[기고]민간인증서 시대를 맞이하며

주민번호 아닌 연계정보 허용
공인-사설 인증서 벽 없어져
공공부문 통지·고지 업무 등
전자문서 활용 폭 널벙질 것

[예자선 카카오페이 변호사] 지난 10일 전자서명법 개정법률안이 시행됐다. 이번 개정은 공인인증서 폐지라고 알려져 있지만, 정확히 말하면 `특정 인증서의 공인화 및 이용 의무화`에 대한 규제가 풀린 것으로 볼 수 있다.

전자서명법은 전자문서 및 전자거래기본법(전자문서법)과 함께 1999년 7월에 제정됐다. ‘전자문서도 종이문서와 동일한 효력을 가진다’고 선언하면서, 그 전제로 ‘작성자가 본인이라는 점과 위변조가 없음’을 증명하기 위한 수단으로 전자서명이 필요하게 됐다.

가입자를 증명해주는 전자적 정보를 ‘인증서’라 하고, 인증서 정보로 전자문서를 암호화하면 전자서명이 된다. 통상적으로 사용되는 인증서는 공개키 기반구조(PKI) 방식이다. 인증서를 발급할 때 개인키와 대응하는 공개키를 생성한 뒤 개인키는 인증서를 발급한 단말기에 암호화해 저장하고, 인증서 내에는 공개키 정보를 담는다. 사용자가 비밀번호를 입력하면 개인키를 깨우는 패스프레이즈가 단말기로 전달돼 개인키로 전자문서가 암호화된다. 이용기관은 해당 전자서명 값을 인증서에 담긴 공개키로 복호화함으로써 서명자가 자신이 생각하는 이용자와의 일치 여부 및 서명 대상인 문서원문을 확인할 수 있다. 이러한 구조를 통해 서명과 검증 과정에서 발생할 수 있는 중간탈취 위험을 줄일 수 있는 것이다.

인증서는 신원확인 절차를 거쳐 특정인에게 발급된다. 그동안 공인인증서는 주민번호를, 사설인증서는 연계정보(CI)를 식별값으로 사용해왔다. 그러나 전자서명법 개정으로 공인인증서와 사설인증서의 경계가 허물어졌고, 신원확인을 위해 주민번호 또는 CI 중 어떤 방식이든 상관없이 동일한 효력을 가진 전자서명으로 규정하고 있다.

과거 온라인사업자들은 주민번호를 수집해 이용자의 동일성을 식별하고, 제휴 업무 시 서로의 고객을 인식하는데 활용했다. 그러나 주민번호를 직접 사용하면 도용사고 위험이 상존하기 때문에 2012년부터 민간영역에서는 주민번호 취급이 금지되고 CI로 대체됐다. CI는 주민번호와 1대 1로 매칭되는 난수값으로, 사업자는 가입자가 본인확인 절차를 거칠 때 본인확인기관으로부터 CI를 제공받아 식별 및 연계 목적으로 활용할 수 있었다. 하지만 그간 CI 기반으로 발급된 사설인증서는 실지명의(주민등록표상의 명의)를 확인할 수 없다는 이유로 공공영역과 금융, 의료 영역 등에서는 사용되지 못했다.

공인전자서명 제도의 폐지는 종이문서 업무가 전자화되고 공공영역에서도 통지·고지 등의 업무를 민간과 연계해 효율화하는 과정에서 다양한 서비스가 사용될 수 있는 계기를 만들었다는 데 의미가 있다. 이번에 개정된 전자서명법 부칙에 따르면 다른 법률에서 `공인전자서명`을 사용하도록 한 부분을 ‘전자서명(서명자의 실지명의를 확인할 수 있는 것으로 한정한다)’으로 일괄 변경하면서 공인 여부에 따라 형식적 차별이 발생하는 부분이 해소됐다.

전자서명법 주무부처인 과학기술정보통신부도 “전자서명인증사업자가 실지명의 기반으로 신원확인을 하지 않아도 금융회사, 전자정부 등이 직접 실지명의 확인이 가능한 경우에는 실지명의 확인이 가능한 전자서명으로 인정될 수 있다”고 하면서 전자서명인증사업자와 이용기관 간에 CI를 매개로 본인이 확인되는 경우를 실지명의 확인이 가능한 방식으로 인정하고 있다.

주민번호를 취급할 수 있는 경우에도 가능하면 대체수단을 사용하는 것이 권장되므로 금융기관 계좌 개설 같이 실명확인 절차를 따로 규정하고 있는 경우가 아니라면 과기정통부의 취지처럼 CI를 매개로 다양한 분야에서 본인식별과 전자서명의 목적을 달성할 수 있을 것이다. 앞으로 이어질 각 분야의 인증제도 정비 및 운영이 이러한 취지에 맞게 통일적으로 검토된다면 개정 법률이 추구하는 서비스의 발전, 효율, 이용자 편의성이라는 목적이 더욱 빛을 볼 수 있을 것이다.

이후섭 (dlgntjq@edaily.co.kr)