금융권, 전자서명법 보완책으로 'eIDAS' 검토

게티이미지뱅크
게티이미지뱅크

금융권의 전자서명법 개정안 보완책으로 '전자본인확인·인증·서명(eIDAS)' 모델이 유력 방안으로 떠올랐다. 인증서 등급을 부여하고 서비스 제공 범위를 차등화하는 방식이다. 공인인증서 폐지에 따른 업계 우려를 해소하겠다는 목표다.

10일 금융권에 따르면 금융위원회는 전자서명법 개정안 시행규칙·시행령 공개에 발맞춰 보완대책 수립에 착수했다. 이 가운데 제도적인 대안으로 유렵연합(EU)이 채택한 eIDAS가 중론으로 떠올랐다.

복수의 금융권 관계자는 “EU가 도입한 eIDAS가 제도 대안으로 업계의 폭넓은 공감대를 형성했다. 우리나라가 제도적으로 도입할 현실성을 갖췄다”면서 “금융위가 내놓을 제도 보완책에 포함될 가능성이 높다”고 설명했다.

EU는 eIDAS를 2016년부터 시행했다. EU 회원국 간 시민 이동이 잦고 온라인을 통한 금융거래가 활발해졌다. EU 내 각국에서 공공, 금융서비스를 이용할 수 있도록 제도를 고안했다. eIDAS는 신뢰성과 보증 수준에 따라 기본전자서명, 고급전자서명(AES), 적격전자서명(QES) 3단계 등급을 부여하는 것이 골자다.

최고 등급인 QES의 경우 국내 공인인증서보다도 발급요건이 까다롭다. 전자서명을 별도의 보안 디바이스에 보관해야 하고 신원확인 방식도 신분증을 지참한 대면 확인으로 제한했다. 대신 공공, 금융서비스를 제한 없이 이용할 수 있다.

AES는 신원확인 절차, 전자서명 보관 기준을 완화해 등급이 한 단계 낮다. 기본전자서명은 가장 낮은 단계다. 중요 서비스 이용이 제한된다. 무결성, 신뢰성을 담보할 수 없어서다. 사실상 전자서명 기능을 할 수 있는 등급은 QES와 AES로 국한된다.

금융권에서는 전자서명 등급제를 적용하면 은행 등이 요구하는 수준의 보안성을 갖출 수 있을 것으로 기대한다. 기존 공인인증서 보안성은 QES와 AES 중간 수준에서 AES 수준으로 평가된다. 전자금융거래법, 금융실명제를 수정하면 eIDAS 내 QES에 속하는 대안을 마련할 수 있을 것이라는 분석이다.

제도가 현실화되면 인증서 등급에 따라 이용자가 금융서비스에서 이용할 수 있는 서비스 범위, 송금액 상한 등이 차등화될 것으로 예상된다.

한호현 한국전자서명포럼 의장은 “유럽은 물론 북미에서도 3단계에 걸친 전자서명 등급제가 시행되고 있다. 해외국가 도입사례가 있는 만큼 금융권이 선택할 수 있는 제도 대안”이라면서 “QES 수준에 해당하는 전자서명제도는 없지만, 이 같은 체제를 구축하는 데 큰 어려움은 없을 것”이라고 설명했다.

금융위에서도 보완책 마련을 예고했다.

금융위 관계자는 “전자서명법 개정에 대한 금융권 우려를 인지하고 있다”면서 “편의성과 안전성을 확보할 수 있는 방향으로 금융권 차원의 보완대책을 마련할 것”이라고 말했다.

이영호기자 youngtiger@etnews.com