공인인증서 폐기에 따른 전자서명법 개정안에 대한 개인적인 생각

2004년도부터 지금까지 인증서를 활용한 B2B 업무를 하고 있는 입장에서 최근에 공인인증서 제도가 폐기되고 전자서명법이 개정된다는 내용에 대한 개인적인 생각을 정리해본다.

내가 인증서를 처음으로 접했을 시점에는 공인인증서라는 것이 없고 모두 인증서라는 단어를 사용했던 것으로 기억한다.

그리고 인증서 솔루션을 가지고 있는 기업들도 지금보다는 많았었다.

그러다가 6대 공인인증기관이라는 것이 생기면서(특정 업체가 공인에서 빠지기도, 새로 들어왔다 해서 정확한 숫자는 지금과 다를 수 있음) 기존의 인증서를 발급하고 다루는 솔루션을 가지고 있는 기업은 사설이라는 낙인(?)이 찍히게 되었다.

당시에 인증서를 사용하는 업무 시스템을 가지고 있는 기업들은 사설인증서를 버리고 공인인증서를 사용하는 시스템으로 바꾸는 일이 생기기 시작했다.

사실 전자서명이라는 기능적인 부분(무결성, 기밀성)에서는 사설인증서와 공인인증서가 차이가 없다고 본다.

다만 공인인증기관에서 신원확인과 부인방지에 대한 내용으로 기존 인증서를 사용하는 업무 시스템을 가지고 있는 기업과 신규 기업 고객들에게 영업을 잘 한 것이라고 본다.

이 말인 무엇인지 조금 더 설명을 해보자면 다음과 같다.

공인인증기관에서는 개인 및 기업에게 인증서 발급을 위한 주민등록증이나 사업자등록증 등 여러가지 서류를 가지고 심사를 진행한 이후 인증서 발급이 된다.

이렇게 발급된 인증서는 개인 및 기업을 식별할 수 있는 VID 값을 포함하게 되는데 이 부분이 사설인증서에는 없던 것이였다.

그리고 이런 인증서로 전자서명을 수행한 이후 신원확인 기능을 사용하면 DN 값으로 공인인증기관의 LDAP 서버와 실시간 통신을 하여 해당 인증서로 서명한 인증서의 유효성을 확인할 수 있다.

또한 VID를 사용하여 개인의 주민등록번호나 사업자번호와 비교하여 일치하는 인증서인지 확인도 가능하다.

기업들은 개인과 기업 또는 기업과 기업간에 업무를 수행할 때 당사자인지 확인할 수 있는 방법을 위와 같은 이점이 있는 공인인증서를 활용하는 형태로 선택하게 되었다.

그리고 입찰이나 계약 등의 업무에서 도장(인감)을 대체하여 서명 업무를 수행하여 나중에 당사자가 해당 사실을 부인하는 경우 서명된 정보를 통해서 당사자가 서명한 것 맞다는 것을 개인과 기업이 아닌 제 3자인 공인인증기관에서 증명을 해 주어 법정에서 증거수단으로 사용할 수 있기 때문에 더욱 더 공인인증서를 사용하게 되었다.

하지만 이렇게 공인인증서를 활용하는 시스템이 많아지면서 사용자의 입장에서는 불편함이 커지기 시작하는데 대표적인 것이 Active-X를 활용한 클라이언트 툴킷을 사용자의 PC에 설치를 해야 한다는 것이다.

이 문제점은 사용자 PC를 윈도우를 사용하도록 강제하게 되었고, 그 중 브라우저는 IE만 사용해야 공인인증서를 사용할 수 있었다.

그렇지만 Active-X 툴킷을 설치할 때 사용자의 윈도우 버전 및 IE 버전에 따라 여러가지 설치 이슈를 불러왔고, 같은 공인인증기관의 클라이언트 툴킷이라도 이 툴킷을 배포하는 기업에 따라서 A기업과 거래하려면 기존의 설치된 툴킷을 삭제하고 새로 툴킷를 설치하고 다시 B기업에서는 또 기존 툴킷을 삭제후 재설치 하는 말도 안되는 일도 생겼다.

이런 사용상의 불편함은 고스란히 사용자에게 전가가 되었고 공인인증서 폐기에 대한 목소리가 시작되는 계기가 되었다가 결국 천송이 코트를 해외에서 구입 못하는 이야기가 나오면서 대대적으로 이슈가 되었다.

이런 문제점에 대해서 공인인증기관은 Active-X를 Java Applet으로 바꿔서 윈도우와 IE에서만 사용이 가능한 이슈를 피하려고 했다.

하지만 Java Applet도 여러가지 설치 및 동작 이슈가 있었고 Java 진영에서 공식적으로 Applet 지원을 중단한다는 말까지 나오게 되어 공인인증기관은 Active-X 대신에 EXE 설치본을 배포하는 방법으로 또 한번 선회하였다.

그런데 이 방법은 Active-X 보다도 더 큰 문제가 있는 것이 Active-X는 해당 사이트에 접속했을 때만 동작했지만 EXE 방식은 사용을 하지 않아도 프로세스가 계속 상주해 있어서 사용자의 PC에 부담을 주게 되었다.

우스게 소리로 특정 사이트에 접속해서 업무를 하고 났더니 프로세스에 못보던 것들이 엄청나게 생겨서 PC의 자원을 꾸준하게 잡아먹고 있다더라 라는 말이 나오게 되었다.

이야기 하다가 인증서 이야기에서 Active-X 이야기를 하게 되면서 삼천포로 빠졌는데 인증서가 사용자 PC 또는 USB 등의 기록매체에 저장되고 이를 읽는 방법이 Active-X, Applet, EXE 밖에 없어서 그런 것이였다고 공인인증기관을 대변해본다.

불행중 다행인 것은 최근에는 무설치로도 인증서를 사용할 수 있는 방법이 나오고 있다는데 인증서를 사용하는 모든 사이트가 이 방법으로 바뀌려면 최소 5년 이상은 걸릴 것이라고 생각한다.

어찌 되었던 이제 공인인증서가 없어지고 다양한 방법의 전자서명 방법이 활용될 수 있도록 전자서명법이 바뀐다고 하는데 간략하게 전자서명법을 살펴보자.


1. 사설인증서로 서명한 내용도 공인인증서로 서명한 것과 동일한 법적 효력을 갖는다.

2. 서명자의 서명이고, 전자문서가 전자서명된 이후 그 내용이 변경되지 않았다고 추정할 수 있으면 인증서를 사용한 서명 뿐 아니라 다양한 방법의 전자서명 수단이 활성화 되게 하겠다.

3. 공인인증기관이 아니라도 전자서명인증업무를 수행할 수 있도록 인증제도를 만들어서 인증을 받은 기업이라면 신원확인과 서명업무를 수행할 수 있도록 하겠다.

4. 이런 인증제도를 통해 인증을 받은 기업의 전자서명 서비스를 이용하는 사용자를 보호하겠다.


1번은 기존에는 사설인증서로 서명할 때는 기업의 약관에 의하여 서명자가 법의 보호를 받거나 받지 못했지만 이제는 약관에 상관없이 전자서명으로 인정받아 법의 보호를 받을 수 있게 된다.

하지만 법적인 이슈가 발생했을 때의 이야기라서 일반적인 사용자의 입장에서는 사설인증서도 공인인증서와 똑같이 무언가를 설치하도록 강요를 받고, 인증서를 사용자가 직접적으로 관리해야 하는 것은 동일하다.

2번은 전자서명이 인증서를 사용한 서명만 인정하는 것이 아니라 타블렛 PC나 모바일 기기를 활용하여 서명 이미지를 그리는 것도 전자서명의 수단이 될 수 있고 블록체인을 활용한 서명도 서명으로 인정 받는다는 말인데 현재도 있는 기술이지만 이제 전자서명으로 인정 받을 수 있게 된 것이다.

사실상 사용자의 입장에서는 이런 식으로 전자서명이라는 방법 자체가 바뀌지 않으면 인증서 방식의 전자서명에 비해서 변경된 부분을 느끼기 어려울 것이지만 이런 방법이 널리 활용되기 위해서는 몇 가지 넘어야 할 문제가 있다고 본다.

개인 전자서명이라면 단순히 모바일 기기를 활용한 본인인증 후 전자서명을 하면 되지만, 기업의 전자서명은 현재 전자서명하려고 하는 사용자가 해당 회사의 직원이 맞는지는 알 방법이 없다.

이 부분은 나라장터에서 약간의 힌트를 얻을 수 있는데 지문인식을 할 수 있는 기기를 활용하여 해당 기업의 직원이 맞다는 것을 사전에 등록해 놓고, 전자서명 시 이 정보를 활용하여 기업과 기업의 직원이 맞다는 것을 증명하는 방법이다.

하지만 이 방법은 특정 기기를 사용하거나 지문인식이라는 민감한 이슈를 불러오는데 다양한 전자서명 방법이 나오더라도 기업의 입장에서 이런 기술을 신뢰할 수 있고 이슈가 없을 것 이라는 것을 증명되기 전까지는 쉽게 전자서명 방법을 바꾸는 선택을 하지 않을 것이다.

3번은 전자서명 기술을 제공하는 기업이 공인인증기관 처럼 공신력(?)이 생길 수 있도록 인증제도를 만들어서 관리하겠다는 말인데 이 부분은 기업의 규모도 되고, 기술력도 있다고 판단되는 회사만이 전자서명 기술을 제공할 수 있게 한다는 말이다.

일반적으로 신원확인 기능을 제공하려면 가입자의 신원을 확인하는 업무도 해야 하는데 개인 또는 기업의 정보에 대한 관리 및 감독이 철저하지 않으면 정보유출로 인한 사고가 발생할 수 있다고 본다.

또한 공인인증기관이 제공하는 LDAP 서버 같은 환경을 구성해서 운영해야 하는데 공인인증기관 조차도 가끔 서버 장애로 인해 신원확인 기능을 사용할 수 없을 때가 있는데 소규모의 회사라면 이런 부분에서의 신뢰성이 부족할 수 밖에 없다.

이와 유사한 방식의 인증제도가 전자세금계산서에서 찾아볼 수 있는데 전자세금계산서 서비스를 운영하려면 최초 심사 후 몇 년 마다 재심사를 진행해서 통과해야만 사업을 계속 유지할 수 있다.

여담으로 예전에 공식적으로 전자세금계산서가 도입되기 전부터 도입 후까지 과정을 살펴봤을 때의 경험을 비추어 보면 초반에는 관련 시장의 파이를 키우겠다는 의지로 기술만 있으면 누구나 해당 사업을 할 수 있도록 열어 두었었다.

하지만 서비스를 제공하는 회사가 폐업하면서 서비스를 이용하던 기업들이 겪는 여러 문제점을 보완하기 위해 다시 정부에서 일정 규모의 회사만 해당 서비스를 제공할 수 있도록 문턱을 높였는데 이 결과 서비스를 제공하던 작은 회사들이 이 기준에 맞추지 못해서 없어지게 되는 결과도 불러오게 되었다.

그런데 규모가 있더라도 수익이 되지 않는다고 대기업도 전자세금계산서 시스템을 운영하다가 사업을 접는 것도 봤는데 이런것은 단순히 인증제도 만으로 사용자를 보호할 수 없는 것이라고 본다.(물론 인증제도가 없는 것보다는 났겠지만)

4번이 이런 문제점에 대해 법적으로 보호를 받을 있도록 준비를 하겠다는 것인데 B2B 시스템을 운영하는 기업 입장에서는 안정성이 우선이기 때문에 공인인증기관에서 제공하는 서비스를 계속 사용하게 될 확률을 클 것으로 본다.


정리해보면 전자서명법이 바뀌면서 앞으로 다양한 방법의 전자서명 기술이 등장하고 이 기술을 기업이 선택할 수 있는 길이 열렸다고 본다.

하지만 전자서명 인증제도에 대한 구체적인 내용이 공개되고 시행되기 전까지는 당분간 기업들은 인증서를 사용한 전자서명 방법을 유지하게 될 것이라고 본다.

또한 전자서명인증업무를 준비해서 인증을 받으려는 기업 입장에도 전자서명법에 신원확인과 전자서명에 대한 보증(Guarantee)방법이나 범위, 예외 등에 대한 법률적인 부분이 나와야 사업의 타당성을 판단하여 진행할 수 있을 것이다.

결국은 몇 번의 공청회를 진행하면서 전자서명법에 관련 내용이 추가되고 시행되기까지 1~2년 동안은 기업 IT기획 담당자는 눈치싸움을 하고, 사용자의 입장에서는 미워도 인증서를 써야 할 것 같다.