"인증기관 중립성, 신뢰성이 담보되지 않는다. 구글, 네이버같은 서비스 제공자가 인증기관으로 나설 수 있다. 이들이 분쟁 이해당사자가 되면 이용자 보호 문제가 우려된다." (한국무역정보통신 이재훈 부장)
"공인인증기관의 신뢰성은 지금까지 법이 줬던 것이다. 일정한 신뢰성 담보 수준은 존재해야 한다. 다만 그걸 법으로 규정하는 건 국가공인제도를 유지하겠다는 방향이다." (상명대학교 최민식 교수)
"공인인증서 폐지론을 촉발한 액티브X 때문에 '천송이 코트를 못 산다'는 얘긴 틀린 정보였다. 잘못된 근거를 바탕으로 만든 법이 제대로 돼 있겠는가." (인증전문가포럼 박성기 대표)
"일반인들은 관련 소송에서 자기가 하지 않은 전자문서 작성, 서명을 했다고 취급되는 게 공인인증제도 때문이라고 생각하지만 그렇지 않다. 제도가 아니라 인증서를 재발급하는 과정 문제로 생기는 일이다." (법무법인 대화 신주영 변호사)
"전자서명법 개정안 여러 문구에 앞뒤 안 맞는 내용이 있다. 의도하지 않은 다른 내용이 기술되는 부분이 보인다. 개정안을 보완하거나 확실한 대안을 낼 필요가 있다. 특히 국민 보호 문제에 집중해야 한다." (경희대학교 한호현 교수)
정부가 '공인인증서 폐지' 정책의 실행 수단으로 밀고 있는 과학기술정보통신부 전자서명법 전부개정안을 놓고 한 토론에서 비판이 쏟아졌다. 정책 방향을 지정 공인인증기관 대신 여러 민간사업자 경쟁구조로 바꾸는 쪽으로 잡은 만큼 법개정은 불가피하지만, 당장 시행되면 인증서를 활용하는 국민 편의와 이용자 보호에 문제가 생길 거란 인식이 담겼다. 법 개정에 직접 계기가 된 사건엔 대중의 오해가 짙게 깔려 있고, 올해 3월 발표된 법 개정안은 문구조차 매끄럽지 않다는 지적에 놓였다.
이는 지난 21일 오전 서울 여의도 금융투자교육원에서 진행된 '전자서명법 개정에 따른 전문가 심포지엄' 현장에서 1시간 반 가량 진행된 패널토론의 주요 발언 내용이다. 토론 패널로 한국무역정보통신 이재훈 부장, 상명대학교 지적재산권학과 최민식 교수, 인증전문가포럼 박성기 대표, 법무법인 대화 신주영 변호사, 4명이 참석했다. 경희대학교 컴퓨터공학과 한호현 교수가 좌장을 맡았다. 패널 중 이 부장, 최 교수, 박 대표, 3명은 지난 5월 14일 과기정통부가 진행한 전자서명법 전부개정안 공청회에도 참석했던 인물들이다.
패널들은 현장 토론에서 개정안이 온갖 문제와 쟁점을 정리하지 못한 미흡한 결과물이라 평가했다. 보완이 필요한만큼, 입법예고된 정부의 개정안뿐아니라 국회의원을 통해 발의된 다른 개정안이 함께 검토되거나 후속 개정이 필요하다는 주장도 내놨다. 그에 따르면 정부의 전자서명법 개정안이 원안대로 시행되지 않는 한 공인인증서 폐지는 아직 확정되지 않은 일이다.
주무부처인 과기정통부와 공공부문 공인인증서 활용을 맡고 있는 행정안전부 소속 관계자들은 참석하지 않았다. 공인인증서 폐지 정책은 대통령 공약 이행 일환으로 진행되고 있다. 정부 부처는 1개월 전 법 개정 공청회를 열고 의견을 수렴했다고 판단 중이다. 이번 토론 참가자들이 이후 입법 과정에 내놓은 의견이 얼마나 반영될 수 있을지는 미지수다.
이날 토론은 한국FIDO산업포럼 주최, 인증전문가포럼, 보안GRC리더스포럼, 한국IT서비스학회 후원으로 진행됐다. 토론 패널 4명과 좌장의 주요 발언을 정리했다. 편의상 발언자 직함은 생략했다.
■ 인증 신뢰성, 법안 작성 배경, 면책규정 지적
이재훈: "(개정안은) 인증기관 중립성과 신뢰성 담보하지 않는다. 인증기관은 '믿을 수 있는 제3자(TTP)'로 불린다. 인증기관에 요구되는 중요한 역할 중 하나가 거래당사자로부터 독립적 위치에서 거래를 관찰하고 분쟁을 조정하는 중간자. 기존 전자서명법은 인증기관 신뢰성, 독립성 조항 포함한다. 개정안은 독립성 언급이 빠졌다. 구글, 네이버, 어디든 서비스제공 당사자가 인증기관으로 나설 수 있다. 분쟁시 이용자 권익이나 문제개선 방향보단 이해당사자 입장으로 서비스 제공하지 않겠나. 이용자, 소비자 보호 문제 발생 우려한다."
최민식: "타당한 질문이다. 제3자로 신뢰성 담보하는 게 중요하다. 문제는 공인제도다. 그간 신뢰할만해서 신뢰성을 줬을까. 반론도 있겠지만 지금까지 그 신뢰성은 법이 줬다. 법이 요구한 일정 요건과 프로세스 수행했을 때 준 것. 거꾸로 말하면 법 기준에서 신뢰성(이 묶였던 기준) 열어주면 무수히 많은 전자서명인증사업자가 할 수 있다. 말씀대로 일정 신뢰성 담보 수준은 존재해야 하는데 그건 운영기준, 시행령, 시행규칙으로 충분히 가능하다. 다만 그걸 법으로 만드는 건 국가공인제도 유지하겠다는 방향 같다."
박성기: "그간 '한국만의 갈라파고스 제도'다, '액티브X 주 원인'이다, '그 때문에 천송이 코트를 못 산다', 이런 주장으로 공인인증서 폐지론 목소리 높아졌고 여기까지 왔다. 모두 잘못된 정보다. 이게 전자서명법 개정안 근본이 됐다. 잘못된 기준으로 만든 법이 제대로 돼 있을지 생각해 봐야한다. 공인인증서 제도는 2001~2002년부터 각국에 있었다. '천송이 코트' 사태는 외국인이 휴대전화를 본인확인 수단으로 쓸 수 없고 안심결제나 신용카드ISP 적용이 안돼 외국인 전용 별도 가입, 결제 절차를 필요로 하는 게 배경이다."
신주영: "실제 공인인증서 관련 소송을 맡고 있다. 의뢰인 중에 피해를 본 일반인이 있다. 개정법은 의뢰인같은 사람들을 보호해야 한다. 인증업무를 맡은 사업자는 이용자에게 손해를 줬을 때 배상해야 한다. 14조 '손해배상책임' 부분을 보고 놀랐다. 전자서명인증업자가 무과실을 입증했을 때 배상책임 면제를 받는다. 인증서를 발급, 재발급하는 인증사업자나 이걸 써서 거래하는 전자거래사업자들 모두 제도상 수익자다. 이용자 피해시 무과실책임(과실여부와 상관없이 책임을 부과함)으로 가야 한다. 기존법에도 문제였던 면책규정이 개정법에도 있는 건 잘못됐다."
■ 개정안 일부 조항 문제제기-해명
한호현: "개정안 13조(전자서명의 보호) 내용, 전자서명과 무관하다. 법조문 제목과 들어간 내용이 맞지 않는다.
(안 13조 인용 "①누구든지 타인의 전자서명생성정보를 도용 또는 누설하여서는 아니된다. ②누구든지 제5조의 증명서를 발급받은 전자서명인증사업자로부터 타인의 명의로 인증서를 부정하게 발급받거나 발급받을 수 있도록 하여서는 아니된다. ③누구든지 부정하게 행사하도록 할 목적으로 제5조의 증명서를 발급받은 전자서명인증사업자가 발행한 인증서를 다른 사람에게 양도 또는 대여하거나 다른 사람으로부터 양도 또는 대여받아서는 아니된다.")
최민식: "같은 지적이 있었다. 내용은 '전자서명생성정보'를 얘기하고있는데, 조문 제목은 전자서명이란 표현을 쓰고 있다. 조문 작업 할 때부터 논란 있었다. 전자서명생성정보를 앞의 2조3호에 먼저 다뤘다. 본문에 그 용어 나와 있는데 기능이 뭐냐, 전자서명생성정보를 뭘로 할거냐는 논의 있었다. 지적한 13조 제목은 전자서명생성정보 보호가 아니라 '이용자 보호' 이렇게 해야할 것이다"
박성기: "자세히 보니 과거 개정안에 있던 내용. 전자서명인증사업자라는 표현이 나오는데, 전자서명인증사업자 대신 공인인증기관 집어넣으면, 지금의 전자서명법과 같다. 공인인증기관이란 말만 대체했다. 이 법은 결국 새로운 공인인증기관을 만드는 거다. 인증기관 규제 등 그대로 다 들어갔다. 새로운 인증체계가 아니라 좀 심하게 말하면 눈가리고 아웅하는 셈이다. 이런 법조항이 그대로 남아 있는 이유다."
신주영: "13조 조항에도 놀랐다. '누구든지'라는 말에 이용자도 포함되는지. 이용자는 공인인증서 없이도 살 수 있다. 오프라인으로만 거래하는 분 많다. 그런데 자기가 실수로 생성정보 도용, 누설하면 법 위반해 뭔가 벌받을 수도 있는 건지. 법이 일반 국민 수준을 너무 높게 보고 만들어진 건지. 일반 국민이 불필요한 분쟁에 휘말리게 하는 결과가 올 수도 있다. 박 대표 말처럼 과거 개정안에 있던 걸 공인만 바꾼 거라면 이 부분도 없어져야 한다고 생각한다."
최민식: "개정안 관여한 사람으로서 그 조항 만들어진 이력 말씀드린다. 건설사업자들이 인증서 돌려쓰고 했던 담합 때문이다. 나중에 전자서명인증사업자가 발급한 서명, 인증서를 정부 조달쪽에서 많이 쓸거라 예상해 들어갔다. 부정발급 의도가 있는 사업자에게 장애물을 둔 조항이다. 실제 발생했던 우려사항을 대비한 성격이다. '누구든지'로 규정해 마치 일반 이용자에게 법적 책임 무는 듯 보이지만, 일반인에 잠재적 범죄 의도 인식한 것은 아니다."
한호현: "개정안 18조(다양한 전자서명의 이용 활성화) 내용, 규제조항으로 갈 여지가 있다. 불가피하게 전자서명 수단을 제한할 경우 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 및 감사원규칙으로 정한다고 했다. 규칙과 대통령령으로 할 수 있도록. 규칙으로 가능하다면 자본력있는 사업자가 특정부처에 로비를 해 부처가 특별 수단으로 쓰겠다고 받아줄 우려가 있다. 대통령령으로 된다면 민간에서 특정 기술을 '특별 수단으로 만든 거니까 강력하고 확실하다'고 인정돼 다른 것과 차별될 수 있다."
최민식: "공인전자서명과 공인인증서를 조항에 인용한 법률이 각종 법령, 시행령, 시행규칙말고도 별표 고시 등 곳곳에 숨어 있다. 이걸 피하고자 했다. 전자서명수단을 각 부처별 필요로 요구한다면 최소한 시행령단까지는 허용하겠다는 의도다. 정부 특성상 시행령은 국무회의를 거친다. 타부처 의견을 듣고 규율하도록. 국회와 대법원은 삼권분립 원칙에 따라 각자 정하도록 하는 게 우리 법체계상 타당한 논리구조다. 모든 부처가 이유 없이 다 쓰도록 하는 걸 막는 조항이다."
■ 마무리발언
한호현: "시간이 경과해 이 정도로 마무리하겠다. 쟁점 정리해 (국회서 논의될 때까지) 다시 토의할 수 있게 준비하겠다. 전자서명법 개정 반대하는 분은 없다. 개정해야 할 상황이다. 다만 기존 전자서명에 갖는 오해를 해소해야 한다. 여기 전문가분들이 보완책이나 확실한 대안 내주셔야 한다. 특히 국민 보호문제에 집중해 봐야지 않겠나 생각한다. 심포지엄 다음 주제를 소비자보호 부분에 초점 맞추겠다."
박성기: "전자서명법 개정안이 국회에 올라간 민주당 권용진 의원실 일부개정안, 과기정통부 전부개정안 등 두 개다. 정부안 대비 의원개정안 차이는 등록인증기관 개념이다. 다양한 인증수단이 들어가도록 다 풀어 놓고 인증기관이 모든 책임을 지게 했다. 두 가지 법안 병합하든 함께 검토하든 해서 (개정안이) 새로 만들어지는 게 좋을 것 같다."
관련기사
- "전자서명법개정안 문제 있다"2018.06.22
- 정부, 16년만에 공인인증기관 추가 지정2018.06.22
- 한국FIDO산업포럼, 21일 개정 전자서명법 전문가 토론회2018.06.22
- 전자서명법 개정안 공청회 찬반 뚜렷...일각 "재검토해야"2018.06.22
이재훈: "언론은 이미 공인인증서 폐지됐다, 끝났다는 쪽으로 논의 흘러간 것처럼 얘기한다. 아직 정부안은 국무회의 거쳐 국회로 가야 하고, 의원발의된 법안 3건이 따로 있다. 곧 하나 추가돼 4건이 된다. 상임위에서 5개 법안으로 논의 시작될 거다. 국민적 합의 통해 결론 내기 전까진 공인인증기관도 대안을 여러가지로 만들고 있다. 관심갖고 지켜봐 달라."
신주영: "(공인인증제 폐지 논의 보면) 과거 사법시험 폐지하고 로스쿨로 갈거냐 논의했던것과 비슷해 보인다. 로스쿨이든 사법시험이든 장단점 있지만 가장 중요한 건 서비스 이용하는 국민들이다. 어떤 체제든 운영 공정성과 국민들에 과연 제대로 서비스하는 훌륭한 법조인 어떻게 양성할지에 초점을 둬야한다. 인증제도도 마찬가지. 전자서명법 어떻게 개정되든 이용자가 편해야 하고, 부당하게 (해킹 피해 배상 못받는 등) 억울한 일이 생겨선 안 된다."
