[이슈분석]전자서명법 하위법령에 중소 인증업체 "서비스 불가"

전자서명법 시행령과 시행규칙 개정안에 대해 인증업계가 비판을 쏟아내고 있다. 법 개정 취지와 달리 중소 인증업체는 서비스가 불가능한 구조라는 지적이다. 인증 분야 자격 인정에 느닷없이 변호사와 회계사가 포함된 사실도 문제로 제기된다.

과학기술정보통신부는 다양한 전자서명 기술과 서비스가 경쟁하는 여건을 만들겠다는 취지로 전자서명법 전부개정안을 마련했다. 차별 없는 경쟁, 국가 주도에서 민간 주도로 시장 개편 등이 목적으로 지난달 28일 시행령과 시행규칙을 공개했다.

인증업계는 시행령과 시행규칙이 법 개정 취지에 어긋난다고 지적한다. 이대로 법이 시행되면 중소업체가 인증 시장에 진출하기 어렵고 다양한 전자서명 서비스 경쟁도 불가능하다. 업계에선 정부가 공인인증서 폐지 성과를 오는 12월 입증하기 위해 인증 정책과 사업을 졸속으로 추진한다고 주장한다.

◇유효기간 1년…기준은 '웹트러스트 인증'?

전자서명법 시행령 개정안 제5조는 전자서명 인증사업자에 대한 운영기준 준수사실 인정 유효기간을 1년으로 규정했다. 과기정통부가 입법예고와 함께 공개한 '조문별 개정 이유서'에 따르면 유효기간 1년은 웹트러스트 인증 등 국제적으로 인정되는 기준을 고려했다.

업계에선 웹트러스트 인증과 전자서명은 무관한데도 정부가 이를 근거로 법 조항을 마련했다고 비판한다.

인증 분야에서 20여년간 근무해 온 박성기 투플렌 대표는 “유효기간 1년 근거가 된 웹트러스트 인증은 전자서명 발급·운영과 무관한 웹 브라우저와 시스템 안정성에 대한 것”이라면서 “정부가 이유서에서 언급한 '국제적으로 인정되는 기준'은 전자서명 분야에 존재하지 않는다”고 지적했다.

인증업계에선 과거 공인인증서 폐지를 주제로 진행된 대통령 직속 4차산업혁명위원회 해커톤에 웹트러스트 업체가 참여한 것이 법 개정안까지 반영된 것으로 본다.

유효기간 1년은 전자서명 산업 활성화 측면에서도 걸림돌이다. 박 대표는 “하위법령대로 1년마다 인증을 받아야 한다면 인증 심사기간과 준비기간까지 약 4개월을 심사에만 매달려야 하는 상황”이라면서 “매년 심사비용을 지출해야 하기 때문에 자금 부담도 있다”고 우려했다. 공인인증기관은 3년마다 유효기간을 인정받았다.

◇'불가피한 경우' 명시에 업계 우려↑

전자서명법 시행령 개정안에는 상위법과 충돌하는 조항도 포함됐다.

전자서명법 시행령 제12조는 운영기준 준수사실 인정을 받은 전자서명인증사업자가 서명자 신원 식별 시 불가피한 경우 '연계정보'를 정보주체 동의를 받아 처리할 수 있다고 명시했다.

연계정보는 본인확인기관이 정보통신서비스 제공자 온·오프라인 서비스 연계를 위해 주민등록번호와 연계해 생성한 정보다. 소위 'CI(Connecting Information)'라고 부르는 정보로 주민등록번호와 연계해 생성하며 별도의 해시값으로 저장되는 고유값이다.

한호현 한국전자서명포럼 의장은 “전자서명법 제2조는 전자서명을 '서명자 신원을 나타내는 데 이용하기 위해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보'라고 정의했다”면서 “전자서명 자체가 서명자 신원을 나타내도록 돼 있어 식별할 필요가 없는데 굳이 '불가피한 경우'를 언급한 이유를 알 수 없다”고 말했다.

일각에서는 '불가피한 경우'가 언급된 배경으로 네이버와 카카오, 이동통신사 등 대기업이 CI를 유통할 수 있는 기반을 만든 것이라고 본다. '불가피한 경우'를 언급함으로써 대기업이 시장 진입하기 유리해지고 인증사업자 간 공정한 경쟁도 어려워진다는 설명이다.

한 업계 관계자는 “시행령 12조로 대기업이 CI를 유통하기 위한 토대가 생겼다”면서 “네이버, 카카오를 비롯한 소수 대형 사업자가 사업하기 유리한 환경이 될 것”이라고 전망했다.

◇변호사·회계사, 개인정보보호 경력 인정 논란도

개정안에서 변호사와 회계사는 개인정보보호 유관 경력 6년을 보유한 것으로 인정한 규정도 논란이 인다. 인증 전문가 사이에선 시행령이 공개될 때까지 논의조차 되지 않았던 규정이다.

시행령 개정안은 전자서명 인증사업자 평가기관 전문인력 요건으로 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호, 개인정보보호 또는 정보기술 경력을 합해 6년 이상을 보유해야 한다고 규정했다. 이 가운데 변호사법에 따른 변호사와 회계사법에 따른 회계사의 경우에는 6년 개인정보보호 유관경력을 보유한 것으로 본다는 규정이 포함됐다.

업계 관계자는 “정보통신기술사 자격증 보유자는 평가기관 전문인력으로 아무런 경력도 인정하지 않으면서 전자서명 인증 업무와 관계없는 변호사와 회계사는 개인정보보호 유관 경력자로 인정했다”고 말했다.

◇공정 경쟁 어려운 대기업 몰아주기

소수 대기업 중심 인증 시장으로 재편될 것으로 우려되면서 중소 인증업체가 도태될 것이라는 목소리도 커진다.

사설인증 시장 초기 정착을 위해 정부가 무료 인증서 발급을 압박하는 것도 중소업체에는 부담이다. 업계 관계자는 “행정안전부에서 정부 포털에 적용하는 인증 시범사업 기간 인증서를 무료로 발급해달라고 요청하다가 최근에는 본사업까지 무료로 제공하라고 했다”면서 “전자서명법 개정 시행일에 맞춰 가시적 성과를 내야 한다고 말했다”고 전했다.

또 다른 업계 관계자는 “행정안전부에서 이용자 100만명 이상을 보유한 인증서를 도입할 것이라고 밝혔다”면서 “명칭에만 '공인'자가 떨어진 것이지 민원24, 국세청에 도입되는 대형 사설인증서에 민간 시장이 따라갈 수밖에 없을 것”이라고 말했다.

한호현 한국전자서명포럼 의장은 “당초 전자서명법 개정 목표는 다양한 전자서명 수단을 시장에 나오게 하고 국가 주도에서 민간 주도로 전환하는 게 대전제였다”면서 “시행령과 시행규칙 안을 보면 본인확인기관을 획득해야만 정상적 인증 서비스가 가능한 상황이고 본인확인기관이 아니면 공공이나 민간에 적용할 만한 안정성과 신뢰성이 없다”고 말했다.

한 의장은 “개정안에서 요구하는 사항을 다 만족하려면 중소기업은 아무리 좋은 기술이 있어도 인증 시장에 진출하면 망하는 구조”라면서 “결과적으로 중소기업 인증 서비스를 불가능하게 만든 것으로 운영기술 준수가 가능한 대기업 중심으로 가고 있다”고 비판했다.

이번 시행령과 시행규칙에 관한 공청회는 오는 11일 오후 온라인으로 열릴 예정이다. 입법예고는 다음달 8일까지다.

오다인기자 ohdain@etnews.com