웹트러스트 인증, 전자서명 인증기관과 상관 없어
경험 풍부한 전문가들로 새로 인력 구성해야 과학기술정보통신부(이하 과기정통부)에서 내놓은 전자서명법 시행령 시행규칙안에 대해 업계 전문가들이 강하게 반대하고 있다.
과기정통부는 개정된 전자서명법에서 과기정통부가 선정한 평가기관의 심사를 통과하고, 운영기준 준수사실을 인정받은 사업자를 이전의 공인인증기관을 대체하는 전자서명인증사업자로 인정하도록 하고 있다.
이에 대해 전자서명법 개정 시행령(안) 5조에서 '인정받은 전자서명인증사업자의 유효기간을 1년'으로 정하고 1년마다 평가기관으로부터 재평가를 받아 인정서를 새로 발급받도록 하고 있다.
여기에서 전자서명인증사업자의 인정 유효기간을 1년으로 지정한 것에 대해 예비 전자서명인증사업자들은 강하게 반발하고 있다.
이처럼 사업자들이 강하게 반발하는 이유는 1년마다 재평가를 받는 과정에서 막대한 비용이 투입되며, 회사의 인력들이 최소 3~4개월은 평가 준비와 평가에 투입되어야 한다는 것이며, 1년마다 재평가를 받아야 하는 이유가 서비스의 안전성과 신뢰성 문제와는 별개라는 것이다.
또한, 예비 전자서명인증사업자 숫자가 10여 개가 되고 있는 상황에서 평가기관의 심사능력이 사업자들의 심사 요청 기간을 모두 1년 안에 충족하지 못한다면, 사업 도중에 전자서명인증 서비스가 중단될 수도 있는 상황이 발생할 수도 있다. 따라서 현실을 제대로 파악하지 못한 시행령이라는 비난이 쏟아지고 있다.
개정전 전자서명법에 의한 공인인증기관은 3년마다 재지정을 받은 것과 비교하면 1년이라는 인정 유효기간은 분명 짧은 기간이다.
전자서명 인증기관과 상관이 없는 웹트러스트 인증 기준
그렇다면 과기정통부는 왜 이렇게 짧은 기간을 인정 유효기간으로 정했을까?
과기정통부는 전자서명인증사업자 평가 기준에서 '국제통용평가'라고 하여 국제 평가기관을 통해 평가를 받은 사업자를 과기정통부가 선정한 국내 평가기관으로부터 평가를 받은 것과 동일하게 취급해 인정서를 발급하도록 하고 있다.
이 과정에서 과기정통부가 인정서 유효기간을 1년으로 정한 이유에 대해 "해외 단체에서 실시하는 인증제도인 '웹트러스트(Webtrust)인증'의 유효기간이 1년이므로 인정서 유효기간을 1년으로 정한다"고 시행령 개정이유서에서 밝히고 있다.
웹트러스트인증이란 캐나다공인회계사협회(CPA Canada)에서 만든 인증제도로서 국내에서 '서버인증서'라 불리는 'SSL인증서' 발급 기관(CA)들에 대해 시스템운영의 안전성과 웹브라우저의 호환성을 평가하고 인증해주는 제도이다.
다시 말하면 웹트러스트인증이란 인터넷 웹페이지의 안전성과 신뢰성을 보장해 주는 SSL인증서가 모든 웹브라우즈에 호환이 되고, 해당 SSL 인증서 발급기관(CA)이 안전하다는 것을 평가하고 인증해주는 것이다.
따라서 공인인증기관과 같이 개인이나 법인인증서 신청자의 신원을 확인하여 전자서명인증서를 발급하고, 발급된 인증서에 대해 검증하여 응답하는 구조의 서비스 프로세스와 개인정보보호체계를 평가해주는 곳이 아니다.
이러한 웹트러스트인증을 '전자서명법 시행령 개정이유서'에서는 마치 "전자서명 인증서를 이용하는 대다수 시스템(운영체제, 웹브라우저 등)에서 신뢰된 기관으로 등록" 하는 것으로 밝히고 있는데, 이것은 SSL 인증서를 전자서명인증서로 잘못 적은 것으로 판단된다.
이것을 보면 전혀 평가 대상이 다른 평가방식을 전자서명인증사업자 평가방식으로 잘못 알고서 시행령 입법의 기준으로 삼았다는 점에서 과기정통부의 입법 과정이 비전문적이며, 충분한 조사와 검토를 거치지 않았다는 것을 드러내고 있다.
'국제표준 ISO인증'이나 정보통신망법에 따른 '정보보호관리체계인증(ISMS)'의 경우 심사받은 인증의 유효기간이 3년이며, 3년마다 재인증을 받으면 된다.
그리고, 정보통신망법에 의해 지정받는 본인확인기관도 매년마다 재지정 평가를 받지 않는 상태이며, 공인인증기관의 재지정도 3년이었으나 아무런 문제 없이 잘 운영되고 있다.
그런데도 전자서명을 위한 인증기관과 상관이 없는 웹트러스트인증을 기준으로 삼고 전자서명인증사업자의 사업 자격인 인정서 유효기간을 1년으로 정한 것은 과기정통부의 무지와 실책으로밖에 볼 수 없다.
웹트러스트인증은 공인인증서와 무관한 평가제도
그렇다면 왜 공인인증기관과 유사한 전자서명인증사업자 인정 평가에 웹트러스트가 등장하였을까?
2012년경 국내에 웹트러스트인증을 가지고 공인인증기관들과 한국인터넷진흥원에 문제 삼았던 사회단체가 있었다. 이들은 국내 공인인증기관과 전자서명 기술이 국제 통용 표준기술 기준을 따르지 않는다면서 국제 통용 표준기술 기준으로 웹트러스트인증을 제시하였다.
그들은 각 언론에도 웹트러스트인증을 받지 않아 국내 공인인증서는 국제적으로 통용된 표준 기술을 따르지 않는다고 주장했다.
그러나 그들이 주장한 웹트러스트인증은 공인인증서와 무관한 평가제도이며, 해외의 공인인증기관들 중에서도 웹트러스트인증을 받은 공인인증기관은 극소수에 불과하다.
이유는 공인인증서 기술은 국제적 표준 PKI 기술인 RSA 표준에 따르고 있으며, 운영방식은 각 나라별로 다르기 때문에 웹사이트에 적용되는 SSL인증서 발급기관을 평가하고 인증하는 웹트러스트인증을 받을 필요가 없는 것이다.
상황이 이런데도 과기정통부는 이번 전자서명법 개정 시행령안 제5조에서 운영기준 준수사실 인정의 유효기간을 1년으로 정하고 "전자서명인증사업자의 운영기준 준수사실 인정의 유효기간은 웹트러스트(Webtrust) 인증 등 국제적으로 인정되는 기준을 고려하여 1년으로 정함"이라고 개정 이유서에 명시하고 있다.
한 나라의 법령을 만드는 정부 부처가 특정 시민단체가 주장한 잘못된 내용에 대해 제대로 된 사실 확인도 하지 않고, 해당 시민단체의 잘못된 주장을 그대로 법령을 만드는 기준으로 삼는다는 것은 국가와 국민에게 있어서 엄청나게 위협적인 일이다.
그렇기 때문에 시행령안을 입법예고한 상태인 과기정통부는 지금이라도 잘못된 입법을 진행했다는 것을 빨리 깨닫고 잘못 만들어진 시행령과 시행규칙안을 즉시 현실적이며, 공정하고, 보편적인 내용으로 수정하여야 한다.
이외에도 시행령과 시행규칙안에는 평가기관 인력의 경력 산정, 신청자 신원확인 방법, 전자서명검증 방식, 등 많은 문제점을 노출하고 있다. 이런 문제점들이 담긴 시행령과 시행규칙안이 만들어진 것은 분명 인증보안 분야에서도 전자서명과 인증분야 전문가들의 입법 참여와 검토가 제대로 이루어지지 않았기 때문일 것이다.
따라서 과기정통부는 만약 지금까지 입법 과정에 참여시켰던 인력들이 전자서명 분야에서 실무 경험이나 업무 경력도 없는 비전문가들이었다면, 하루빨리 경험이 풍부한 전문가들로 새로 인력을 구성하여 제대로 된 시행령과 시행규칙을 만들어야 한다.
법은 특정 집단의 목소리만을 담고 그들을 위해 존재하는 것이 아닌 국민을 위한 법이어야만 한다.
박성기 (주)투플렌 대표이사
[ⓒ KPI뉴스. 무단전재-재배포 금지]
