'공인' 사라진 전자서명…안전성 검증 방안 두고 이견 치열

업계, 공청회서 평가 유효 기간·평가기관 전문 인력 요건 등 개선 제안

컴퓨팅입력 :2020/09/12 08:26    수정: 2020/09/13 22:29

공인전자서명(공인인증서) 개념을 폐지하는 등 시장 경쟁 촉진을 꾀한 전자서명법 개정안의 세부 내용이 공개됐다. 이 중 전자서명 인증 사업자 평가 제도의 운영 방식과, 주민등록 상 명의인 '실지명의' 기반 인증을 일반적인 인증 사업자가 제공할 방법이 마련된 것을 두고 각계 다양한 의견이 제시됐다.

인증사업자 평가 제도의 경우 1년으로 책정된 유효 기간이 적정한지를 두고 찬반 의견이 갈렸다. 전자서명이 무엇보다 안전성이 강력히 요구되는 기술인 만큼 최소 1년 단위로 사업자에 대한 점검이 이뤄져야 한다는 논리와, 인증에 수 개월 가량이 걸리는 점을 고려할 때 사업자가 느끼는 부담이 과도하다는 주장이 맞섰다.

인증사업자 평가 제도를 수행하는 평가기관의 전문 인력 요건에 대해 수정이 필요하다는 지적도 제기됐다. 변호사와 회계사에 대해 개인정보 보호 유관 경력 6년을 보유한 것으로 간주한다는 조항이 화두가 됐다. 경력 인정 근거가 불분명하다는 지적에 정부는 변호사, 회계사가 IT 감사 업무 등을 수행하고 있는 점을 반영한 것이라고 해명했다.

실지명의 기반 인증의 경우 기존 법 체계 기준 공인인증기관도, 본인확인기관도 아닌 사설인증사업자들이 개선을 요구하던 부분이었다. 이 사업자들은 실지명의 정보를 보유하지 않기 때문에 실지명의 기반 인증을 서비스할 수 없었다. 시행령에서는 이를 전자서명 이용기관이 보유한 주민등록번호 기반 연계 생성 정보(CI)를 처리해 전자서명을 제공할 수 있도록 하는 해법을 내놨다.

지난달 28일 과학기술정보통신부는 개정된 전자서명법의 시행령과 시행규칙을 입법예고했다. 이후 11일 열린 온라인 공청회에서 이같은 의견들이 제시됐다.

출처=픽사베이

■"매년 10억원 이상 지출"vs"공인인증기관보다 점검 수준 완화"

인증 사업자 평가제의 정식 명칭은 '전자서명 인증업무 평가제'다. 기존 공인인증기관 제도를 대체하는 성격을 띤다. 전자서명의 신뢰성, 안전성 등에 있어 운영 기준을 준수했다고 인정받을 수 있다. 다만 공인인증기관과 달리 평가제를 통해 인정받은 기관이 별도의 법적 효력을 누리는 것은 아니다. 인증 사업자가 꼭 이 평가를 치러야 할 의무도 없다.

입법예고된 시행령 제5조에 따르면 평가제를 통해 운영기준 준수 사실을 인정받은 날로부터 1년까지가 유효기간이다.

이에 대해 공인인증기관인 한국무역정보통신의 이재훈 부장은 "인증업무 평가제를 수행하기 위해선 연간 10억원 가량을 투자해야 할 것으로 예상된다"며 사업자 부담이 초래될 수 있다고 우려했다. 전자서명법 개정안이 신기술 기반 스타트업 등의 시장 진입 장벽을 완화한다는 취지로 도입된다는 점에서 법 개정 취지를 저해하는 효과를 낳을 수 있다는 것이다.

이재훈 한국무역정보통신 부장

이에 대해 최동원 과기정통부 정보보호기획과장은 "오프라인으로 치면 전자서명은 인감증명 같은 개념이고, 문제가 발생할 경우 이용자에게 막대한 피해로 돌아오게 된다"며 이용자 보호 측면에서 필요한 조치라고 답했다.

공인인증기관들이 그 동안 평균적으로 연 10회 가량 심사를 받아왔다는 점을 고려해도 과도한 제도가 아니었다는 설명도 첨언했다. 최동원 과장은 "공인인증기관 지정을 받은 사업자들이 이후 소프트웨어나 장비를 변경할 때마다 심사를 받아왔는데 한 기관 별로 연 10회 정도 심사를 받았다"며 "인증 사업자 평가제의 경우 이처럼 까다롭게 평가하기는 어렵지만, 최소 1년 단위의 점검이 필요할 것으로 봤다"고 덧붙였다.

이날 시민단체를 대표해 공청회 패널로 참석한 윤명 소비자시민모임 사무총장도 인증 사업자 평가제 유효기간에 대해 1년이 적정하다는 의견을 제시했다.

■"변호사·회계사 개인정보 보호 경력 근거 없다"vs"관련 업무 수행 현실 반영"

인증 사업자 평가 업무를 수행하는 평가기관은 전문 인력을 고용해 업무를 수행하게 된다. 5인 이상의 전문 인력을 상시 고용해야 하고, 평가 업무의 독립성, 객관성, 공정성, 신뢰성을 확보할 수 있어야 한다.

전문 인력의 인정 기준에 대해 시행령은 4년제 대학졸업 이상 또는 이와 동등 학력을 취득한 자로서 정보보호, 개인정보 보호 또는 정보기술 경력을 합해 6년 이상 보유한 자로 규정하고 있다.

요건 중 변호사와 회계사에 대해 개인정보 보호 유관 경력 6년을 보유한 것으로 인정하는 부분에 대해 타당한 근거가 없어보인다는 비판이 나왔다.

이에 대해 최 과장은 "전문 인력 요건을 만들면서 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 심사원 기준을 참고했다"며 "인력 요건 중 회계사, 변호사도 포용하고 있다"고 말했다.

최동원 과학기술정보통신부 정보보호기획과장

이어 "해당 직종들이 IT 감사 등 유사 업무를 수행하고 있는 점을 감안해 넣은 요건"이라며 "입법예고 이후 여러 이슈들이 제기되고 있는데 이에 대해 재검토해 적절히 조치할 계획"이라고 밝혔다.

■네이버·카카오도 주민번호 기반 인증 가능한 방법 찾았다

실지명의 기반 인증이 요구되는 분야는 공공·금융 등 안전하고 높은 신뢰성을 요하는 전자서명이 필요한 경우들이다.

공인인증기관, 본인확인기관 지위를 지닌 사업자들은 실지명의 정보를 확인할 수 있다. 그러나 이런 권한이 없는 인증 사업자들은 더 편리하고 안전한 전자서명 인증을 서비스할 수 있어도 이같은 종류의 인증 사업에서 제외될 수밖에 없어 규제 개선이 필요하다고 주장해왔다.

이같은 부분이 전자서명법 개정 과정에서도 논의됐으나, 개선되진 못했다. 실지명의를 요구하는 조항들이 전자서명법이 아닌 타 법에 흩어져 있기 때문이었다. 이에 대해 각 법을 소관하는 국회 상임위원회에서 논의하게 하자는 식으로 의견이 정리됐다.

관련기사

이에 대해 과기정통부는 인증 사업자들이 실지명의 기반 인증을 제공할 수 있게 하는 해법을 찾았다. 실지명의 기반 인증을 요구하는 공공·금융기관들이 주민등록번호와 주민등록번호 기반 연계 생성 정보(CI)를 보유한 점에 착안해 이를 활용하게 한다는 것이다.

전자서명법 개정안 시행령 입법예고 내용 발췌

시행령 11, 12조에 따르면 인증 평가제를 통해 인정받은 인증 사업자는 CI를 정보 주체의 동의를 받아 처리할 수 있게 했다. 정보 주체의 CI를, 전자서명 이용 기관이 보유한 실지명의 정보와 비교해 실지명의 기반 인증으로 인정될 수 있게 한다는 것. 이를 위해 과기정통부는 각 부처들과 협의해 관련된 33개 시행령 일괄 개정을 추진할 예정이다.