 조직의 이점을 잃는다. 대신 민간 전문기관을 통해 다양한 전자서명 기술과 서비스가 시장에서 경쟁하도록 유도하겠다는 게 정부 방침이다.
주류 공인인증서 기술은 액티브X(ActiveX)와 브라우저별 플러그인, 운영체제(OS)별 설치파일 등으로 이용자에게 부가프로그램 설치를 요구했다. 부가프로그램 설치에 의존하는 서비스는 OS와 브라우저 호환성 문제를 낳고, 다운로드 및 설치 과정에서 이용자의 PC 자원과 시간을 소비하게 한다. 동작하면서 보안 프로그램과 충돌하기도 하고, 보안취약점으로 해킹 위험에 노출시키며, 삭제 후에도 프로그램의 찌꺼기를 남기는 경우가 있었다.
이처럼 불편하고 성가신 부가프로그램 설치에 이용자 불만이 커지면서 공인인증기관들은 웹표준, 클라우드, 모바일연계 방식을 적용해 액티브X 없는(Non-ActiveX) 인증서 또는 노플러그인(No plugin) 인증서 등 기술을 내놨거나 준비하고 있다. 정부는 공인인증서 제도가 폐지되면 이런 이용자 편의성 개선 노력이 강화될 것이라 내다보고 있다. 인증기술 시장 경쟁의 축이 이용 편의성과 보안성으로 옮아갈 것이라는 전망이다.
■ 공인인증기관들은 새 제도에 시큰둥
공인인증기관들도 이에 동의하고 있을까. 정도의 차이는 있지만 입법예고된 과기정통부 전자서명법 개정안에 아쉬운 점이 많고, 또 더 다양한 이해당사자와 전문가의 의견이 반영돼야 한다는 견해를 보였다.
2001년 11월 24일 공인인증기관으로 지정된 한국전자인증 측은 공인인증제도 폐지 관련 입장 문의에 "어떤 방식으로 전자서명법이 개정되어도 글로벌 수준의 인증서비스를 이어 갈 것"이라고 답했다. 이 회사는 현재 전자서명법을 따르는 공인인증서 관련 서비스와 글로벌 인증기술 시장에서 쓰이는 서비스를 모두 수행 중이며, 글로벌 인증서발급자(CA) 운영평가인 '웹트러스트 포 CA'를 이미 받고 있다고 덧붙였다.
관련기사
- 공인인증기관들, 불만 속에 대응책 마련 분주2018.08.08
- "전자서명법 개정엔 찬성...일부 오해 해결해야"2018.08.08
- "전자서명법개정안 문제 있다"2018.08.08
- 전자서명법 개정안 공청회 찬반 뚜렷...일각 "재검토해야"2018.08.08
2000년 2월 10일 '한국증권전산'으로 불릴 때부터 공인인증기관이었던 코스콤 측에 정부의 전자서명법 개정안 관련 입장을 묻자 3가지 부작용을 전망했다. 첫째, 인증기관 독립성 상실로 전자거래 신뢰성 하락과 둘째, 시장 무한경쟁에 따른 인증서비스 공공성 저해, 셋째는 기존 3천800만 공인인증서 이용자의 혼란 및 사회적 비용 증가다.
코스콤과 같은날 공인인증기관이 된 한국정보인증 측은 "제도 개편이 대세인 점을 인정한다"면서도 "현 제도를 유지하며 문제되는 부분을 보완하는 방향이 됐으면 하는 게 당연한 입장"이라고 밝혔다. 이어 "과기정통부 개정안에 담긴 '평가기관'과 인정기관' 역할 및 책임 등 정의·합의돼야 할 부분이 많다"며 "해외 사례를 벤치마킹할 수 있지만 현 제도의 장점을 살리는 방향도 고려돼야 한다"고 덧붙였다.