[기고]전자서명, 신뢰 확보 위한 기반 마련해야

[기고]전자서명, 신뢰 확보 위한 기반 마련해야

전자서명법 개정 이슈로 전자서명 및 인증 시장은 춘추전국시대를 방불케 한다. 그동안 공인인증서 중심으로 형성된 시장도 새로운 변화를 맞았다.

최근 들어와 각광받고 있는 블록체인 기반 인증 서비스를 비롯해 PC와 모바일을 넘나들며 편리하게 사용할 수 있는 새 인증 기술이 하루가 멀다 하고 나오고 있다. 금융기관을 비롯한 많은 서비스 업체가 사설 인증 시스템을 구축, 자체 인증서 발급을 추진하고 있다.

또 기술로는 오랫동안 안전성이 입증돼 다양한 인증 방식에 사용되고 있는 공개키기반(PKI) 방식 이외에 터치패드에 수기로 서명하는 행위, 단순 도장 이미지를 첨부하는 등 전자서명 기법이 등장하고 있다.

다양한 전자서명 기술이 출현한다는 것은 소비자 선택권을 넓히고 시장이 활성화되는 측면에서 긍정 작용을 한다. 그러나 서명이라는 행위 본질을 고려할 때 신중한 접근 방식이 필요하다.

서명은 고유한 본인 필체로 자신 이름을 제3자가 알아볼 수 있도록 쓰는 행위를 의미한다. 서명한 문서를 기록 또는 확인했다는 증거로 사용된다. 이러한 특성 때문에 서명자는 본인이 서명한 사실을 부인할 수 없다. 그러나 서명 행위를 전자 방식으로 할 때는 변수가 있다.

서명 행위는 보통 대면한 상태에서 이뤄지지만 전자서명은 대부분 비대면으로 행해진다. 이에 따라서 서명 위·변조가 이뤄질 가능성이 있다. 서명이 포함된 전자문서는 수신자가 전자서명만으로 서명자가 생성한 문서임을 추정할 수 있어야 한다. 전자서명 및 전자문서 위·변조 여부도 확인할 수 있어야 한다.

현행 전자서명법 제2조 3에서는 이러한 특성을 '공인 전자서명'이라는 이름으로 잘 정리해 놓았다. 전자서명이 서명자 신원을 추정할 수 있는 특성 때문에 본인 확인 수단으로도 활용할 수 있다는 게 장점이다.

그러나 이는 어디까지나 전자서명 수단을 발급한 기관이 가입자 신원을 사전에 정확히 확인했다는 절차상 가정이 있어야 한다. 그래서 본인 확인과 전자서명을 분리해 볼 필요가 있다는 주장을 하기도 한다. 예를 들면 은행에서 신분증 확인을 하는 것이 본인 확인이고, 거래 서류에 서명하는 것을 전자서명으로 볼 수 있다는 것이다. 그러나 앞에서 기술한 것처럼 전자서명 자체가 서명자 본인 서명임을 증명할 수 있어야 하기 때문에 본인 확인과 완전히 분리해서 생각하는 것은 어렵다.

즉 전자서명 자체가 '서명자가 서명했다'라는 것을 증명할 수 없다면 실효성이 없다. 이에 전자서명 및 인증 체계는 기술과 더불어 절차상의 신뢰성이 매우 중요하다. 서명을 발급하는 과정부터 생성되고 검증하는 모든 과정을 공개하고, 절차대로 업무가 이뤄지고 있음을 제3기관에서 감사 받는 것으로 신뢰성을 확보해야 한다.

또 비대면으로 전자서명이 이뤄지는 만큼 명의 도용 등 사고가 발생했다면 이를 인증한 기관은 소비자에게 반드시 피해 보상 책임을 다해야 한다. 현재 개정이 추진되고 있는 전자서명법도 이러한 서명으로 의미가 있을 수 있는지 충분한 논의가 필요하다. 시장에서 상식이 통하고 신뢰할 수 있는 전자서명 서비스를 제공하기 위해 인증기관이 더 강력한 책임 의식으로 임해서 이러한 원칙을 잘 지켜야 한다.

김덕엽 이니텍 보안사업본부장 deokyoub.kim@initech.com