공인인증서 사용인구 1,000만명 시대를 눈앞에 두고 있는 시점에서 우리는 알게 모르게 다양한 PKI 응용 서비스를 경험하고 있다. 공인인증서를 기반으로 한 인터넷뱅킹은 더 이상 어렵고, 낯선 과정이 아닌 편리한 서비스 사용을 위한 필수적 안전절차로 인식되고 있고, 많은 분야에서도 유사모델이 등장하고 있다. PKI 응용에 대한 정의와 연혁을 다뤘던 지난 호에 이어 이번 호에서는 PKI 응용을 기반으로 한 새로운 PKI 응용 서비스를 소개하고, 응용확산을 위한 제도의 문제와 개선방안에 대해 논의해 보고자 한다.                     

지난 기고에서는 다양한 PKI 응용 프로토콜 및 표준에 대한 소개를 한 바 있다. 클라이언트와 서버간 안전한 채널 구성을 위해 SSL 또는 TLS(Transport Layer Security)이 사용되고 있으며, 이메일의 안전한 송·수신을 위해 S/MINE 표준이 적용되기도 한다. 이런 표준 보안 프로토콜을 지원하는 PKI 응용 솔루션의 사용은 새로운 PKI 응용 서비스 탄생의 디딤돌이 되고 있고, 또 단계적 제품사용의 확대를 통해 신규 PKI 응용 서비스가 등장하고 있다. 이번에 소개할 전자계약 서비스, 전자 세금계산서 서비스, 인터넷 증명서 발급 서비스 등은 이런 PKI 응용 서비스 분야에서 주목받는 분야라고 볼 수 있다.

 PKI 기반의 전자계약 서비스

전자계약 서비스는 비대면 상황에서도 마치 오프라인의 대면 상황처럼 법적 효력을 갖게 하는 PKI 기술을 통해 기존 오프라인 환경에서만 수행해야 했던 쌍방 계약행위를 온라인 형태로 옮겨온 서비스라고 정의해 볼 수 있다.

전자계약 서비스를 위한 시스템 구성은 계약 업무 플로우에 따라 몇 가지 구현방법으로 나뉠 수 있다. 그중 가장 크게 고려해야 할 사항으로 계약 시 필요한 여러 첨부문서들을 포함하는 기존 오프라인의 계약을 전자계약으로 옮기는 일이다. 이 경우 파일들에 대해 쌍방계약이 이뤄질 수 있도록 특수 소프트웨어가 필요하게 되며, 계약 시나리오별 구성에 따른 필수 컴포넌트의 구성집합이 전자계약 서비스를 구축하는 솔루션이 되고 있다.

건설부문에서의 전자계약 처리 플로우

그림1은 계약 시 첨부문서가 가장 많은 분야인 건설부문 오프라인 계약절차를 온라인 전자계약으로 전환했을 경우 나타나는 플로우다.

그림 1의 절차에서 알 수 있는 것처럼 계약행위를 하게 될 쌍방은 상호 공통적으로 이용할 수 있는 웹 사이트에서 본 계약서와 부가적으로 첨부되는 계약문서들을 확인하고 이를 인정한 경우, 자사의 인증서를 사용해 전자서명을 수행함으로써 쌍방 전자계약을 체결하게 된다.

         그림 1. 건설부문에서의 쌍방 전자계약 처리 플로우

 

전자계약 서비스 관련 법·제도

그렇다면 이런 전자계약은 기존 인감을 사용한 오프라인 대면방식의 계약처럼 법적 효력을 얻기 위해 어떤 법조항을 근거하고 있을까. 일단 전자계약의 법적 효력의 기본배경은 아래와 같은 전자서명법 제3조에 근간, 오프라인 환경에서의 서명자의 서명날인, 서명, 기명날인 등과 동등한 효력을 갖게 된다.

 

전자서명법 제3조(전자서명의 효력 등) ① 다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 공인전자서명이 있는 때에는 이를 충족한 것으로 본다. ② 공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정한다.  ③ 공인전자서명외의 전자서명은 당사자간의 약정에 따른 서명, 서명날인 또는 기명날인으로써의 효력을 갖는다.

전자계약은 오프라인 계약에서 발생하는 여러 가지 불편함을 해소시켜 주기 때문에 많은 기업들이 앞다퉈 해당 서비스를 도입하고 있는 상황이다.

특히, 기존 오프라인 계약행위를 관리하기 위해 필요했던 전담인력이 불필요해지거나 대폭 줄일 수 있어 인건비와 관리행위에 따른 비용을 줄여줄 수 있으며, 부가적으로 오프라인의 실물계약에서 발생하는 인지세를 전자계약에서는 지불하지 않아도 된다는 장점이 있다.

 PKI 기반의 전자 세금계산서 서비스

전자세금계산서 서비스는 국내 PKI 응용 서비스로서는 가장 대중화되고 보편화된 서비스라고 말할 수 있다. 특히 기존 세금 계산서가 오프라인 방식으로 발행되고 관리됨으로써 발생하는 비효율적인 업무 프로세스가 전자세금계산서 서비스에서는 파격적으로 개선된다는 점에서 주목받고 있다.

전자세금계산서 서비스 개념

전자 세금계산서 서비스를 위한 시스템 구성은 그림2와 같다. 인증기관은 사업자에게 인증서를 발행하고 물품 공급자는 전자서명을 기반으로 한 전자 세금계산서를 발행하게 된다. 이때 구매자는 전자메일로 해당 전자 세금계산서를 수신하거나 또는 서비스 웹 사이트에 로그인한 후 전자 세금계산서를 출력 사용할 수 있게 된다.

전자세금계산서 서비스 관련 법 제도

법적으로 전자세금계산서의 사용은 2001년 1월 개정된 국세청 고시를 통해 최초로 승인됐다. 기존 종이형태의 세금계산서를 등기우편이나 직접교부 방법의 형태로 전달하는 비효율적 메커니즘이 온라인 방식을 활용한 전자 세금계산서의 유통을 낳게 한 것이다.

 

국세청고시 제2001-1호 ① 부가가치세법시행령 제79조 제5항의 규정에 의하여, 사업자가 자기가 교부하거나 교부받은 세금계산서를 테이프 또는 디스켓으로 보관한 때에는 같은법 제31조 제3항의 규정에 의한 세금계산서 보관의무 중 교부하거나 교부받은 세금계산서에 대한 보관의무를 이행한 것으로 봅니다. ② 부가가치세법시행령 제53조 제4항 제2호에 의하여 전자세금계산서를 교부하고자하는 사업자는 전자서명법에의한 공인 인증기관의 인증 또는 이에 준하는 암호화 및 전자서명 기술을 사용한 인증시스템을 통하여 전송하여야 합니다. 이 경우 사업자는 세무공무원의 업무상 요청이 있는 경우 관련 공개키 등 원본파일을 해독할 수 있는 프로그램을 제공하여야 합니다. ③ 부가가치세법시행령 제53조 제4항 제2호에 의하여 사업자가 인터넷 등을 통해 전송하였거나 전송받은 세금계산서는 원본 파일을 하드디스크, 디스켓, 전산테이프 등 전자적 저장매체로 보관하여야 하며, 세무공무원이 그 직무 수행에 있어 정당하게 요구하는 경우 열람 및 출력이 가능하도록 보관하여야 합니다.

전자세금계산서 서비스의 개선사항

전자세금계산서 서비스는 많은 기업체들에게 업무 효율성 제고 및 비용절감을 가져다주고 있지만 그럼에도 불구하고 전자계약 서비스와는 달리, 어려움에 직면하고 있기도 하다.

일반적으로 동일 데이터나 자료를 온라인으로 유통시키기 위해서는 상호 호환성이라는 개념이 반드시 필요하다. 이런 측면을 고려하면 전자 세금계산서 역시 기업들이 서로 다른 전자세금계산서 서비스나 솔루션을 사용하더라도, 서비스나 솔루션 벤더에 관계없이 해당 전자세금계산서가 상호 유통될 수 있어야겠지만, 현재는 그렇지 못한 상황이다. 물론 전자세금계산서에 대한 데이터 표준은 이미 확립된 상태이지만, 기존 서비스 제공자나 솔루션 벤더들이 해당 표준을 적용해야 한다는 강제성이 없어 점진적인 적용만을 기대할 수밖에 없는 상황이다. 이런 사실을 감안해 보면 향후 PKI 응용 신규 서비스를 개시하는 경우에는 반드시 다양한 경우를 고려해 제도를 마련하는 것이 더 큰 혼란을 방지하는 것임을 알 수 있다.

PKI 기반의 인터넷 증명서발급 서비스

대부분의 전자계약 서비스나 전자세금계산서 서비스는 전자서명이라고 하는 기본적인 PKI 기능을 사용해 새로운 신규 비즈니스 모델을 창출한 것이라고 볼 수 있다. 하지만 일부 서비스의 경우는 그 반대의 변환이 요구되기도 하며, 또 이런 요구가 새로운 비즈니스 모델로 자리잡을 수도 있다. PKI 기반의 인터넷 증명서발급 서비스가 여기에 해당된다.

지금까지 일반 사용자들이 법적 효력을 갖는 증명서를 발급받기 위해서는 반드시 발급기관을 방문하거나 또는 우편으로 해당 증명서를 수령받는 방법만이 유일한 해결책이었다. 그런데 이런 구조에 온라인이 접목돼, 발급기관으로부터 수령기관까지 모든 체계가 온라인 시스템으로 구성된다면, 사용자는 손쉽게 인터넷으로 증명서를 발급받을 수 있을 것이고 동시에 손쉽게 발급된 증명 데이터를 수령기관으로 송신할 수 있을 것이다.

하지만 아쉽게도 현재까지 수령기관이 온라인 방식의 증명 데이터를 접수할 수 없는 상황이기 때문에 증명 데이터의 완전한 온라인화가 불가능한 상황이다. 그러나 모든 사용자가 온라인 증명 데이터 유통 시스템만 갖춘다면 PKI 기반의 전자서명 기술만으로 충분히 인터넷 증명서의 유통 서비스 체계를 만들어낼 수 있다. 그리고 그 핵심은 온라인상에서 법적 효력을 가질 수 있도록 증명 데이터에 전자서명을 수행하고 이를 사용자가 자신의 개인 컴퓨터에서 직접 출력할 수 있도록 해 주는 데 있다고 볼 수 있다. 이를 위해서는 고용량의 데이터(전자서명된 증명 데이터 및 인증서)를 출력물로 표현해야 하기 때문에 많은 정보를 출력물에 저장할 수 있는 특수 개발된 고밀도 2차원 바코드 개발이 선행되어야 하며, 이들 통해 그림3과 같은 서비스 흐름을 실현시킬 수 있다.

그림3은 인터넷 증명서 발급 서비스의 참여 구성원과 구성원간의 서비스 플로우를 도식화한 것이다.

 

               그림 2. 인터넷 증명서발급 서비스 개념

인터넷 증명서발급 서비스의 보안 구성요소

기본적인 증명서 발급 서비스의 운영 플로우와 이에 필요한 기술요소들은 개발되고 있지만 이보다 먼저 고려되어야 할 사항이 보안 구성요소이다. 일반적으로 온라인상에서 증명서를 발급할 경우 크게 두 가지 위험요소를 가질 수 있다.

증명서 위·변조

증명서 위·변조 문제는 증명서 발급 서비스에서 가장 치명적인 결함으로, 만약 이 문제가 발급 서비스 과정상에서 0.1%의 가능성만 있다 하더라도 해당 인터넷 증명서발급 서비스는 중단되어야 할 것이다. 예를 들어, 한 사용자가 보안기술이 적용되지 않은 주민등록초본을 온라인으로 내려받아 주민등록초본의 그래픽 이미지 데이터를 일반적인 그래픽 도구들을 사용해 정교하게 자신의 이름을 변경하고 자신의 주소를 변경할 수 있게 되는 문제가 발생할 수 있다. 더 큰 문제는 이렇게 변경된 데이터가 다시 프린터를 통해 출력될 경우, 수령기관에서는 해당 증명서 내용의 위·변조 사실을 감지할 수 없을 수 있다는 점이다. 이런 폐해를 막기 위해서는 인터넷 상에서 증명서 출력 시 발급기관의 인증, 증명 데이터의 부인방지 및 무결성을 동시에 보장하는 한편, 법과 제도의 보호를 받을 수 있도록 전자서명 기술이 사용되어야 한다.

                        그림 3. 인터넷 증명서발급 서비스 처리 플로우

증명서의 불법적 재사용

또 다른 문제로 증명서의 불법적인 재사용을 생각해 볼 수 있다. 일반적으로 발급 수수료를 지불한 이후 사용자는 증명서를 발급받게 되는데, 오프라인 환경에서의 직접 방문 출력 시에는 불법적인 재사용 방지를 위해 특수용지를 사용하거나 별도의 철인 등을 사용해 원본임을 표시한다. 하지만 다량의 복제가 손쉽게 이뤄지는 온라인상에서는 다른 대안이 필요하다고 볼 수 있다. 이를 해결하기 위해 도입되는 기술이 복사방지마크와 저작권보호기술(DRM)이다. 복사방지마크는 평상시에는 사람 눈에 잘 보이지 않는 형태로 특정 문자가 삽입돼 있지만 복사를 하게 될 경우 보이지 않는 문자가 나타나게 되는 원리로, 그 반대의 경우도 가능하다. 반면, 저작권 보호기술은 사용자가 시스템 상에서 해당 원본 증명 데이터를 추출해 이를 무단으로 재사용하는 것을 막기 위한 대응기술로 사용된다. 그림5는 현재 인터넷으로 발급 서비스가 제공되는 주민등록초본의 실물 모습과 이를 바탕으로 보안 구성요소를 설명한 것이다.

 

           그림 4. 인터넷으로 발급된 주민등록등초본 실물 및 보안구성요소

인터넷증명서발급 서비스 관련 법·제도

기본적으로 인터넷 증명서발급 서비스에 대한 법적효력은 전자서명법과 전자정부법에 근간하고 있다. 현재 인터넷 증명서발급 서비스가 도입·시행되기 위해 해당 증명서 발급과 관련된 추가시행령 또는 고시 등의 관련 법이 개정되거나 수정되고 있으며, 이런 움직임은 향후에도 지속될 것으로 보인다. 행정자치부의 전자정부 G4C인터넷민원발급 서비스를 하나의 사례로 살펴보면 다음과 같다. 먼저, 출력된 증명서의 법적 효력에 대해서는 전자정부법 제33조에 의해 명시돼 있다.

 

전자정부법 제33조 행정기관의 장은 민원의 처리결과를 관계법령에서 문서·서류 등의 종이문서로 통지·통보 등을 하도록 규정하고 있는 경우에도 본인이 원하거나 민원사항 등을 전자문서로 신청 등을 한 때에는 이를 전자공문서로 통지 등을 할 수 있음

이후 출력된 증명서 자체가 공문서 임을 증명하기 위해 행정자치부는 대민 민원증명서류에 대한 총괄내용을 다루고 있는 “민원사무처리에 관한 법률 시행령”의 개정을 시행하기도 했다. 개정된 내용은 온라인으로 민원증명서류를 출력하는 방법과 그 보안내용에 대한 정의가 추가돼 있다. 이처럼 증명서의 발급절차나 규격을 정의하고 있는 하위법령이나 규정이 있다면 이에 대한 부분수정이 불가피하게 된다. 다음은 수정된 “민원사무처리에 관한 법률 시행령”의 일부이다.

 

제33조의2(전자문서의 출력사용 등) ① 행정기관의 장이 다음 각 호의 조치를 취하여 제33조제2항의 규정에 따라 민원인에게 통지한 전자문서를 민원인이 출력한 경우에는 이를 사무관리규정 제3조제1호의 규정에 의한 공문서로 본다. 1. 출력매수의 제한조치 2. 위·변조방지조치 3. 출력한 문서의 진위확인조치 4. 그밖에 출력한 문서의 위·변조방지를 위하여 행정자치부장관이 고시한 조치 ② 행정기관의 장은 제1항의 규정에 의하여 출력한 문서를 공문서로 보는 전자문서의 종류를 정하여 미리 관보에 고시하고, 인터넷에 게시하여야 한다.

주민등록초본의 경우, 주민등록법이라는 독립법이 별도로 존재하기 때문에 주민등록등·초본을 인터넷으로 발급하기 위해해당 법의 부분적 수정도 이뤄지게 됐다.

이처럼 인터넷 증명서발급 서비스와 관련된 법제도는 전자서명법을 기본으로 하는 체계 아래에서 해당 증명서 서식 및 발급규정을 다루는 추가 하위법령이 있다면 이를 부분 개정함으로써 해당 서비스의 법적효력을 유지시킬 수 있게 된다.

지금까지 본고에서는 대표적인 PKI 응용 서비스를 검토하고, 관련 법제도 현황을 살펴봤다. 국내에서는 전자서명법이 제정된 이후 지난 6년동안 전자서명법과 PKI 기술을 이용한 다양한 비즈니스 모델이 탄생되고 정의되면서 크고 작은 분야에서 생활의 혁명이 이뤄지고 있다. 전자계약 서비스, 전자세금계산서 서비스, 인터넷 증명서발급 서비스 등 이 모든 것이 PKI라는 기술과 전자서명법이라는 법/제도를 통해서 탄생된 IT사회에서의 신사업 모델이다. 그러나 앞서 살펴본 법·제도에서 확인했듯, 법과 제도적 테두리가 탄력적으로 확대·개정되어야만 이들 PKI 응용 신규 서비스들은 비로소 활성화될 수 있다.

[글_최영철 (주)비씨큐어 기획실장/ 공학박사(ycchoi@bcqre.com)]

 

                <저작권자 보안뉴스(www.boannews.com). 무단전재-재배포금지>