"전자서명으로 확인하는 것은 두 가지다. 전자서명의 주인이 누구냐와, 전자서명이란 행위를 한 사람이 그와 동일인이냐. 현행 전자서명법이 제2조(정의) 3항 나목 '서명 당시 가입자가 전자서명생성정보를 지배·관리하고 있을 것'이라는 조항을 두고 있는데, 개정안에는 행위를 한 사람이 그 사람인가, 동일성을 확보해야 한다는 부분이 없다."
정부가 지난해 9월 14일 국회에 제출한 전자서명법 전부개정안 내용 중 전자서명의 정의 부분에서 행위자 동일성 확보 요건이 삭제돼 문제가 될 수 있다는 지적이 제기됐다. 22일 서울 여의도 국회 '전자서명법 개정에 따른 국민 토론회' 자리에서다. 행사 전반부 발제와 후반부 패널 토론 사회를 맡은 한호현 한국IC카드포럼 회장의 주장이다.
한 회장은 "1999년 전자서명법 제정 후 2001년 전면개정된 법이 현행법의 근간"이라며 "당시(개정논의)에도 전자서명 행위자와 그 소유자(당사자)가 동일인인지 여부를 어떻게 확인할 것이냐를 논의했다"고 설명했다. 이어 "(전자서명이라는) 행위 당시 '전자서명생성정보를 지배·관리할 것'이라는 표현은 이것 없이는 당사자가 전자서명을 했다는 사실을 담보할 수 없어서 들어가도록 결정된 것"이라고 말했다.
또 "서명은 당사자가 행위 중이란 걸 상대가 직접 보고 있어 확인할 수 있다"면서 "멀리 떨어져 있는 사람이 전자서명을 하는데 그 사람이 하고 있는지 어떻게 확인할 것이냐 관련해 여러 요건을 넣은 게 이 조항"이라고 짚었다. 이어 "이 조항은 전자서명법 유사 제도를 가진 모든 나라에 공통적으로 들어가 있는데, 이걸 빼면 분쟁시 입증책임(소재)이 상당히 모호해진다"고 주장했다.
이날 토론회는 국회 송희경의원 주최, 한국FIDO산업포럼과 인증전문가포럼 주관, 정부부처와 시민단체 후원으로 열렸다. 상명대학교 최민식 교수, 금융결제원 강환철 팀장, 한호현 아시아IC카드포럼 회장이 전반부 발제를 맡았다. 이어 과학기술정보통신부, 행정안전부, 소비자시민모임, 청년이여는미래, 법무법인 대화, 금융결제원 등 여섯 곳의 관계자가 패널토론을 진행했다.
한 회장이 토론회에서 지적한 전자서명 행위자 동일성 확보 요건은 현행 전자서명법 제2조(정의)의 3항에 명시된 내용이다.
3항은 "'공인전자서명'이라 함은 다음 각목의 요건을 갖추고 공인인증서에 기초한 전자서명을 말한다"면서 가목에 "전자서명생성정보가 가입자에게 유일하게 속할 것", 나목에 "서명당시 가입자가 전자서명생성정보를 지배·관리하고 있을 것", 다목에 "전자서명이 있은 후에 당해 전자서명에 대한 변경여부를 확인할 수 있을 것", 세 가지를 제시한다. 개정안은 조문 구조상 이 3항에 해당하는 부분을 포함하지 않는다.
한 회장은 "(서명 당시 가입자가) 전자서명생성정보를 지배·관리하고 있을 것이라는 표현은 전자서명법을 가진 모든 나라 조문에 동일하게 들어가 있고, 이걸 빼면 분쟁시 입증책임이 모호해진다"고 주장했다. 반면 상명대 최민식 교수는 "현행법의 '정의' 조항에서 크게 바뀌지 않았다"며 "서명자의 신원이 설명되고, 서명자가 해당 전자서명을 했다는 사실이 표현됐다고 판단한다"고 반론을 폈다.
최 교수가 한 회장이 지적한 행위자 동일성 요건이 개정안의 다른 문안을 통해 확보된다는 견해를 제시하자, 한 회장은 "그건 전자서명의 소유확인이고, 행위확인이 아니다"라며 "누군가의 서명이 된 것을 볼 수는 있지만, 그 서명이 이뤄진 시점에 실제 그 행위자가 서명했다는 것을 어떻게 볼 수 있느냐는 문제"라고 지적했다.
한 회장의 문제제기에 행정안전부 정윤기 전자정부국장은 "전자서명은 물건처럼 누구의 소유를 가리는 기존 개념으로 설명되지 않는다"며 "IT분야에서 오프라인 환경의 개념을 무시하고 새로운 개념을 만들어야 하는 경우가 많은데 그런 점에서 교수님(한 회장)이, 서명이 어떻게 위조되지 않고, (서명이 나타내는) 본인이 실제로 한 것인지 입증하는 새로운 개념 필요하다는 의미있는 지적을 했다"고 봤다.
과학기술정보통신부 오용수 정보보호정책국장은 "비정상적 방법으로 개인정보에 접근할 경우 벌어지는 일, 침해사고, 개인정보유출 문제와 비슷하게 설명할 수 있을 것 같다"며 "발급기관의 가입자에 대한 문제가 아니고, 해킹 등으로 인증서가 탈취되고 도용됐을 때의 문제를 어떻게 할 것이냐가 문제 아니겠느냐"고 반문했다.
한 회장은 "당사자가 직접 한 전자서명을 안 했다고 부인하는 문제로 인한 분쟁도 생길 수 있다"면서, 행위자 동일성 문제를 침해사고 관점으로만 바라보는 건 충분치 않다고 반박했다.
이에 오 국장은 "어떤 거래든 상대방이 있다"며 "(행위자 동일성 문제로 인한 분쟁을) 그 상대방과 어떻게 할 거냐는 문제가 남는데, 전자서명법 취지는 공공 민간 서비스에서 (그런 문제를 해결하고자할 때) 어떤 걸 채택할지, 기술을 개발하고 대책을 강구하는 게 맞다고 생각한다"고 답했다.
오 국장은 이어 "인터넷뱅킹, 모바일뱅킹할 때 전화로 '본인확인하겠습니까'하고 통신사와 연계해 멀티팩터 확인을 하기도 하고, 복제폰 문제에 대비해 지문인증방식을 채택하기도 하면서 행위 당사자임을 증명한다"면서 "공인인증서가 그걸 다 해야 하는 건 아니라고 보는 것이고, 전자서명의 영역이 아니고 그 다음(서비스 제공과정)을 받는 부분에서 가입자와 균형을 찾는 지점에 만들어지는 게 맞다"고 말했다.
한 회장은 "이 부분은 기술의 문제, 절차와 제도의 문제가 나뉘는 건데 제도의 문제에서 (현행법이 보장하던 사항이 개정안에서) 빠지는 것을 말씀드린 것"이라고 첨언했다.
법무법인 대화 신주영 변호사는 "법정에서는 전자서명생성정보를 지배·관리하고 있었다는(법률상 요건을 충족하는) 걸로 서명했음을 법원에서 인정하고, 행위자가 서명을 했다고 친다"며 "(법 개정안처럼) 전자서명을 했다는 사실만으로는, 법원에서 주장해도 받아들여지지 않는 것이기에 이 부분은 현행법 대비 후퇴한 점이 있다"는 견해를 제시했다.
이날 행사 전반부 토론 발제 요약과 후반부 각 패널 주요 발언을 아래에 정리했다.
■ 금결원 "IoT 보안 위한 인증서로 초연결사회 준비해야"
상명대 최민식 교수는 현행 전자서명제도 개요, 정부의 개정안 개요와 핵심내용을 소개했다.
그에 따르면 전자서명법은 공인인증제도와 공인전자서명 근거를 담고 있다. 공인인증과 사설인증 개념을 대조한 가운데 가장 논란이 되는 부분은 전자서명의 법적 효력에 있다. 공인인증제도의 공인전자서명은 법령상 서명효력과 법적인 추정력이 함께 보장되는 반면 사설인증서 기반 전자서명은 당사자간 약정에 따른 서명 효력만 인정된다.
20대 국회에서 여러 전자서명법 개정안이 발의돼 있다. 공인인증제도 관련 개정을 다룬 대표 법안은 정부안과 2018년 3월 6일자 고용진 의원 발의안이다. 의원 발의안은 공인전자서명과 전자서명을 구별하지 않고 인증기관 지정제를 등록제로 변경하는 내용이다. 정부 안은 공인전자서명 제도를 폐지하고 사업자의 전자서명인증 업무에 대한 평가인정제도를 운영한다는 내용, 과도기에 필요한 경과조치를 담고 있다.
금결원 강환철 팀장은 공인인증서 구현기술의 발전과 사물인터넷(IoT) 시대 PKI기반 디지털인증서의 수요 확대 흐름을 짚었다.
과거 공인인증서를 쓰려면 윈도와 인터넷익스플로러(IE) 브라우저 전용 기술인 액티브X가 필요했다. 이제는 액티브X 없이 크롬, 사파리 등 브라우저에서 공인인증서를 다룰 수 있게 됐다. 인증서를 클라우드 영역에 저장해 놓고 사용하는 방식, 사용자 컴퓨터의 브라우저 저장공간에 두고 사용하는 방식 등이 상용화됐다. 스마트폰에 연동해 지문인식을 거치면 PC 로그인을 처리하는 멀티채널인증 방식도 나와 있다.
강환철 팀장은 "공인인증서 사용시 불편함을 해소하기 위한 시도로 논액티브X, 논EXE 방식, 유효기간 연장, 비밀번호를 생체정보 등으로 대체, 금융거래시 타행등록 절차 최소화 등이 진행됐고 이제 블록체인, 클라우드, AI 등 신기술과 지속 접목돼야 한다"며 "개정안은 사람에게만 인증서 발급하게 돼있는데 IoT 해킹 시도 막으려면 기기에도 인증서를 발급해 초연결사회 준비해야 한다"고 주장했다.
아시아IC카드포럼 한호현 회장은 전자서명이 나타내는 당사자가 실제 서명을 한 행위자와 동일인이어야 한다는 현행법의 요건이 개정안에서 빠지는 점이 간과됐다고 지적했다.
그에 따르면 개정안에 전자서명이 누구 것이냐 문제와, 그걸 누가 직접 하고있느냐 문제가 반영돼야 한다. 현행 전자서명법에는 제2조 정의에 이 부분이 언급돼 있다. 개정안에는 전자서명이 누구 것이냐만 표현하고 있고, 누가 하고 있느냐는 부분은 거의 생략돼 있다. 이 문제로 인해 국민들, 소비자들이 개정 전자서명법 기반의 전자서명을 이용할 때 피해를 입을 수 있다. 법적인 문제 발생시 피해가 전가될 수 있다.
■ 시민단체 "국민·이용자 전자서명 사용시 문제 없어야"
이날 토론에서 한 회장은 후반부 토론 사회자 역할로 세 가지 화두를 던졌다.
하나는 "전자정부서비스에선 전자서명 행위자와 동일인임을 어떻게 확인해 정보 공유, 신원확인을 할 것이냐"다. 다음은 "블록체인, IoT, 자율주행차 등 지능화 서비스에서 어떻게 그 주인을 인지하고 서비스 이행 책임을 부여할 것인가"다. 마지막은 "현행 국내법과 상당부분 동일한 전자서명법이 미국과 유럽연합(EU) 등에 마련돼 있는데, 개정으로 부실해질 수 있는 국내법의 국제간 상호인정 기반을 어떻게 제공할 것인가"다.
토론에 법무법인 대화 신주영 변호사, 시민단체 청년이여는미래 백경훈 대표, 소비자시민모임 윤명 사무총장, 과학기술정보통신부 오용수 정보보호정책국장, 행정안전부 정윤기 전자정부국장, 금융결제원 강환철 팀장이 패널로 참가했다.
법무법인과 시민단체 측 참석자들은 전자서명 기술과 서비스를 써야 하는 이용자, 소비자, 국민들이 실생활에서나 법적 분쟁에서 불이익을 받지 않아야 한다는 데 입을 모았다.
신주영 변호사는 '인증실패'에 따른 손해를 일반 이용자들이 떠안지 않도록 할 필요가 있다고 지적했다. 전자서명인증사업자나 이를 활용하는 서비스제공업체가 전자서명 당사자를 오인했을 때, 이용자와 계약당사자에게 손해를 전가할 게 아니라 배상책임을 져야 한다는 견해다. 현행 전자서명법이나 개정안 내용 모두 인증서 이용자의 신원이 도용당해 피해를 전가당하는 상황에 고려가 부족하다는 비판이다.
신 변호사는 "(전자서명 당사자와 그 행위자가 동일인이라는) 인증이 100% 성공하지않으면 전자서명 효력을 인정할 이유가 없다"며 "다른 사람이 문서 작성하고 '신주영이 작성한 문서다' 하면 위조 문서인데, 그럼에도 '이게 신주영이 작성한 게 맞다'고 판정하면 인증 실패"라고 표현했다. 그는 인증 실패를 기술적으로 해결하는 것과 별개로, 실패시 국민이 손해를 떠안는 부담을 줄여야 한다고 지적했다.
그는 토론에서 범죄자가 도용한 명의로 공인인증서를 재발급받아 체결한 온라인대출계약이 공인인증서의 '진정 성립 추정' 효력때문에 재판에서 유효하다고 판정된 피해 사례를 소개했다. 이어 개정안의 20조 손해배상책임 부분을 언급하며 "국민이 인증실패로 인한 피해를 떠안고, 법원에서 피해자끼리 분쟁하지 않게끔 책임을 배분하는 문제를 꼭 짚어야 한다"고 강조했다.
백경훈 대표는 "축적된 기술과 시스템을 충분히 활용할 필요가 있지만 공인인증서와 PKI 기술의 진화에 공감하지만 이걸 써야 하는 소비자 입장에선 여전히 이 기술이어야만 한다는 당위성이 전달되지 않는다"며 "이 기술 발전과 변화를 공공영역에서 따라가기 어려운 부분이 분명히 있는데, 외부 전문가 영입과 같은 방법으로 사회, 국가, 시장변화 맞춰 대응하는 게 중요하다 생각한다"고 말했다.
윤명 사무총장은 "4차산업혁명시대에 사물인터넷과 자율주행차같은 서비스가 제공되려면 여러 시스템에 본인인증을 비롯한 인증절차를 거쳐야 할 것"이라며, 시장환경에 발맞춰 이용자에게 혜택이 돌아갈 수 있는 방향으로 전자서명법 개정이 이뤄져야 한다는 생각을 보였다. 그는 "인증수단을 (서비스마다 제각각) 다양화하다보면 이용자 국민이 오히려 더 불편해하거나 문제를 겪지 않을까 우려도 있다"고 말했다.
이어 "(개정안대로) 사설인증기관이 많이 나타나면 서로 경쟁하고 기술 발전도 이뤄질거라 보지만 한편으로 인증기관과 제조업체가 결탁해 인증수단 다양화보다는 오히려 쏠림 현상이 나타나지 않을까, 그런 문제를 우리는 어떻게 해결해야할까 싶다"며 "향후 인증기관의 다양성을 어떻게 우리 법체계로 보장할할 것인지 하는 내용을 이 법(개정안)에서 잘 찾아볼 수 없다"고 지적했다.
또 "우리가 여러 서비스를 이용해야 하는데 그때마다 필요한 인증절차와 방법이 다르다면, 사용자 입장에 너무 많은 사설인증 기술 기반이 생기면 불편하지 않을까도 생각한다"며 "선택하는 주체가 이용자가 될 수 있을까. 사업자가 어떤 인증을 써야 한다고 제공할 것인지, 그런 영역도 우리가 고민할 필요가 있다"고 첨언했다.
■ 과기정통부 "전자서명·인증기술 수준 낮추려는 것 아니다"
오용수 국장은 정부의 전자서명법 개정 취지를 강조했다. 앞서 제시된 토론 참가자들의 지적 내용을 두고 그는 "전면적 제도 개선 필요성에 공감을 얻지 못한 점 죄송하다"면서도 "개정안 의미에 몇 가지 오해가 있는 듯하다"며 반론을 폈다.
그는 "첫째로 전자서명법 개정 목적은 공개키기반구조(PKI) 기술을 폐지하자는 게 아니며 PKI 기술은 시장에 존속할 것으로 예상한다"면서 "특정 수단 또는 기술인 공인을 받은 인증서에 한해 법적인 효력을 부여하는 차등을 폐지하고 블록체인, 4차산업혁명 시대를 이끌 다양한 인증수단을 시장에 끌어들여 더 경쟁하고 양질의 인증기술을 추려 소비자의 선택을 받게 하자는 게 개정 취지"라고 강조했다.
이어 "둘째로, 다양한 전자서명의 상호호환을 추진하되 시민단체서 말씀하신 특정 사이트에서 특정 전자서명을 요구하는 문제는, 정책적으로 제어가 필요하다"면서 "개정안 제4조 전자서명 발전을 위한 수칙 수립 부분인데 관계부처와의 협의해야 할 사항"이라고 언급했다. 전자상거래와 전자결제같은 분야는 금융위원회 영역이고 공공 부문, 전자정부서비스는 행정안전부 영역이라는 얘기다.
또 "다양한 수단을 최적화하고 가이드라인에 맞춰 좀 더 발전하도록 하자는 취지로 어떤 영역에는 생체인증을 도입하거나, 멀티팩터 방식으로 여러 인증수단을 통해 강화할 수 있다"며 "원칙은 현재 공인인증서와 전자서명제도가 가진 안정성, 신뢰성 기준을 높이면 높였지, 낮추겠다는 게 아니다"고 설명했다. 그는 "여전히 인증사업자가 되고자하는 사업자를 '인정'하는 형태로 관리할 것"이라고 말했다.
추가로 "셋째로 개정안 부칙 경과규정으로 전자정부서비스와 관련해 실지명의확인, 본인확인이 유지되는 부분은 많은 지적과 우려가 있는데, 현실적으로 전자정부서비스에 중요한 건 본인이 어떤 방식으로 정보를 확인하고, 신원확인과 정보공유를 할 것인지 고려하는 부분"이라면서 "제14조로 전자서명가입자신원확인을 반드시 하게 해놨고, 현재 주민번호가 실지명의확인 기준이 될 가능성이 크다"고 언급했다.
오 국장은 신 변호사가 언급한 인증실패 사례를 다른 관점으로 봐야 한다는 입장이다. 그는 "인증서 최초 발급 단계에는 대면 본인확인을 하게 돼 있는데 문제는 재발급 절차에 관련된 부분을 개선하기 위해 발급기관의 어떤 것을 더 강화할 것이냐가 남는 문제"라며 "다수 가입자가 재발급 시점마다 다시 대면 본인확인을 할 것이냐는, 편의성과 보안간 트레이드오프 관계"라고 주장했다.
이어 "현재 발급기관에서 재발급시 조치에 문제가 있다기보단 오히려 그 다음에 은행이나 전자상거래에 실제 이용시 그 사기를 어떻게 탐지하고 대응할 거냐 문제"라며 "전자서명과 공인인증서 기술 자체는 중립적이지만 이걸 쓰는 기관이나 기업이 서명관련거래시 좀 더 안전하고 신뢰성 보강하면서도 편의성을 높이는 쪽으로 투자하고 보완했다면 이런 부분은 좀 더 달라졌을 것"이라고 비판했다.
■ 행안부 "한국어 '인증' 용어, 엄밀히 구별해야…공공 전자서명기술 평가프로세스 검토"
정윤기 국장은 국민 이해를 구하고 여론 수렴을 위해 먼저 업계 종사자나 이해당사자들간 정리되지 않은 관련용어를 좀 더 엄밀하게 구별해 줄 필요가 있다고 당부했다. 그는 "영어로는 certification, authentication, identification 등 별개인 개념을 한국어로는 모두 '인증'이라고 표현하는데, 상대와 서로 불일치하는 개념을 얘기할 때도 있는 상황이고 종사자들이나 부처 직원들과도 헷갈릴 때가 있다"고 말했다.
정 국장은 "인증과 전자서명은 다르다, 행정안전부는 전자적으로 처리하는 서명을 전자서명이라고 본다"며 "하지만 현장에서는 서명이 아니고 본인확인, identification으로 인식하는 문제가 있다"고 지적했다. 이어 "인증이라는 용어를 더 세분화, 전문화된 개념으로 만들어 주길 학계에 부탁드린다"면서 "전자서명법 개정에 따라 인증개념을 더 세분화하는 작업을 전자정부국 안에서도 하고 있다"고 설명했다.
그는 "전자서명법 개정 취지는 공인인증서의 독점적 지위를 폐지한다는 것으로, 과기정통부와 다르지 않다"며 "폐지하고 다양한 기술이 나와야 한다"고 말했다. 이어 "폐지 전에도 공공기관, 정부기관 사이트에는 다른 로그인, 본인확인 기술이 적용되고 있었다"며 "우리가 현 단계에서 공공기관이 본인확인을 위해 유력하게 채택을 고려하는 수단으로 보는 건 FIDO 방식, SMS 방식, 신용카드 방식 등"이라고 말했다.
또 "앞으로 (법 개정 후) 초기에는 다양한 기술이 개발돼 시장에 나오겠지만, 현재도 수많은 정부 서비스 가입자가 아이디와 패스워드를 관리하지 못하고 있는 모습을 본다"며 "수많은 인증기술이 나오더라도 국민 선택에 따라 시장은 그 중 몇 개로 재편되고 궁극적으로 사용 편의성을 통해 대중적으로 확산된 것과, 좀 더 불편하지만 보안성을 강화한 전자서명기술, 인증기술이 채택될 거라 본다"고 전망했다.
관련기사
- 정부가 마련한 전자서명법 개정안 국회서 토론2019.01.23
- 미래 전자서명기술은?..."편의-보안 두 토끼 잡아야"2019.01.23
- "전자서명법 개정엔 찬성...일부 오해 해결해야"2019.01.23
- "전자서명법개정안 문제 있다"2019.01.23
정 국장은 "공공기관이 이미 대중적으로 시장을 형성하고 국민의 신뢰를 얻은 기술을 채택한다면 아무 문제 없지만, 시장의 선택을 받기 전에 과도기적으로 몇 개를 압축적으로 선택할 때 고민이 된다"며 "금융기관은 인증서가 잘못됐을 때 극단적으로 금전 배상을 통해 해결할 수 있지만, 우리는 신원확인부터 부동산거래까지 다양한 서비스를 제공해 어떨 땐 회복이 불가능한 피해가 생길 수도 있다"고 우려했다.
추가로 "공공 서비스는 좀 더 안전할 거라는 국민의 신뢰가 있다"며 "우리는 과도기적으로 새로 출시된 전자서명기술이 얼마나 신뢰성을 갖고 있는지, 공공기관에 채택될지, 평가하는 프로세스를 거치게 해 국민들에게 안전한 서비스를 제공해야지 않을까 검토 중"이라고 언급했다. 또 "기술적으로 탁월하더라도 도태된 기술이 많다"며 "사용자경험, 개방성을 염두에 둔 전자서명 기술 개발을 부탁드린다"고 청했다.