전자상거래법 2조 첫번째 발표자료(공인인증기관의 인증행위)
전자상거래법 2조 첫번째 발표자료입니다.
<공인인증기관의 인증행위>
1. 인증(Certification)
2. 인증기관(Certification Authority)
1) 인증기관의 의의
2) 인증기관의 종류
(1) 상위 인증기관과 하위 인증기관
(2) 공인인증기관(Licensed CA)
3) 인증기관의 자격
(1) 인증기관에 요구되는 기본사항
(2) 전자서명법 및 시행령 규정
(3) 공인인증기관이 아닌 인증기관이 행한 인증업무의 효력
4) 인증관리 체계와 한국정보보호진흥원(KISA)
1) 인증기관의 의의
2) 인증기관의 종류
(1) 상위 인증기관과 하위 인증기관
(2) 공인인증기관(Licensed CA)
3) 인증기관의 자격
(1) 인증기관에 요구되는 기본사항
(2) 전자서명법 및 시행령 규정
(3) 공인인증기관이 아닌 인증기관이 행한 인증업무의 효력
4) 인증관리 체계와 한국정보보호진흥원(KISA)
3. 인증행위
1) 인증업무수행
(1) 가입자의 신원확인
(2) 인증서의 발행
(3) 인증사실 등의 공개
(4) 기타 부수적인 업무
2) 인증업무준칙(CPS : Certification Practice Statement)
(1) 인증업무준칙의 의의
(2) 인증업무준칙의 내용
(3) 인증업무준칙의 법적성질
3) 잘못된 인증업무수행에 대한 법적제재
1) 인증업무수행
(1) 가입자의 신원확인
(2) 인증서의 발행
(3) 인증사실 등의 공개
(4) 기타 부수적인 업무
2) 인증업무준칙(CPS : Certification Practice Statement)
(1) 인증업무준칙의 의의
(2) 인증업무준칙의 내용
(3) 인증업무준칙의 법적성질
3) 잘못된 인증업무수행에 대한 법적제재
4. 인증서(Certificate)
1) 인증서의 의의
2) 인증서의 종류
(1) 신원확인의 정도에 따른 분류
(2) 효용에 따른 분류
3) 인증서의 내용
4) 인증서의 발행
5) 인증서의 효력발생시기 및 유효기간
6) 인증서의 효력정지 및 취소
7) 외국인증기관이 발행한 인증서의 효력 문제
1) 인증서의 의의
2) 인증서의 종류
(1) 신원확인의 정도에 따른 분류
(2) 효용에 따른 분류
3) 인증서의 내용
4) 인증서의 발행
5) 인증서의 효력발생시기 및 유효기간
6) 인증서의 효력정지 및 취소
7) 외국인증기관이 발행한 인증서의 효력 문제
<공인인증기관의 인증행위>
인증기관의 인증을 부동산등기 실무에 비추어 살펴보면, 그 적용의 실제를 확인할 수 있다. 현행법상 부동산의 매매계약으로 인한 소유권이전 등기의 경우에 있어서 매매계약서 외에 인감증명서를 첨부하도록 규정하고 있다. 이는 등기를 신청하는 본인이 틀림없는지를 확인하고, 등기신청 의사가 있었음을 확인함으로써 허위등기를 막고자 하는 데에 있다. 허위등기가 있게 되는 경우에 실제로 피해를 입는 당사자는 등기신청에 있어서 등기의무자이다. 따라서 인감증명서의 제출도 등기의무자에게만 요구하는 것이다.
이런 경우를 컴퓨터 통신망의 이용에 비추어 살펴볼 때, 이용자가 자기 자신임을 증명하려면 각자 인감을 하나씩 가지고 있어야 하며, 사전에 어느 기관에 등록하여야 할 것이다. 여기서 인감을 등록 받는 곳을 통상 인증기관이라고 부른다. 즉, 이 인증기관은 인감증명서의 발급에 있어서 동사무소와 같은 역할을 하는 곳이다. 따라서 인증기관은 우선 먼저 인감을 등록하기 위하여 본인임을 확인하고, 이를 근거로 추후에 당사자의 요청에 따라 인감증명서를 발급한다. 동사무소는 인감을 발급함에 있어서 일정한 절차에 따라 상대를 확인하고, 발급하게 되는데, 인증기관의 경우에도 그 절차에 견주어 인증행위(인증서 발급)에 관한 요건을 정하고 있다.
이하에서 인증기관의 인증행위와 관련하여 인증, 인증기관, 인증행위(자치법규적 성질을 띠고 있는 인증업무준칙 포함), 인증서에 관하여 전자서명법상 관련규정 및 실무상 검토되어야 하는 내용을 중심으로 살펴보겠다.
1. 인증(Certification)
전자서명에 있어서 인증이란 “인증기관이 전자서명에 사용된 서명자의 전자서명생성정보가 일반에 공개된 그의 전자서명검증정보에 상응하는 것으로서 서명자로 표시된 자의 것임을 신원확인 등의 방법을 통하여 확인하고, 이러한 내용을 일반인 누구나 쉽게 알수 있도록 대외적으로 공개ㆍ공시하는 일련의 행위”를 말한다.
전자서명법 제2조 제6호에서 “인증”이라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다고 규정함으로써, 인증행위를 전자서명에 사용되는 전자서명생성정보의 귀속 여부의 확인에 중점을 두고 규율하는 태도를 취하고 있다.
결국 이러한 인증기관의 인증행위는 첫째로, 전자서명생성정보와 전자서명검증정보의 상응관계, 전자서명생성정보의 서명자에의 귀속관계를 객관적으로 확인하고 둘째로, 이러한 확인사항을 인증서 발급과 인증취소목록의 공시 등을 통하여 대외적으로 공개하는 것을 중요한 요소로 한다.
다만, 여기서 전자서명생성정보의 서명자에의 귀속 확인은 일반 사법상의 영역에서 흔히 신원보증이라고 일컬어지는 것과 같은 법률적 관계나 효력이 전제된 것이라고 볼 수는 없고, 관련 법령이나 인증업무준칙을 포함하여 인증기관과 서명자간에 체결된 인증업무 수행에 관한 계약에서 적절한 것으로 인식되어 채택된 방법과 절차에 따라 서명자의 신원을 확인한 후 서명자의 전자서명생성정보가 그의 것이라는 것을 증명하는 것으로 족하다고 보아야 한다. 이와 관련하여 우리나라의 인증기관인 증권전산전자인증센터의 인증업무준칙에서는 인증서에 기재된 내용은 발급신청 당시에 사실인 점만을 보장하며, 가입자와 이용자의 특정업무나 목적에 대한 보증, 가입자의 신용, 가입자의 신원정보 등 관련정보의 불변성 등을 보증하는 것이 아님을 명백히 하고 있다. 이러한 점이 국가 혹은 지방자치단체 등이 수행하여 온 국민들에 대한 신원사항에 대한 관리(행위)와 구별되며, 인증기관에 의하여 이루어지는 인증행위의 내적 한계로서 작용한다고 판단된다.
전자서명법 제2조 제6호에서 “인증”이라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다고 규정함으로써, 인증행위를 전자서명에 사용되는 전자서명생성정보의 귀속 여부의 확인에 중점을 두고 규율하는 태도를 취하고 있다.
결국 이러한 인증기관의 인증행위는 첫째로, 전자서명생성정보와 전자서명검증정보의 상응관계, 전자서명생성정보의 서명자에의 귀속관계를 객관적으로 확인하고 둘째로, 이러한 확인사항을 인증서 발급과 인증취소목록의 공시 등을 통하여 대외적으로 공개하는 것을 중요한 요소로 한다.
다만, 여기서 전자서명생성정보의 서명자에의 귀속 확인은 일반 사법상의 영역에서 흔히 신원보증이라고 일컬어지는 것과 같은 법률적 관계나 효력이 전제된 것이라고 볼 수는 없고, 관련 법령이나 인증업무준칙을 포함하여 인증기관과 서명자간에 체결된 인증업무 수행에 관한 계약에서 적절한 것으로 인식되어 채택된 방법과 절차에 따라 서명자의 신원을 확인한 후 서명자의 전자서명생성정보가 그의 것이라는 것을 증명하는 것으로 족하다고 보아야 한다. 이와 관련하여 우리나라의 인증기관인 증권전산전자인증센터의 인증업무준칙에서는 인증서에 기재된 내용은 발급신청 당시에 사실인 점만을 보장하며, 가입자와 이용자의 특정업무나 목적에 대한 보증, 가입자의 신용, 가입자의 신원정보 등 관련정보의 불변성 등을 보증하는 것이 아님을 명백히 하고 있다. 이러한 점이 국가 혹은 지방자치단체 등이 수행하여 온 국민들에 대한 신원사항에 대한 관리(행위)와 구별되며, 인증기관에 의하여 이루어지는 인증행위의 내적 한계로서 작용한다고 판단된다.
2. 인증기관(Certification Authority)
1) 인증기관의 의의
인증기관이란 “가입자 개인의 신원을 확인해주고, 전자서명을 생성하기 위해 필요한 전자서명검증정보와 전자서명생성정보의 조합이 그 가입자의 것임을 증명해주는 신뢰할 만한 제3자” 또는 “전자서명의 목적으로 사용된 암호화키와 관련된 인증서를 발행하는 개인 또는 법인”을 말한다.
인증기관은 기본적으로 전자서명 사용자의 신원을 확인하는 일과 이와 관련된 시점확인 등의 부수적 업무를 수행한다. 인증기관은 인증업무를 신뢰성 있게 수행하기 위하여 자신이 발급한 인증서를 이용하는 가입자와의 관계에 있어서 독립성을 유지하여야 한다. 이를 또한, 신뢰할 수 있는 제3자(TTP : trusted third party)라고 말한다. 불특정 다수인의 전자 서명키 인증을 효율적으로 수행하고, 전자 서명키의 인증의 공신력을 제고하여 전자문서 이용관련 분쟁을 최소화하기 위하여 인증기관이 필요하다.
우리나라 전자서명법에는 법률규정에 의하여 지정 받아 인증업무를 수행하는 인증기관을 공인인증기관으로 규정하였다. 또한, 전자거래기본법에서는 공인인증기관에 대하여 전자서명법상 규정에 따라 지정된 인증기관, 그렇지 아니한 인증기관의 두 가지를 모두 규정하고 있다.
한편, 인증기관으로서의 실질적인 업무를 수행하는 대표적인 기업으로는 미국의 VerySign사를 꼽을 수 있고, 우리나라의 경우도 최상위 인증기관으로서 한국정보보호진흥원이, 공인인증기관으로서 한국정보인증 주식회사, 한국증권전산 주식회사, 금융결제원, 한국전자인증 주식회사, 주식회사 한국무역정보통신, 코스콤(6개)이 활동하고 있다.
인증기관은 기본적으로 전자서명 사용자의 신원을 확인하는 일과 이와 관련된 시점확인 등의 부수적 업무를 수행한다. 인증기관은 인증업무를 신뢰성 있게 수행하기 위하여 자신이 발급한 인증서를 이용하는 가입자와의 관계에 있어서 독립성을 유지하여야 한다. 이를 또한, 신뢰할 수 있는 제3자(TTP : trusted third party)라고 말한다. 불특정 다수인의 전자 서명키 인증을 효율적으로 수행하고, 전자 서명키의 인증의 공신력을 제고하여 전자문서 이용관련 분쟁을 최소화하기 위하여 인증기관이 필요하다.
우리나라 전자서명법에는 법률규정에 의하여 지정 받아 인증업무를 수행하는 인증기관을 공인인증기관으로 규정하였다. 또한, 전자거래기본법에서는 공인인증기관에 대하여 전자서명법상 규정에 따라 지정된 인증기관, 그렇지 아니한 인증기관의 두 가지를 모두 규정하고 있다.
한편, 인증기관으로서의 실질적인 업무를 수행하는 대표적인 기업으로는 미국의 VerySign사를 꼽을 수 있고, 우리나라의 경우도 최상위 인증기관으로서 한국정보보호진흥원이, 공인인증기관으로서 한국정보인증 주식회사, 한국증권전산 주식회사, 금융결제원, 한국전자인증 주식회사, 주식회사 한국무역정보통신, 코스콤(6개)이 활동하고 있다.
2) 인증기관의 종류
(1) 상위 인증기관과 하위 인증기관
(1) 상위 인증기관과 하위 인증기관
상위 또는 하위 인증기관에 대한 구별은 인증기관 자신의 전자서명문제를 다루는데서 시작되었다. 즉, 인증기관과 그 인증기관 자신의 전자서명검증정보의 귀속에 대한 증명은 논리상 다른 인증기관이 맡아서 수행해야 할 것인데, 이 경우의 해결방안으로는 ① 인증기관 상호간에 동등한 지위에서 서로 그러한 증명을 행하는 방법과 ② 상위의 인증기관과 하위의 인증기관이라는 계층적 구별을 두어 상위 인증기관은 하위 인증기관에 대한 인증업무를 수행하고, 상위 인증기관에 대한 인증업무는 다시 최상위 인증기관이 수행하는 방법 등을 생각할 수 있다. 둘째 방법에 의하는 경우, 인증기관들은 인증업무의 대상에 따라 계층적 구조 아래 놓이게 되며 그 정점에 최상위 인증기관이 위치하게 된다.
또한, 전자서명법 제25조도 정보통신망이용촉진및정보보호에관한법률 제52조에 따라 설립된 한국정보보보진흥원을 최상위 인증기관으로 삼아 이로 하여금 ‘인증기관의 인증기관’으로서의 역할을 수행하도록 하고 있다.
또한, 전자서명법 제25조도 정보통신망이용촉진및정보보호에관한법률 제52조에 따라 설립된 한국정보보보진흥원을 최상위 인증기관으로 삼아 이로 하여금 ‘인증기관의 인증기관’으로서의 역할을 수행하도록 하고 있다.
(2) 공인인증기관
공인인증기관이라 함은 인증업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자로서 법규에 의하여 지정을 받아 인증서비스를 제공하는 자를 말한다. 공인인증기관으로 지정 받을 수 있는 자는 법인, 국가기관 또는 지방자치단체다. 국가기관 또는 지방자치단체를 공인인증기관으로 지정하는 경우에는 미리 관계기관의 장과 협의하여야 한다. 국가기관 또는 지방자치단체가 공인인증기관으로 지정받는 경우에는 전자서명법 시행령에 지정요건 가운데 재정능력을 적용하지 아니한다.
인증기관은 가입자의 신청에 따라 전자서명생성정보를 직접 생성하여 생성키를 가입자에게 건네주거나, 가입자에 의하여 만들어진 생성키에 대한 검증키만을 등록하여 인증업무를 수행할 수 있을 것이다. 전자의 경우에, 인증기관의 인증업무 수행 중 관리를 용이하게 할 수 있을 뿐만 아니라, 가입자의 키분실 등의 보안문제의 발생을 막을 수 있다는 장점이 있다. 다만, 인증기관은 가입자 개인의 전자서명생성정보의 보관 등에 대한 적절한 방법을 강구하여야 할 것이다. 후자의 개인이 전자서명생성정보를 생성하는 경우에는 가입자 개인이 자신의 생성키에 대한 보관에 철저한 주의를 기울여 제3자의 침입을 막을 수 있는 방법을 갖추어야 할 것이다. 이와 관련하여 전자서명법 제21조 제1항에서는 가입자는 자신의 전자서명생성정보를 안전하게 보관ㆍ관리하고, 이를 분실ㆍ훼손 또는 도난ㆍ유출되거나 훼손될 수 있는 위험을 인지한 때에는 그 사실을 공인인증기관에 통보하여야 한다. 이 경우 가입자는 지체 없이 이용자에게 공인인증기관에 통보한 내용을 고지하여야 한다고 규정하고 있다.
인증기관은 가입자의 신청에 따라 전자서명생성정보를 직접 생성하여 생성키를 가입자에게 건네주거나, 가입자에 의하여 만들어진 생성키에 대한 검증키만을 등록하여 인증업무를 수행할 수 있을 것이다. 전자의 경우에, 인증기관의 인증업무 수행 중 관리를 용이하게 할 수 있을 뿐만 아니라, 가입자의 키분실 등의 보안문제의 발생을 막을 수 있다는 장점이 있다. 다만, 인증기관은 가입자 개인의 전자서명생성정보의 보관 등에 대한 적절한 방법을 강구하여야 할 것이다. 후자의 개인이 전자서명생성정보를 생성하는 경우에는 가입자 개인이 자신의 생성키에 대한 보관에 철저한 주의를 기울여 제3자의 침입을 막을 수 있는 방법을 갖추어야 할 것이다. 이와 관련하여 전자서명법 제21조 제1항에서는 가입자는 자신의 전자서명생성정보를 안전하게 보관ㆍ관리하고, 이를 분실ㆍ훼손 또는 도난ㆍ유출되거나 훼손될 수 있는 위험을 인지한 때에는 그 사실을 공인인증기관에 통보하여야 한다. 이 경우 가입자는 지체 없이 이용자에게 공인인증기관에 통보한 내용을 고지하여야 한다고 규정하고 있다.
3) 인증기관의 자격
(1) 인증기관에 요구되는 기본사항
우선 인증기관이 갖추어야 할 기본적인 사항에 대하여 살펴보면, 인증기관은 첫째, 인증업무로부터 발생할지도 모를 각종 손해를 전보하여 줄 수 있는 재정적 능력이 있어야 하고 둘째, 인증업무의 대상이 된 거래와 재정적 또는 기타의 이해관계가 없어야 하며 셋째, 전자서명검증정보 암호화기법 등 관련 기술분야에 있어 전문성을 보유하고 있어야 하고 넷째, 각종 보안문제 특히 시스템 보안문제에 있어서 정통하여야 하며 다섯째, 그 업무의 성질상 반영구적인 존속이 가능하여야 한다.
(2) 전자서명법 및 시행령 규정
전자서명법 제4조 제2항, 제3항은 공인인증기관으로 지정을 받고자 하는 자는 국가기관, 지방자치단체 또는 법인에 한하며, 대통령령이 정하는 기술능력ㆍ재정능력, 시설 및 장비 기타 필요한 사항을 갖추어야 한다고 규정하고, 이에 따라 제정된 전자서명법 시행령 제2조는 기술능력으로 일정한 자격 요건이 있는 인증관리체계 운영인력 12인 이상, 재정능력으로 자본금 80억 원 이상, 시설 및 장비로는 가입자의 신원확인 및 관리를 위한 설비, 전자서명키 관리체계를 유지하기 위한 설비, 인증서를 안전하고 신뢰성 있게 관리하기 위한 설비, 전자서명 및 시점확인을 위한 설비, 인증관리체계를 안전하게 운영하기 위한 보호설비 등을 갖출 것을 규정하고 있다.
(3) 공인인증기관이 아닌 인증기관이 행한 인증업무의 효력
전자서명법은 공인인증기관에 의하여 발행된 공인인증서에 의한 공인전자서명에 대해서만 중요한 법률적 효력을 인정하고 있는 태도를 취하고 있다. 전자거래의 안전성을 확보하고 공인전자서명제도의 신뢰성을 제고한다는 의미에서 공인인증기관 지정제도와 같이 공인인증기관의 자격에 대해 일정한 제한을 두는 것은 원칙적으로 합리적인 것이나, 공인인증기관으로 지정 받지 못한 비공인인증기관(사설인증기관)에 의하여 발급된 인증서에 기한 전자서명이라고 하더라도 그 인증업무의 수행과정 등을 면밀히 판단하여 그것이 신뢰할 수 있는 것이라면 공인인증기관에 의한 전자서명과 동일한 법적 효력을 부여할 수 있는 방안이 명시적으로 마련되어야 할 필요성도 있을 것이다. 다만, 이 때 비공인인증기관(사설인증기관)의 인증업무에 대한 법원의 신뢰성 판단이 이루어지기 전의 법적 불안은 그 이용자들이 부담할 수밖에 없을 것으로 생각되며, 결국 그에 대한 궁극적인 판단은 법원의 몫으로 돌아갈 수밖에 없어 보인다.
4) 인증관리체계와 한국정보보호진흥원(KISA)
인증기관이 법규에 정한 여러 기준을 충족하여 개별적으로 인증업무를 수행하는데 안전성ㆍ신뢰성을 확보한다 할지라도, 실제 인증업무를 수행함에 있어서 신뢰성과 안전성을 확고하게 이끌어내기 위하여 일정한 위계체계를 마련할 필요가 있다. 공인인증기관은 단독으로 인증업무를 수행하지만, 이들 개별 공인인증기관은 상위의 인증기관의 관리체계에 구성되어 있다. 상위의 인증기관이 자신들의 인증업무에 대하여 인증하게 된다. 이렇게 될 때 공인인증기관의 가입자측면에서 공인인증기관뿐만 아니라, 인증업무에 대하여 전반적인 신뢰성과 안전성을 확보하고, 공익적 측면에서 국가의 인증체계를 이끌어낼 수 있다.
공인인증기관은 인증업무를 개시하기 전에 한국정보보호진흥원으로부터 전자서명검증키를 인증 받아야 한다. 공인인증기관은 인정받은 전자서명검증키에 합치하는 전자서명생성정보를 이용하여 인증업무를 수행하여야 한다.
공인인증기관은 자신이 이용하는 전자서명생성정보를 안전하게 보관ㆍ관리하여야 하며, 당해 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출되거나 훼손될 수 있는 위험을 인지한 때에는 지체 없이 그 사실을 보호진흥원에 통보하고 인증업무의 안전성과 신뢰성을 확보할 수 있는 대책을 마련하여야 한다.(전자서명법 제21조 제4항)
공인인증기관이 위의 내용을 통보하지 아니하는 경우에는 전자서명법 제34조 제1항 제7호 규정에 따라 500만원 이하의 과태료 처분을 받게 된다.
인증관리체계 구성시스템은 크게 키 생성 시스템, 등록관리 시스템, 인증서 생성 시스템, 시점확인 시스템, 웹 서비스 시스템, 디렉토리 서비스 시스템과 같이 주요 분야별 시스템으로 구성된다. 시점확인 시스템, 웹 서비스 시스템, 디렉토리 서비스 시스템은 외부 정보통신망에 연결되어 공인인증기관이나 일반 사용자들에게 온라인 서비스를 제공하며, 나머지 시스템들은 안전ㆍ신뢰성 향상을 위해 오프라인 방식으로 구성된다.
공인인증기관은 인증업무를 개시하기 전에 한국정보보호진흥원으로부터 전자서명검증키를 인증 받아야 한다. 공인인증기관은 인정받은 전자서명검증키에 합치하는 전자서명생성정보를 이용하여 인증업무를 수행하여야 한다.
공인인증기관은 자신이 이용하는 전자서명생성정보를 안전하게 보관ㆍ관리하여야 하며, 당해 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출되거나 훼손될 수 있는 위험을 인지한 때에는 지체 없이 그 사실을 보호진흥원에 통보하고 인증업무의 안전성과 신뢰성을 확보할 수 있는 대책을 마련하여야 한다.(전자서명법 제21조 제4항)
공인인증기관이 위의 내용을 통보하지 아니하는 경우에는 전자서명법 제34조 제1항 제7호 규정에 따라 500만원 이하의 과태료 처분을 받게 된다.
인증관리체계 구성시스템은 크게 키 생성 시스템, 등록관리 시스템, 인증서 생성 시스템, 시점확인 시스템, 웹 서비스 시스템, 디렉토리 서비스 시스템과 같이 주요 분야별 시스템으로 구성된다. 시점확인 시스템, 웹 서비스 시스템, 디렉토리 서비스 시스템은 외부 정보통신망에 연결되어 공인인증기관이나 일반 사용자들에게 온라인 서비스를 제공하며, 나머지 시스템들은 안전ㆍ신뢰성 향상을 위해 오프라인 방식으로 구성된다.
3. 인증행위
1) 인증업무수행
인증기관의 인증업무수행 내용은 원칙적으로 인증기관과 가입자간의 계약내용에 따라 정해진다. 이 계약내용은 일반적으로 인증기관이 가입자와 인증행위에 관한 계약 체결시 제시하게 될 인증업무준칙에서 구체적으로 명시된다. 따라서 세부적인 내용은 여기에서 명시할 수는 없지만, 법률에서 정한 내용을 중심으로 살펴 볼 수 있다. 전자서명법에 정한 것은 공인인증기관에 요구한 내용으로 인증업무를 수행하려는 인증기관에게 표준적인 내용으로 검토될 수 있는 내용이다. 인증업무준칙은 계약당사자간에 잘못된 인증행위로 인하여 발생한 손해와 그에 대한 책임부담 여부의 논의와 관련되어 있다. 따라서 이에 관하여 사법상의 불법행위 및 이에 따르는 손해배상의 관련문제 등에 대하여 사전에 면밀히 검토되어야 할 것이다. 왜냐하면, 인증업무준칙을 가입자가 인식할 수 있도록 명확하게 규정하지 아니할 경우에는 복잡한 법률문제로 빠져들게 될 수 있기 때문이다. 현재 미국의 VerySign사의 인증업무준칙은 아주 상세할 뿐만 아니라, 여러 측면에서의 법적 검토 후 제시한 것으로 이 분야에 관하여 우리에게 많은 점을 시사하고 있다.
가입자ㆍ인증기관을 중심으로 인증이 이루어지는 과정을 단계적으로 나누어 살펴보면 다음과 같다.
① 가입자는 자신의 전자서명 검증키와 전자서명 생성키를 만든 후,
② 인증기관은 가입자의 신원확인 절차를 행하고,
③ 검증키에 대한 생성키를 가지고 있음을 알리며,
④ 인증기관이 검증키와 이를 보유한 가입자의 신원을 확인하여 인증서를 발행한다.
⑤ 인증기관은 인증관리체계에 따라 인증서를 관련 있는 사람에게 접근할 수 있는 상태로 유지한다.
가입자ㆍ인증기관을 중심으로 인증이 이루어지는 과정을 단계적으로 나누어 살펴보면 다음과 같다.
① 가입자는 자신의 전자서명 검증키와 전자서명 생성키를 만든 후,
② 인증기관은 가입자의 신원확인 절차를 행하고,
③ 검증키에 대한 생성키를 가지고 있음을 알리며,
④ 인증기관이 검증키와 이를 보유한 가입자의 신원을 확인하여 인증서를 발행한다.
⑤ 인증기관은 인증관리체계에 따라 인증서를 관련 있는 사람에게 접근할 수 있는 상태로 유지한다.
(1) 가입자의 신원확인
가입자의 신원확인이란 일정 명의로서 전자서명을 행할 자가 진정으로 존재하는 자이고, 그 사용 명의가 그 자에게 귀속되는지를 확인하는 것을 말한다. 이러한 가입자의 신원확인은 인증기관의 업무 중 가장 중요하고도 핵심적인 것이다.
다만, 인증기관이 가입자의 신원을 확인한다는 것은 그 사람의 신원 사항의 진위를 ‘보증’하는 것은 아니라는 점에 유의하여야 한다. 따라서 인증기관이 어느 정도까지 가입자의 신원을 확인하여야 하는가의 문제는 후에 살펴볼 인증업무준칙 또는 가입자와의 계약내용 등에 따라 달라질 수 있는 것이다. 이와 같은 이유로 만일 가입자(갑)가 인증기관의 신원확인에도 불구하고, 타인(을)의 명의를 모용하여 인증기관으로부터 인증서를 발급 받았다고 하더라도, 인증기관은 인증업무준칙 또는 가입자와의 계약에 따른 확인방법과 절차에 의하여 성실하게 신원확인 업무를 수행하였다면, 갑이 을의 명의를 모용한데서 비롯된 채무불이행책임이나 손해배상책임을 지지 않는 것이 원칙이다.
다만, 인증기관이 가입자의 신원을 확인한다는 것은 그 사람의 신원 사항의 진위를 ‘보증’하는 것은 아니라는 점에 유의하여야 한다. 따라서 인증기관이 어느 정도까지 가입자의 신원을 확인하여야 하는가의 문제는 후에 살펴볼 인증업무준칙 또는 가입자와의 계약내용 등에 따라 달라질 수 있는 것이다. 이와 같은 이유로 만일 가입자(갑)가 인증기관의 신원확인에도 불구하고, 타인(을)의 명의를 모용하여 인증기관으로부터 인증서를 발급 받았다고 하더라도, 인증기관은 인증업무준칙 또는 가입자와의 계약에 따른 확인방법과 절차에 의하여 성실하게 신원확인 업무를 수행하였다면, 갑이 을의 명의를 모용한데서 비롯된 채무불이행책임이나 손해배상책임을 지지 않는 것이 원칙이다.
(2) 인증서의 발행
인증기관은 가입자의 확인을 마친 후에 가입자에 대하여 인증서를 발행하여야 한다. 인증서에 대한 상세한 설명은 이하에서 항목을 바꾸어 따로 살펴보기로 한다.
(3) 인증사실 등의 공개
인증기관은 자신이 가입자에게 발행한 인증서(인증사실)를 일반에 적절하고도 알기 쉬운 방법으로 공개하여야 하고, 자신이 작성한 인증업무준칙도 같은 방법으로 이를 일반에 공개하여야 한다. 이외에도 가입자 혹은 인증기관 자신의 인증서의 효력이 정지되었거나 인증서가 취소되는 등의 사유가 발생하였을 경우에는 그와 같은 사유를 공시하여야 한다.
이러한 인증기관의 공개 또는 공시는 신문 등 인쇄매체에 의한 실물적인 방법에 의하거나, 전자게시판에 게재하는 것과 같이 전자적인 방법에 의하거나 상관이 없다. 그러나, 그 공개 또는 공시의 방법에 관하여는 인증업무준칙상에 규정해 두는 것이 보통일 것이고, 대부분 인증보관소라고 불리는 서버장치에 저장되어 공개 또는 공시될 것으로 보인다.
한편, 전자서명법 제19조에 의하면, 공인인증기관은 자신이 발급한 공인인증서가 유효한지의 여부를 누구든지 정보통신망을 통하여 항상 확인할 수 있도록 하는 설비 등 인증업무에 관한 시설 및 장비를 안전하게 운영하여야 한다고 규정하고 있는 바, 우리나라의 경우에는 전자적인 방법에 의한 공개와 인증관리체계의 직접 운영을 명시하고 있음을 알 수 있다.
이러한 인증기관의 공개 또는 공시는 신문 등 인쇄매체에 의한 실물적인 방법에 의하거나, 전자게시판에 게재하는 것과 같이 전자적인 방법에 의하거나 상관이 없다. 그러나, 그 공개 또는 공시의 방법에 관하여는 인증업무준칙상에 규정해 두는 것이 보통일 것이고, 대부분 인증보관소라고 불리는 서버장치에 저장되어 공개 또는 공시될 것으로 보인다.
한편, 전자서명법 제19조에 의하면, 공인인증기관은 자신이 발급한 공인인증서가 유효한지의 여부를 누구든지 정보통신망을 통하여 항상 확인할 수 있도록 하는 설비 등 인증업무에 관한 시설 및 장비를 안전하게 운영하여야 한다고 규정하고 있는 바, 우리나라의 경우에는 전자적인 방법에 의한 공개와 인증관리체계의 직접 운영을 명시하고 있음을 알 수 있다.
(4) 기타 부수적인 업무
인증기관은 이와 같은 주된 업무 이외에도 부수적으로
① 앞서 본 인증보관소와 같은 기록보관 및 제공 업무,
② 개인의 통신상의 성명(아이디), 온라인 주소 등의 정보를 제공하는 디렉토리 서비스,
③ 전자서명에 사용되는 키조합을 생성해주는 업무,
④ 키 보관 업무,
⑤ 일시증명인 부여 업무 등이 있다.
⑤와 관련하여 전자서명법 제20조에서는 공인인증기관은 가입자 또는 공인인증서를 이용하는 자의 신청이 있는 경우에는 전자문서가 당해 공인인증기관에 제시된 시점을 공인전자서명하여 확인할 수 있다고 규정하고 있다.
다만, 전자서명법 제21조 제3항은 공인인증기관은 가입자의 신청이 있는 경우 외에는 가입자의 전자서명생성정보를 보관하여서는 아니 되며, 가입자의 신청에 의하여 그의 전자서명생성정보를 보관하는 경우 당해 가입자의 동의 없이 이를 이용하거나 유출하여서는 아니된다고 규정함으로써, 위④와 같은 키 보관 업무에 일정한 제한을 두고 있다.
① 앞서 본 인증보관소와 같은 기록보관 및 제공 업무,
② 개인의 통신상의 성명(아이디), 온라인 주소 등의 정보를 제공하는 디렉토리 서비스,
③ 전자서명에 사용되는 키조합을 생성해주는 업무,
④ 키 보관 업무,
⑤ 일시증명인 부여 업무 등이 있다.
⑤와 관련하여 전자서명법 제20조에서는 공인인증기관은 가입자 또는 공인인증서를 이용하는 자의 신청이 있는 경우에는 전자문서가 당해 공인인증기관에 제시된 시점을 공인전자서명하여 확인할 수 있다고 규정하고 있다.
다만, 전자서명법 제21조 제3항은 공인인증기관은 가입자의 신청이 있는 경우 외에는 가입자의 전자서명생성정보를 보관하여서는 아니 되며, 가입자의 신청에 의하여 그의 전자서명생성정보를 보관하는 경우 당해 가입자의 동의 없이 이를 이용하거나 유출하여서는 아니된다고 규정함으로써, 위④와 같은 키 보관 업무에 일정한 제한을 두고 있다.
2)인증업무준칙(CPS)
(1) 인증업무준칙의 의의
인증업무준칙이란 인증기관이 인증행위를 통하여 인증서를 발급하는데 실무상 적용되는 세부내용 즉, 인증기관이 인증서의 발행, 관리, 효력정지 및 취소 등의 인증업무를 수행하는데 필요한 각종 사항과 절차에 관하여 규정한 것이다. 이는 인정기관에 의하여 제시되는 것으로 인증업무의 기술적 내용 및 인증서 발급에 관한 내용을 담고 있으므로 인증기관의 인증서비스 제공에 있어서 매우 중요한 역할을 한다. 전자서명법 제6조에서, 공인인증기관은 인증업무를 개시하기 전에 ① 인증업무의 종류, ② 인증업무의 수행방법 및 절차, ③ 공인인증역무의 이용조건, ④ 기타 인증업무의 수행에 관하여 필요한 사항이 포함된 인증업무준칙을 작성하여 주무장관인 정보통신부 장관에게 신고하도록 규정하고 있다. 또한, 정보통신부 장관은 인증업무의 안전성과 신뢰성 확보 및 가입자의 이익보호를 위하여 신고한 인증업무준칙의 내용이 정보통신부 장관이 정하여 고시하는 공인인증업무준칙 작성표준과 전자서명법 제8조 제1항의 규정에 따른 전자서명인증업무지침에 위반되는 경우 상당한 기간을 정하여 당해 공인인증기관에게 인증업무준칙의 변경을 명할 수 있다.
이러한 인증업무준칙은 인증방침을 근간으로 하여 인증기관과 가입자의 기술적 이용관계의 세부적인 내용을 정한 것으로 인증서의 발급을 위한 실무절차에 관한 세부규정이다. 이는 인증서를 신뢰하여 거래하는 거래의 상대방에 대하여도 일정내용이 관련되어 있으므로 인증기관과 가입자에 한정된 것이 아니라, 제3자에게도 직접적인 영향을 미친다. 이러한 점에서 인증업무준칙은 인증서비스 제공에 대한 전반적인 사항을 규정하고 있고, 적용범위도 일반인에게 미친다는 점에서 공적 규정으로서의 성격도 가지고 있다. 물론 규범적으로 살펴보면, 거래와 관련 있는 당사자에게 적용되는 것이지만, 향후 전자서명의 이용이 활성화될 때 사적 계약내용으로서의 성질에서 벗어나 국가의 일정한 통제가 뒤따르게 될 것이다.
인증업무준칙에서 인증방침, 가입자 인증절차, 생성키 관리절차 등이 주된 내용으로 구성되지만, 무엇보다도 중요하게 다루어지고 있는 내용으로 인증서의 발급, 취소, 중지, 재발급(재계약)등에 대하여 명확히 하여야 할 것이다. 이 부분은 일반인에 대한 인증기관의 신뢰도를 평가하는 주요한 평가대상이 될 뿐만 아니라, 실제 업무 수행상 발생할 수 있는 법적 다툼과 직접 관련되어 있다.
이러한 인증업무준칙은 인증방침을 근간으로 하여 인증기관과 가입자의 기술적 이용관계의 세부적인 내용을 정한 것으로 인증서의 발급을 위한 실무절차에 관한 세부규정이다. 이는 인증서를 신뢰하여 거래하는 거래의 상대방에 대하여도 일정내용이 관련되어 있으므로 인증기관과 가입자에 한정된 것이 아니라, 제3자에게도 직접적인 영향을 미친다. 이러한 점에서 인증업무준칙은 인증서비스 제공에 대한 전반적인 사항을 규정하고 있고, 적용범위도 일반인에게 미친다는 점에서 공적 규정으로서의 성격도 가지고 있다. 물론 규범적으로 살펴보면, 거래와 관련 있는 당사자에게 적용되는 것이지만, 향후 전자서명의 이용이 활성화될 때 사적 계약내용으로서의 성질에서 벗어나 국가의 일정한 통제가 뒤따르게 될 것이다.
인증업무준칙에서 인증방침, 가입자 인증절차, 생성키 관리절차 등이 주된 내용으로 구성되지만, 무엇보다도 중요하게 다루어지고 있는 내용으로 인증서의 발급, 취소, 중지, 재발급(재계약)등에 대하여 명확히 하여야 할 것이다. 이 부분은 일반인에 대한 인증기관의 신뢰도를 평가하는 주요한 평가대상이 될 뿐만 아니라, 실제 업무 수행상 발생할 수 있는 법적 다툼과 직접 관련되어 있다.
(2) 인증업무준칙의 내용
인증업무준칙에 관하여 전자서명법은 제6조 제1항 제1호 내지 제4호에서 인증업무의 종류, 인증업무의 수행방법 및 수행절차, 공인인증업무의 이용조건, 기타 인증업무의 수행에 필요한 사항 등을 인증업무준칙에 포함될 최소한의 사항으로 규정하고 있다.
인증업무준칙의 내용에 포함될 만한 사항들을 살펴보면,
① 인증기관이 인증업무를 수행하기 위하여 갖출 적정한 시스템사양과 그 관리, 유지 및 보안에 관한 사항,
② 가입신청의 방법과 가입신청인의 신원확인의 방법, 절차 및 증빙서류의 구비정도 등 인증서의 발행절차에 관한 사항,
③ 인증서에 필수적으로 포함될 내용, 인증서의 종류, 제한적 기능을 가진 인증서를 취급할 것 인지의 여부, 인증서의 효력발생시기, 인증서 수령에 관한 이의 기간 등 인증서의 효력에 관한 사항,
④ 전자서명검증정보의 보관, 인증보관소와 인증취소목록의 제공 등 인증기관의 각종 공시 또는 공개에 관한 사항,
⑤ 인증서의 효력정지 및 취소의 절차와 구체적인 사유에 관한 사항,
⑥ 인증업무 수행과 관련되어 생성되는 각종 기록, 자료 등의 보관에 관한 사항,
⑦ 인증기관 자신의 키조합, 인증서에 관한 사항,
⑧ 인증기관의 보험에 관한 사항,
⑨ 인증기관의 인증업무 중단, 폐지 등에 관한 사항,
⑩ 인증기관의 면책조항,
⑪ 가입자가 자신의 시스템과 전자서명생성정보를 보관, 유지하는 방법과 최소한의 보안방법 또는 그 기준 등에 관한 사항,
⑫ 가입자의 인증기관에 대한 각종 의무에 관한 사항 등이 있다.
결국, 인증업무준칙은 인증기관의 모든 업무수행에 있어서 필수적인 각종 절차, 방법뿐만 아니라 부수적인 업무, 위험분산을 위한 대비책, 면책조항 등을 포함하는 방대한 규모의 규준이 될 것이다.
예를 들어, VerySign사의 인증업무준칙은 인증업무의 전반적인 소개, 인증업무의 기초, 인증절차, 인증서 발행, 인증서 수취, 인증서 중지 및 취소, 유효기간만료 및 인증기관의 의무 등을 정하고 있다. 이 인증업무준칙으로부터 가입자와의 계약내용, 신뢰한 제3자와의 계약내용, 보안방침 및 지침과 기준 등의 세부 내용을 이끌어 내게 된다.
인증업무준칙의 내용에 포함될 만한 사항들을 살펴보면,
① 인증기관이 인증업무를 수행하기 위하여 갖출 적정한 시스템사양과 그 관리, 유지 및 보안에 관한 사항,
② 가입신청의 방법과 가입신청인의 신원확인의 방법, 절차 및 증빙서류의 구비정도 등 인증서의 발행절차에 관한 사항,
③ 인증서에 필수적으로 포함될 내용, 인증서의 종류, 제한적 기능을 가진 인증서를 취급할 것 인지의 여부, 인증서의 효력발생시기, 인증서 수령에 관한 이의 기간 등 인증서의 효력에 관한 사항,
④ 전자서명검증정보의 보관, 인증보관소와 인증취소목록의 제공 등 인증기관의 각종 공시 또는 공개에 관한 사항,
⑤ 인증서의 효력정지 및 취소의 절차와 구체적인 사유에 관한 사항,
⑥ 인증업무 수행과 관련되어 생성되는 각종 기록, 자료 등의 보관에 관한 사항,
⑦ 인증기관 자신의 키조합, 인증서에 관한 사항,
⑧ 인증기관의 보험에 관한 사항,
⑨ 인증기관의 인증업무 중단, 폐지 등에 관한 사항,
⑩ 인증기관의 면책조항,
⑪ 가입자가 자신의 시스템과 전자서명생성정보를 보관, 유지하는 방법과 최소한의 보안방법 또는 그 기준 등에 관한 사항,
⑫ 가입자의 인증기관에 대한 각종 의무에 관한 사항 등이 있다.
결국, 인증업무준칙은 인증기관의 모든 업무수행에 있어서 필수적인 각종 절차, 방법뿐만 아니라 부수적인 업무, 위험분산을 위한 대비책, 면책조항 등을 포함하는 방대한 규모의 규준이 될 것이다.
예를 들어, VerySign사의 인증업무준칙은 인증업무의 전반적인 소개, 인증업무의 기초, 인증절차, 인증서 발행, 인증서 수취, 인증서 중지 및 취소, 유효기간만료 및 인증기관의 의무 등을 정하고 있다. 이 인증업무준칙으로부터 가입자와의 계약내용, 신뢰한 제3자와의 계약내용, 보안방침 및 지침과 기준 등의 세부 내용을 이끌어 내게 된다.
(3) 인증업무준칙의 법적 성질
인증업무준칙의 법적 성질은 한 면에서는 인증기관의 구조, 업무수행 절차 등에 관한 내부규율로서의 성질을 지니고, 다른 한 면에서는 인증기관과 가입자간의 계약내용을 이루기도 하는 한편, 또는 인증기관의 상대방에 대한 불법행위에 기한 손해배상책임의 존부 및 범위의 판단기준으로서의 성격도 갖는다. 즉, 가입자와 인증기관 모두 인증업무에 관한 법적 다툼이 생기게 될 경우에, 가입자는 법률에 정한 인증업무준칙에 따른 인증업무가 행하여 졌는지를 검토할 것이며, 반면에 인증기관은 인증업무준칙에 정한 내용에 따라 인증행위를 하였다고 주장함으로써 자기의 법적 책임을 면하려 할 것이다.
이런 점에서 볼 때 인증업무준칙이 가입자ㆍ인증기관 사이의 계약내용에 명시되지 아니하였다 할지라도 계약이행 여부를 판단하는 실질적인 계약내용으로 검토된다. 따라서, 인증업무준칙은 법률상 신고사항으로 중요할 뿐만 아니라, 당사자 사이에 사후 분쟁이 발생하였을 경우에 법적 판단의 기준으로서의 규범적 성질도 띠고 있었다.
또한, 인증업무준칙에 인증기관과 가입자의 법적 지위에 관한 사항이나, 의무이행과 관련된 사항 등에 관한 것들은 실질적으로 약관으로(또는 약관과 같이) 취급하여야 할 것이며, 인증업무준칙은 반드시 가입신청자와 상대방이 손쉽게 얻을 수 있거나 접근 가능하도록 해야 효력이 있는 것으로 볼 것이고, 필요에 따라서는 그 내용을 구체적으로 설명해야 할 경우도 있다.
한편, 인증업무준칙의 내용 중 순수히 인증기관의 업무에 관한 내부규율에 그치는 규정이라고 하더라도, 경우에 따라서는 인증기관과 가입자 혹은 신뢰당사자(상대방)간의 법적 책임의 존부나 그 범위에 관한 보조적인 판단기준으로 작용할 수도 있다고 보인다.
또한 인증업무준칙의 규정 중에는 경우에 따라서 그 효력을 부정해야 할 사항들도 있을 것으로 예상되는데, 그 일례로 미국 유타주의 전자서명법 제304조는 인증기관이 인증서를 발행함으로써 보장하는 사항들에 대한 것은 당사자의 약정에 의하여 경감하거나 면제될 수 없는 것으로 규정하고 있고, 유엔국제거래법위원회의 전자서명통일규칙 초안 제11조도 가입자와 인증기관과의 관계는 기본적으로 계약에 의하여 결정하도록 하고 있어 면책조항을 두는 것도 가능하나, 제10조(인증서 발행에 의한 보장사항)에 규정된 최소한의 기준은 당사자간의 합의에 의하여도 그 적용을 배제할 수 없고, 인증기관의 책임을 제한하거나 면제하는 것이 계약의 목적에 비추어 심히 부당한 경우에는 인증기관이 면책조항을 원용할 수 없도록 규정하고 있어 참조할 만하다.
이런 점에서 볼 때 인증업무준칙이 가입자ㆍ인증기관 사이의 계약내용에 명시되지 아니하였다 할지라도 계약이행 여부를 판단하는 실질적인 계약내용으로 검토된다. 따라서, 인증업무준칙은 법률상 신고사항으로 중요할 뿐만 아니라, 당사자 사이에 사후 분쟁이 발생하였을 경우에 법적 판단의 기준으로서의 규범적 성질도 띠고 있었다.
또한, 인증업무준칙에 인증기관과 가입자의 법적 지위에 관한 사항이나, 의무이행과 관련된 사항 등에 관한 것들은 실질적으로 약관으로(또는 약관과 같이) 취급하여야 할 것이며, 인증업무준칙은 반드시 가입신청자와 상대방이 손쉽게 얻을 수 있거나 접근 가능하도록 해야 효력이 있는 것으로 볼 것이고, 필요에 따라서는 그 내용을 구체적으로 설명해야 할 경우도 있다.
한편, 인증업무준칙의 내용 중 순수히 인증기관의 업무에 관한 내부규율에 그치는 규정이라고 하더라도, 경우에 따라서는 인증기관과 가입자 혹은 신뢰당사자(상대방)간의 법적 책임의 존부나 그 범위에 관한 보조적인 판단기준으로 작용할 수도 있다고 보인다.
또한 인증업무준칙의 규정 중에는 경우에 따라서 그 효력을 부정해야 할 사항들도 있을 것으로 예상되는데, 그 일례로 미국 유타주의 전자서명법 제304조는 인증기관이 인증서를 발행함으로써 보장하는 사항들에 대한 것은 당사자의 약정에 의하여 경감하거나 면제될 수 없는 것으로 규정하고 있고, 유엔국제거래법위원회의 전자서명통일규칙 초안 제11조도 가입자와 인증기관과의 관계는 기본적으로 계약에 의하여 결정하도록 하고 있어 면책조항을 두는 것도 가능하나, 제10조(인증서 발행에 의한 보장사항)에 규정된 최소한의 기준은 당사자간의 합의에 의하여도 그 적용을 배제할 수 없고, 인증기관의 책임을 제한하거나 면제하는 것이 계약의 목적에 비추어 심히 부당한 경우에는 인증기관이 면책조항을 원용할 수 없도록 규정하고 있어 참조할 만하다.
3) 잘못된 인증업무수행에 대한 법적 제재
인증업무수행에 관한 내용을 검토함에 있어서 두 가지로 나누어 살펴보아야 할 것이다. 하나는 공인인증기관과 가입자간의 관계이며, 다른 하나는 비공인인증기관(사설인증기관)과 가입자간의 관계이다. 전자서명법상 인증업무의 내용은 공인인증기관으로서 행하는 경우에 한정하고 있다. 비공인인증기관(사설인증기관)의 인증업무는 비공인인증기관(사설인증기관)과 가입자간의 법률관계에 따라 정하여질 것이므로 이는 전적으로 사적자치에 맡기고 있다. 여기에서는 전자서명법에 규정한 내용을 중심으로 살펴보겠다. 공인인증기관이 인증행위를 함에 있어서 다음의 내용에 해당하는 사정이 생긴 경우에는 기간을 정하여 정보통신부 장관은 이에 대하여 시정조치를 명할 수 있다.
전자서명법 제11조 1호, 공인인증기관의 업무수행방법이 부적합하여 전자서명의 안전과 신뢰성확보에 지장을 줄 우려가 있는 경우(2005.12.30 삭제) 2호, 공인인증기관으로 지정을 받은 후 법규에서 정한 공인인증기관이 갖추어야 할 사항을 갖추지 아니한 경우 3호,공인인증기관으로 지정 받을 수 없는 결격사유가 있는 경우(임원이 제5조 제1호 각 목에 해당하게 된 경우) 4호, 인증업무준칙(제6조)에 의한 신고 또는 변경신고를 하지 아니하거나 신고한 인증업무준칙을 준수하지 아니한 경우 5호, 인증역무제공(제7조)에 위반하여 인증업무의 제공을 거부하거나 가입자 또는 인증역무 이용자를 부당하게 차별한 경우 5의 2호, 공인인증기관의 업무수행(제8조)에 위반하여 전자서명인증업무지침에서 정한 사항을 준수하지 아니한 경우 6호, 인증업무의 양수(제9조 제1항)에 위반하여 인증업무의 양수나 공인인증기관 합병의 신고를 하지 아니한 경우 7호, 인증업무의 휴지ㆍ폐지(제10조)에 위반하여 인증업무 휴지 또는 폐지의 통보나 신고를 하지 아니하거나 인증업무 폐지시 가입자 인증서 등을 인계하지 아니한 경우 8호, 인증업무의 정지 및 지정취소(제12조 제2항)에 위반하여 지정이 취소된 공인인증기관이 가입자인증서 등을 인계하지 아니하거나 신고하지 아니한 경우 9호, 공인인증기관에의 검사규정(제14조 제1항)에 의한 자료를 제출하지 아니한 경우 9의 2호, 공인인증서의 발급(제15조 제1항 후단) 규정에 따른 신원확인을 하지 아니한 경우 10호, 공인인증서의 효력정지(제17조)에 위반하여 인증서의 효력을 정지 또는 회복하지 아니하거나 그 사실을 확인할 수 있는 조치를 취하지 아니한 경우 11호, 공인인증서의 폐지(제18조) 규정에 위반하여 공인인증서를 폐지하지 아니하거나 그 사실을 확인할 수 있는 조치를 취하지 아니한 경우 11의 2호, 공인인증기관의 안전성 확보(제18조의3) 규정에 위반하여 인증업무와 관련된 시설의 안전성 확보를 위한 보호조치를 취하지 아니한 경우 12호, 인증업무의 장애발생 신고(제22조의3 제1항) 규정에 따른 인증업무를 제공하는 정보처리시스템의 장애발생 신고를 하지 아니한 경우 13호, 배상책임(제26조 제2항) 규정에 따른 보험에 가입하지 아니한 경우이다.
전자서명법 제11조 1호, 공인인증기관의 업무수행방법이 부적합하여 전자서명의 안전과 신뢰성확보에 지장을 줄 우려가 있는 경우(2005.12.30 삭제) 2호, 공인인증기관으로 지정을 받은 후 법규에서 정한 공인인증기관이 갖추어야 할 사항을 갖추지 아니한 경우 3호,공인인증기관으로 지정 받을 수 없는 결격사유가 있는 경우(임원이 제5조 제1호 각 목에 해당하게 된 경우) 4호, 인증업무준칙(제6조)에 의한 신고 또는 변경신고를 하지 아니하거나 신고한 인증업무준칙을 준수하지 아니한 경우 5호, 인증역무제공(제7조)에 위반하여 인증업무의 제공을 거부하거나 가입자 또는 인증역무 이용자를 부당하게 차별한 경우 5의 2호, 공인인증기관의 업무수행(제8조)에 위반하여 전자서명인증업무지침에서 정한 사항을 준수하지 아니한 경우 6호, 인증업무의 양수(제9조 제1항)에 위반하여 인증업무의 양수나 공인인증기관 합병의 신고를 하지 아니한 경우 7호, 인증업무의 휴지ㆍ폐지(제10조)에 위반하여 인증업무 휴지 또는 폐지의 통보나 신고를 하지 아니하거나 인증업무 폐지시 가입자 인증서 등을 인계하지 아니한 경우 8호, 인증업무의 정지 및 지정취소(제12조 제2항)에 위반하여 지정이 취소된 공인인증기관이 가입자인증서 등을 인계하지 아니하거나 신고하지 아니한 경우 9호, 공인인증기관에의 검사규정(제14조 제1항)에 의한 자료를 제출하지 아니한 경우 9의 2호, 공인인증서의 발급(제15조 제1항 후단) 규정에 따른 신원확인을 하지 아니한 경우 10호, 공인인증서의 효력정지(제17조)에 위반하여 인증서의 효력을 정지 또는 회복하지 아니하거나 그 사실을 확인할 수 있는 조치를 취하지 아니한 경우 11호, 공인인증서의 폐지(제18조) 규정에 위반하여 공인인증서를 폐지하지 아니하거나 그 사실을 확인할 수 있는 조치를 취하지 아니한 경우 11의 2호, 공인인증기관의 안전성 확보(제18조의3) 규정에 위반하여 인증업무와 관련된 시설의 안전성 확보를 위한 보호조치를 취하지 아니한 경우 12호, 인증업무의 장애발생 신고(제22조의3 제1항) 규정에 따른 인증업무를 제공하는 정보처리시스템의 장애발생 신고를 하지 아니한 경우 13호, 배상책임(제26조 제2항) 규정에 따른 보험에 가입하지 아니한 경우이다.
4. 인증서(Certificate)
1) 인증서의 의의
인증서란 "어떠한 전자서명검증정보가 신원확인절차를 마친 가입자의 것임을 증명하는 전자문서"이다. 이를 달리 표현하면, "가입자의 신원을 확인한 후, 가입자의 전자서명검증정보를 포함하여 인증기관에 의하여 전자적으로 서명된 컴퓨터 기반의 기록물" 이라고 할 수 있다. 전자서명법 제2조 제7호는 “인증서”라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보라고 정의하고 있고, 제2조 제8호에서는 “공인인증서”라 함은 공인인증기관이 발급하는 인증서를 말한다고 한다. 이러한 인증서를 통하여 가입자와 상대방은 인증기관을 매개로 하여 이전에 양자간에 존재하지 아니하였던 신뢰관계를 비로소 가질 수 있게 된다.
2) 인증서의 종류
(1) 신원확인의 정도에 따른 분류
인증기관은 신원확인에 요구되는 정도에 따라 여러 가지 종류의 인증서를 발행할 수 있다. 예를 들어, VerySign사는 1단계(Class 1)로 가입신청인의 사용명 또는 전자우편주소의 유일함만을 확인하고 발행되는 인증서로서 단순히 월드와이드웹을 사용한다던가 전자우편을 안전하게 이용하는데 목적이 있는 것, 2단계(Class 2)로 제3자로부터 증명된 가입신청자의 성명, 주소 기타 신상정보를 제출받은 후 발행되는 인증서, 3단계(Class 3)로는 가입신청자가 그 신원확인을 위하여 직접 출두하거나 신분증명서 등의 제출을 요하는 인증서, 마지막 4단계(Class 4)로 가입신청자의 신원에 대하여 완전한 조사를 마친 후에야 발행되는 인증서 등의 4가지 종류의 인증서를 발행하거나, 발행할 예정에 있다.
(2) 효용에 따른 분류
① 신원인증서
신원인증서란 전자서명에 있어서의 신원확인의 개념과 동일하게 어떠한 전자서명검증정보와 가입자간의 귀속관계를 증명하여 주는 인증서를 말하며, 이는 인증기관이 가입자의 신원을 확인하는 과정을 거쳐 발행된다. 보통 따로 특정하지 아니하는 한 일반적으로 인증서라고만 할 때에는 이 신원인증서를 지칭한다.
② 자격인증서
자격인증서란 가입자에게 일정한 자격이나 권한이 있음을 증명하는 인증서이다. 초기 인증서는 가입자의 신원을 확인하는 형태(신원인증서)로 발행되어 왔지만, 점차 인증서 발행이 보편화되면서 단순히 가입자의 신원을 확인하는 것에 그치지 않고, 그에게 어떠한 자격 또는 권한이 있음을 증명하는데 사용될 인증서의 발행이 요구되고 있다.
예를 들어, 변호사의 자격이 있음을 증명한다던가, 법률행위에 관한 대리권이 있음을 증명하는 경우, 또는 18세 이상에게만 판매하도록 되어 있는 성인물품의 구매의 경우 성인임을 증명하는 것이 이에 속한다.
예를 들어, 변호사의 자격이 있음을 증명한다던가, 법률행위에 관한 대리권이 있음을 증명하는 경우, 또는 18세 이상에게만 판매하도록 되어 있는 성인물품의 구매의 경우 성인임을 증명하는 것이 이에 속한다.
③ 거래인증서
거래인증서란 어떠한 거래관계에 있어서 일정한 사실이 발생하였음을 증명하는 인증서를 말한다. 앞서 살펴 본 신원인증서나 자격인증서가 반복적인 사용이 가능한 것임에 반하여, 이 거래인증서는 어떤 사실이 발생하였거나 절차 등이 행하여졌다는 것을 증명하는 목적을 충족함으로써 그 효용을 다하게 된다. 이러한 거래인증서의 예로서는 전자우편이 발송된 경우, 인증기관이 어떤 자가 실제로 전자우편을 보냈다는 사실 자체를 증명하는 취지로 그의 전자서명을 덧붙이는 경우를 들 수 있다.
한편, 미국 변호사협회는 이 거래인증서를 ‘특정한 거래를 위한 인증서’라고 정의하면서, 인증기관이 어느 특정한 거래 또는 그와 관련된 일련의 거래만을 위하여 발행한 인증서의 경우를 예로 들고 있다. 이는 인증기관이 인증서의 무한 반복사용에서 오는 위험을 최소화하기 위하여 발행된다고도 한다.
나아가 이러한 거래인증서의 개념에는 인증서에 의한 거래 가액의 한도를 미리 설정해 두는 인증서도 포함될 수 있을 것이고, 이러한 인증서상의 거래한도액은 인증기관의 책임의 범위를 가늠하거나 인증기관이 손해배상책임을 지게되는 경우 배상액을 산정하는데 중요한 기준으로 작용할 수도 있을 것이다.
전자서명법 제15조 제2항 제7호 및 제4항에서 공인인증기관은 공인인증서를 발급하고자 하는 자의 신청이 있는 경우에는 인증서의 이용범위 또는 용도를 제한하는 인증서를 발급할 수 있다고 규정함으로써 이러한 인증서의 발행을 인정하고 있다.
한편, 미국 변호사협회는 이 거래인증서를 ‘특정한 거래를 위한 인증서’라고 정의하면서, 인증기관이 어느 특정한 거래 또는 그와 관련된 일련의 거래만을 위하여 발행한 인증서의 경우를 예로 들고 있다. 이는 인증기관이 인증서의 무한 반복사용에서 오는 위험을 최소화하기 위하여 발행된다고도 한다.
나아가 이러한 거래인증서의 개념에는 인증서에 의한 거래 가액의 한도를 미리 설정해 두는 인증서도 포함될 수 있을 것이고, 이러한 인증서상의 거래한도액은 인증기관의 책임의 범위를 가늠하거나 인증기관이 손해배상책임을 지게되는 경우 배상액을 산정하는데 중요한 기준으로 작용할 수도 있을 것이다.
전자서명법 제15조 제2항 제7호 및 제4항에서 공인인증기관은 공인인증서를 발급하고자 하는 자의 신청이 있는 경우에는 인증서의 이용범위 또는 용도를 제한하는 인증서를 발급할 수 있다고 규정함으로써 이러한 인증서의 발행을 인정하고 있다.
④ 일시인부(Time-Stamping) 인증서
일시인부인증서란 전자문서가 특정 일시에 존재하였다는 사실을 증명하는 인증서를 말한다. 만일 앞서 든 전자우편에 대한 거래인증서에 이 일시인부인증서를 함께 이용한다면, 현실세계에서의 내용증명우편(송달확인을 제외한 나머지 부분)과 동일한 효과를 얻을 수 있을 것이다. 달리 표현하면, 그 시점에 존재했었다는 확정일자와 관련이 있고, 입찰의 시점과도 연관이 있다고 할 수 있다.
3) 인증서의 내용
(1) 인증서에 최소한으로 포함될 내용
인증서를 발급받고자 하는 자는 공인인증기관에 대하여 인증서의 발급을 신청한다. 이 때에 공인인증기관은 인증서의 이용범위 및 용도 등을 고려하여 그 신원을 확인하여야 한다.(전자서명법 제15조 제1항) 그리고 전자서명법 제15조 제2항에서는 공인인증기관이 발급하는 공인인증서에는
① 가입자의 이름(법인인 경우에는 명칭을 말한다),
② 가입자의 전자서명검증정보,
③ 가입자와 공인인증기관이 이용하는 전자서명 방식,
④ 타 인증서와의 구별을 위하여 공인인증서의 고유의 일련번호,
⑤ 공인인증서의 유효기간,
⑥ 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보,
⑦ 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항,
⑧ 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항,
⑨ 공인인증서임을 나타내는 표시가 포함되어야 한다고 규정하고 있다.
이 중에서 특히 가입자의 성명에 관하여 살펴보면, 인증서에 표시될 성명이 가입자의 실명임을 요하지 아니하는 것이 원칙이다. 왜냐하면, 인증기관은 신원확인을 통하여 전자문서에 나타날 ‘가입자’에게 그의 전자서명검증정보가 귀속되는 것을 증명하면 될 뿐, 그 가입자가 외부에 어떤 이름으로 표시되느냐 하는 것까지 관여하지는 않기 때문이다. 예를 들면, ‘갑’이라는 실명을 가진 가입자가 인증기관으로부터 인증서를 발급 받음에 있어 ‘갑’이라는 실명을 사용하지 않고, 대신 ‘홍길동’이라는 다른 가입자들과 구별되는 이름을 사용하기로 한 경우, 그 인증기관이 발행하는 인증서 상에 ‘홍길동’이라는 이름을 사용하는 이가 오직 ‘갑’ 한 사람이면, ‘갑’ 자신을 나타내는 표지로서 ‘홍길동’이라는 별개의 이름을 사용하는 것이 허용될 수 있다. 이렇게 가입자의 성명에 있어서 실명을 요하지 아니하도록 하는 것은, 과거부터 개방형 시스템 하에서는 이용자에게 강력한 익명성을 보장함으로써, 개인의 프라이버시를 보호하여 왔던 점에 기인한다고 할 수 있다. 다만, 전자서명에 의한 전자문서가 법적인 효력을 발휘하는 경우에 훗날 그에 따른 강제 이행이 가능하도록 해야 하는 현실적 필요를 감안한다면, 미국 유타주의 전자서명법의 태도와 같이 인증서에 가입자의 실명과 가입자가 인증기관과의 관계에서 사용되는 이름이 함께 포함되도록 하는 것이 타당하다고 여겨진다. 최초 전자서명법안 제15조에서는 이와 같은 내용으로 규정되어 있었으나, 입안 과정에서 삭제되었다.
① 가입자의 이름(법인인 경우에는 명칭을 말한다),
② 가입자의 전자서명검증정보,
③ 가입자와 공인인증기관이 이용하는 전자서명 방식,
④ 타 인증서와의 구별을 위하여 공인인증서의 고유의 일련번호,
⑤ 공인인증서의 유효기간,
⑥ 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보,
⑦ 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항,
⑧ 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항,
⑨ 공인인증서임을 나타내는 표시가 포함되어야 한다고 규정하고 있다.
이 중에서 특히 가입자의 성명에 관하여 살펴보면, 인증서에 표시될 성명이 가입자의 실명임을 요하지 아니하는 것이 원칙이다. 왜냐하면, 인증기관은 신원확인을 통하여 전자문서에 나타날 ‘가입자’에게 그의 전자서명검증정보가 귀속되는 것을 증명하면 될 뿐, 그 가입자가 외부에 어떤 이름으로 표시되느냐 하는 것까지 관여하지는 않기 때문이다. 예를 들면, ‘갑’이라는 실명을 가진 가입자가 인증기관으로부터 인증서를 발급 받음에 있어 ‘갑’이라는 실명을 사용하지 않고, 대신 ‘홍길동’이라는 다른 가입자들과 구별되는 이름을 사용하기로 한 경우, 그 인증기관이 발행하는 인증서 상에 ‘홍길동’이라는 이름을 사용하는 이가 오직 ‘갑’ 한 사람이면, ‘갑’ 자신을 나타내는 표지로서 ‘홍길동’이라는 별개의 이름을 사용하는 것이 허용될 수 있다. 이렇게 가입자의 성명에 있어서 실명을 요하지 아니하도록 하는 것은, 과거부터 개방형 시스템 하에서는 이용자에게 강력한 익명성을 보장함으로써, 개인의 프라이버시를 보호하여 왔던 점에 기인한다고 할 수 있다. 다만, 전자서명에 의한 전자문서가 법적인 효력을 발휘하는 경우에 훗날 그에 따른 강제 이행이 가능하도록 해야 하는 현실적 필요를 감안한다면, 미국 유타주의 전자서명법의 태도와 같이 인증서에 가입자의 실명과 가입자가 인증기관과의 관계에서 사용되는 이름이 함께 포함되도록 하는 것이 타당하다고 여겨진다. 최초 전자서명법안 제15조에서는 이와 같은 내용으로 규정되어 있었으나, 입안 과정에서 삭제되었다.
(2) 기타
위와 같은 최소한의 사항 이외에 자격인증서나 거래인증서의 경우에는 이미 살펴 본 바와 같은 인증서의 이용범위 또는 용도를 제한하는 취지의 기재, 제3자를 위한 대리권이나 자격 등을 갖는다는 취지의 기재 등이 포함되어야 하고,(전자서명법 제15조 제2항 제7호, 제8호) 인증서가 신원확인 정도에 따라 여러 단계로 발행될 경우에는 이에 대한 기재, 또는 인증서가 효력정지 또는 취소되었을 경우 이를 확인할 수 있는 방법과 이를 확인할 수 있는 데이터베이스의 위치, 기타 가입자에 대한 정보 등이 인증서의 내용에 포함될 수 있을 것이다.
4) 인증서의 발행
인증서는 인증기관에 의하여 발행된다. 인증기관은 인증서를 발행함으로써, 인증서를 정당하게 신뢰한 모든 이에게 대하여
① 인증기관이 인증서를 발행함에 필요한 모든 요건 및 절차를 준수하였고,
② 인증서 발행 당시 인증서 상에 신원 확인된 것으로 표시된 자가 그의 전자서명생성정보를 보유하고 있으며,
③ 가입자의 전자서명검증정보와 전자서명생성정보가 유효하게 작동하는 키조합을 구성하고,
④ 인증서 상의 모든 정보가 정확할 뿐만 아니라,
⑤ 미리 알려졌더라면, 인증서에 있는 정보의 신뢰성에 부정적 영향을 미쳤을 중요한 사실을 인증기관이 알면서도 누락시키지 아니하였고,
⑥ 인증기관이 인증업무준칙을 공시한 경우에는 그 준칙에 따라 인증서를 발행했다는 것을 보장하게 된다.(유엔 국제거래법 위원회의 전자서명 통일 규칙 초안)
5) 인증서의 효력발생시기 및 유효기간
① 인증기관이 인증서를 발행함에 필요한 모든 요건 및 절차를 준수하였고,
② 인증서 발행 당시 인증서 상에 신원 확인된 것으로 표시된 자가 그의 전자서명생성정보를 보유하고 있으며,
③ 가입자의 전자서명검증정보와 전자서명생성정보가 유효하게 작동하는 키조합을 구성하고,
④ 인증서 상의 모든 정보가 정확할 뿐만 아니라,
⑤ 미리 알려졌더라면, 인증서에 있는 정보의 신뢰성에 부정적 영향을 미쳤을 중요한 사실을 인증기관이 알면서도 누락시키지 아니하였고,
⑥ 인증기관이 인증업무준칙을 공시한 경우에는 그 준칙에 따라 인증서를 발행했다는 것을 보장하게 된다.(유엔 국제거래법 위원회의 전자서명 통일 규칙 초안)
5) 인증서의 효력발생시기 및 유효기간
(1) 인증서의 효력발생시기 : 인증서의 수령
① 인증서의 수령
① 인증서의 수령
인증서는 그것을 가입자가 수령하는 때로부터 효력을 갖게 되는데 가입자가 인증서를 수령한다고 함은 가입자가 인증서의 내용을 알고 이에 동의함을 말하며 이러한 동의는 그것이 명시적이건 묵시적이건 불문한다. 따라서 가입자가 인증기관으로부터 인증서를 전달받고 전자서명을 행하였다면 인증서의 수령이 있었다고 보아야 할 것이다. 인증서의 수령시부터 가입자는 정당히 전자서명을 행할 수 있고, 상대방은 그 전자서명이 가입자의 것임을 믿을 수 있게 된다.
② 인증서의 수령이 갖는 의미
인증서의 수령을 통하여 가입자는 인증서를 정당하게 신뢰한 모든 이들에게 대하여 a.인증서가 효력정지 또는 인증기관에 의하여 취소되었거나 유효기간이 경과한 것이 아닌 한 전자서명검증정보에 상응하는 전자서명생성정보에 의하여 이루어진 전자서명은 법적으로 유효한 것이며, b.자신은 전자서명검증정보에 상응하는 전자서명생성정보에 적정하게 유지하고 있다는 것과, c.가입자가 인증기관에 대하여 제공함으로써 인증서 상에 나타나게 된 각종 사항과 그에 대한 증빙자료가 진실하며, d.인증서 상에 나타난 모든 사항이 자신이 아는 한 진실하다는 것을 보장하게 된다.
③ 인증서의 수령시기
어느 때에 가입자가 인증서를 수령하였느냐는 인증서의 효력발생의 시간적 기준이 되고 그때로부터 가입자, 인증기관과 상대방의 법률적 지위가 가름되는 경우가 많을 것이기 때문에 인증서의 수령시기(효력발생시기)는 물론, 가입자의 인증서 수령방법, 수령한 인증서의 내용에 대하여 이의할 수 있는 경우 및 이의 기간 등에 관하여는 반드시 인증기관의 인증업무준칙에 명확하고도 상세한 규정이 포함되어야 할 것으로 생각한다.
만일 인증업무준칙에 이와 같은 내용이 결여되었다고 한다면, 해석론으로 가입자의 수령시점은 인증기관으로부터 인증서가 가입자에게 도달되면 인증서의 수령이 있는 것으로 추정하되, 가입자는 자신이 상당한 기간 내에 인증서의 내용에 대하여 이의하였음을 반증할 수 있고 그러한 이의가 있으면 소급하여 인증서의 효력이 상실되는 것으로 이해해야할 것이며, 이때 이의할 수 있는 상당한 기간은 전자거래의 안전성을 도모할 필요성에 비추어 가능한 한 짧게 해석하는 것이 타당할 것이다.
만일 인증업무준칙에 이와 같은 내용이 결여되었다고 한다면, 해석론으로 가입자의 수령시점은 인증기관으로부터 인증서가 가입자에게 도달되면 인증서의 수령이 있는 것으로 추정하되, 가입자는 자신이 상당한 기간 내에 인증서의 내용에 대하여 이의하였음을 반증할 수 있고 그러한 이의가 있으면 소급하여 인증서의 효력이 상실되는 것으로 이해해야할 것이며, 이때 이의할 수 있는 상당한 기간은 전자거래의 안전성을 도모할 필요성에 비추어 가능한 한 짧게 해석하는 것이 타당할 것이다.
④ 인증서의 유효성의 추정
위와 같이 인증기관에 의하여 발행되고 가입자의 의하여 수령된 인증서 상에 표시된 각종 정보는 진실된 것으로 사실상 추정되며, 따라서 인증서 상에 표시된 각종 정보가 진실하지 아니하다는 사실의 입증책임은 이를 주장하는 자에게 돌아간다고 해석할 것이다.
(2) 인증서의 유효기간
인증서는 그 인증서 상에 표시된 유효기간 내에만 효력을 갖는 것이므로 가입자가 유효기간 내에 행한 전자서명만이 유효한 서명으로써의 효력을 갖는다. 따라서, 전자서명이 인증서의 유효기간 내에 이루어졌다면, 전자서명된 전자문서가 그 유효기간 이후에 상대방에게 도달되었다 하더라도 그 효력은 문제되지 아니한다.
입법례에 따라서는 미국 유타주의 전자서명법과 같이 인증서의 유효기간을 3년 이하로 규정하여 두는 경우도 있고, 유효기간과 관련하여 인증서의 유효성을 추정하기도 하는데 전자서명법 제15조 제5항에서는 공인인증기관은 공인인증서의 이용범위 및 용도, 이용된 기술의 안전성과 신뢰성 등을 고려하여 공인인증서의 유효기간을 적정하게 정하여야 한다고만 규정하고 있다.
입법례에 따라서는 미국 유타주의 전자서명법과 같이 인증서의 유효기간을 3년 이하로 규정하여 두는 경우도 있고, 유효기간과 관련하여 인증서의 유효성을 추정하기도 하는데 전자서명법 제15조 제5항에서는 공인인증기관은 공인인증서의 이용범위 및 용도, 이용된 기술의 안전성과 신뢰성 등을 고려하여 공인인증서의 유효기간을 적정하게 정하여야 한다고만 규정하고 있다.
(3) 기타 인증서의 효력과 관련된 문제점들
앞서 살펴본 인증서에 포함될 최소한의 내용 중 일부가 결여된 경우 인증서를 무효로 하자는 견해와 당사자의 합의로써 유효하게 될 수 있다는 견해가 대립되고 있다. 일반적으로 인증기관의 인증서의 발행과 상대방의 전자서명의 확인절차는 전적으로 소프트웨어프로그램을 통해 컴퓨터에 의하여 이루어지는 것이어서 인증기관의 인증서 발행시나 상대방의 확인절차 도중에 위와 같이 인증서에 포함될 최소한의 내용일부가 결여된 것을 쉽게 인식할 수 있을 것이기 때문에 이러한 경우 현실적으로 유효한 전자서명이 이루어지는 경우란 거의 없을 것임에 비추어 이러한 인증서는 일단 그 효력이 없는 것으로 보아도 무방할 것이다.
인증서의 효력에 관하여 전자서명법 제16조 제1항은 단지 공인인증서의 유효기간이 경과한 경우, 사위 기타 부정한 방법으로 공인인증기관의 지정을 받은 것이 밝혀져 지정이 취소된 경우, 공인인증서의 효력이 정지되거나 공인인증서가 폐지된 경우 등에 효력이 없다고 규정함으로써, 위와 같은 경우에 인증서의 효력에 대하여는 별도로 규정하고 있지 않는 태도를 취하고 있다.
인증서의 효력에 관하여 전자서명법 제16조 제1항은 단지 공인인증서의 유효기간이 경과한 경우, 사위 기타 부정한 방법으로 공인인증기관의 지정을 받은 것이 밝혀져 지정이 취소된 경우, 공인인증서의 효력이 정지되거나 공인인증서가 폐지된 경우 등에 효력이 없다고 규정함으로써, 위와 같은 경우에 인증서의 효력에 대하여는 별도로 규정하고 있지 않는 태도를 취하고 있다.
6) 인증서의 효력정지 및 취소
(1) 인증서의 효력정지
① 인증서 효력정지의 의의
인증서의 효력정지는 인증서의 유효기간 내에 인증기관이 가입자 등으로부터 요청을 받아 그 인증서의 효력을 일시적으로 정지시키는 것을 말한다.
② 인증서 효력정지의 절차
인증기관은 가입자라고 주장하는 자 등의 요청이 있으면 인증서의 효력을 정지하여야 하는데, 이 때 인증기관은 효력정지의 요청을 하는 자가 실제로 그러한 요청을 할 수 있는 자격이나 권한이 있는지에 대하여 확인할 의무는 없는 것으로 보는 것이 일반적이다. 왜냐하면 대부분의 인증서의 효력정지의 요청은 요청자의 자격을 확인할만한 시간적 여유가 없는 급박을 요하는 상황에서 이루어질 것이기 때문이다. 따라서 인증기관은 효력정지에 필요한 조치를 마친 후 즉시 가입자에게 이와 같은 사실을 통지하여야 하며, 인증서의 효력이 정지되었다는 사실을 일반인이 쉽게 알 수 있도록 인증취소목록(CRL:Certification Revocation List)이나 기타 합리적인 방법을 통하여 공시하여야 한다.
③ 인증서 효력정지에 관한 규정
전자서명법은 제17조에서 공인인증기관은 가입자 또는 그 대리인의 신청이 있는 경우에는 공인인증서의 효력을 정지하거나 정지된 공인인증서의 효력을 회복하여야 하고, 이 경우 공인인증서 효력회복의 신청은 공인인증서의 효력이 정지된 날로부터 6월 이내에 하여야 하며, 공인인증기관은 공인인증서의 효력을 정지하거나 회복한 경우에는 그 사실을 항상 확인할 수 있도록 지체 없이 필요한 조치를 취하여야한다고 규정하고 있다.
(2) 인증서의 취소
① 인증서 취소의 의의
인증서의 취소란 인증기관이 인증서의 유효기간 내에 인증기관이 가입자 등으로부터 요청을 받거나, 인증기관이 인증서 내용의 중요부분에 사실과 다른 기재가 있음을 발견하는 등 인증서의 효력을 더 이상 유지할 수 없다고 명백히 판단되는 경우에 인증서의 효력을 장래를 향하여 소멸시키는 것을 말한다. 이때 인증서의 효력을 더 이상 유지할 수 없는 경우란 인증기관이 인증서의 발행에 의하며 보장한 사항을 더 이상 보장할 수 없을 정도로 인증서의 효력에 치명적인 문제가 발생한 경우를 가리킨다. 전자서명법 제18조에서는 인증서의 취소에 대하여 공인인증서의 폐지라는 용어를 사용하고 있다.
② 인증서 취소의 절차
인증서의 취소는 장래를 향하여 인증서의 효력을 전적으로 소멸시키는 것이기 때문에 취소에 있어 신중을 기할 필요가 있으므로 인증서의 효력을 정지시키는 경우와는 달리 가입자의 취소요청의 경우에는 인증기관은 취소를 요청하는 자의 신원을 정확하게 확인하여야만 한다. 또한 인증기관은 인증서가 취소되었다는 사실을 일반인이 쉽게 알 수 있도록 인증취소목록(CRL)이나 기타 합리적인 방법을 통하여 공시하여야 한다.
③ 인증서 취소에 관한 규정
전자서명법 제18조는 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우(제1호), 가입자가 사위 기타 부정한 방법으로 공인인증서를 발급 받은 사실을 인지한 경우(제2호), 가입자의 사망ㆍ실종선고 또는 해산사실을 인지한 경우(제3호), 가입자의 전자서명생성정보가 분실ㆍ훼손 또는 도난 유출된 사실을 인지한 경우(제4호)에 인증서를 폐지한다고 하면서 그 사실을 항상 확인할 수 있도록 지체 없이 필요한 조치를 취하여야 한다고 규정하고 있을 뿐, 인증서의 취소(폐지)를 위하여 신청자 등의 신원확인 등에 관한 절차에 관하여 규정하고 있지 않고 있는 바 따라서 각 공인인증기관의 인증업무준칙에 따라 해결될 것으로 보인다.
7) 외국인증기관이 발행한 인증서의 효력 문제
한 나라의 인증기관이 발행한 인증서가 다른 나라에서는 어떻게 다루어져야 할 것인가에 관하여 전자서명법 제27조의 2에서 정부는 전자서명의 상호 인증을 위하여 외국정부와 협정을 체결할 수 있고(제1항) 위와 같이 협정을 체결하는 경우에는 외국의 인증기관 또는 외국의 인증기관이 발급한 인증서에 대하여 전자서명법에 의한 공인인증기관 또는 공인인증기관이 발급한 공인인증서와 동일한 법적 지위 또는 법적 효력을 부여하는 것을 그 협정의 내용으로 할 수 있다(제2항)고 하면서 위와 같이 외국정부와 협정이 체결된 경우 외국의 전자서명 또는 인증서는 공인전자서명 또는 공인인증서와 동등한 효력을 갖는 것으로 본다(제4항)고 규정한다. 또한 정보통신부 장관은 외국정부와 전자서명의 상호인정에 관한 협정을 체결한 경우에는 그 내용을 고시하여야 한다.(제3항)
§ 참고자료 §
전자정부구현을 위한 행정업무 등의 전자화촉진에 관한 법률
[電子政府具現-爲-行政業務等-電子化促進-關-法律]
<요약>
행정업무의 전자적 처리를 위한 기본원칙 등을 규정함으로써 전자정부의 구현을 위한 사업을 촉진시키고, 행정기관의 생산성·투명성 및 민주성을 높여 지식정보화 시대의 국민의 삶의 질을 향상시키기 위해 제정한 법(2001. 3. 28, 법률 제6439호).
행정업무의 전자적 처리를 위한 기본원칙 등을 규정함으로써 전자정부의 구현을 위한 사업을 촉진시키고, 행정기관의 생산성·투명성 및 민주성을 높여 지식정보화 시대의 국민의 삶의 질을 향상시키기 위해 제정한 법(2001. 3. 28, 법률 제6439호).
<본문>
2001년 제정된 뒤 2003년 5월 법률 제6871호까지 2차례 개정되었다. 행정기관은 전자정부의 구현을 촉진하고 지식정보화 시대의 국민의 삶의 질을 향상시키도록 관련 제도를 개선해야 한다. 전자정부의 구현과 운영에 있어서 국민의 편익 중심, 주요업무의 전자적 처리, 행정정보의 인터넷 공개, 행정정보의 공동이용, 개인정보 보호, 전자정부 구현에 필요한 기술개발 및 운영의 민간 외주 등을 원칙으로 정한다.
행정기관의 문서는 전자문서를 기본으로 작성 및 관리되어야 한다. 전자공문서에는 행정전자서명을 사용하되, 전자거래의 경우에는 전자서명법에 따른 공인전자서명(2조 3호)을 사용할 수 있다. 행정기관은 법령의 제정 및 개정, 법령에서 공청회·여론조사 등을 실시하도록 한 사항 등에 관해 정보통신망을 통한 의견수렴 절차를 병행해야 한다. 행정기관의 장은 소속 직원으로 하여금 정보통신망을 이용하여 온라인 원격근무를 하게 할 수 있다.
대국민 서비스를 전자화하여 관계 법령에서 종이문서로 처리하도록 규정한 경우에도 전자문서로 신청·통보 등을 할 수 있다. 민원인이 행정기관을 직접 방문하지 않고서도 민원업무를 처리할 수 있도록 관계 법령 개선 등의 조치를 하고, 전자민원창구의 설치·운영 방안을 마련해야 한다. 의사결정 과정의 쇄신과 전자화 등의 방법으로 종이문서를 최대한 줄이도록 하고, 이를 위해 문서감축위원회를 둔다.
중앙사무관장기관의 장은 정보화와 표준화 등이 포함된 중장기 전자정부사업계획을 정보화추진위원회의 심의를 거쳐 수립할 수 있다. 2개 이상의 지방자치단체는 상호간의 정보화 사업을 공동으로 추진하기 위해 지방자치단체조합을 설립할 수 있다.
7장으로 나누어진 전문 52조와 부칙으로 구성되어 있으며, 시행령이 있다.
2001년 제정된 뒤 2003년 5월 법률 제6871호까지 2차례 개정되었다. 행정기관은 전자정부의 구현을 촉진하고 지식정보화 시대의 국민의 삶의 질을 향상시키도록 관련 제도를 개선해야 한다. 전자정부의 구현과 운영에 있어서 국민의 편익 중심, 주요업무의 전자적 처리, 행정정보의 인터넷 공개, 행정정보의 공동이용, 개인정보 보호, 전자정부 구현에 필요한 기술개발 및 운영의 민간 외주 등을 원칙으로 정한다.
행정기관의 문서는 전자문서를 기본으로 작성 및 관리되어야 한다. 전자공문서에는 행정전자서명을 사용하되, 전자거래의 경우에는 전자서명법에 따른 공인전자서명(2조 3호)을 사용할 수 있다. 행정기관은 법령의 제정 및 개정, 법령에서 공청회·여론조사 등을 실시하도록 한 사항 등에 관해 정보통신망을 통한 의견수렴 절차를 병행해야 한다. 행정기관의 장은 소속 직원으로 하여금 정보통신망을 이용하여 온라인 원격근무를 하게 할 수 있다.
대국민 서비스를 전자화하여 관계 법령에서 종이문서로 처리하도록 규정한 경우에도 전자문서로 신청·통보 등을 할 수 있다. 민원인이 행정기관을 직접 방문하지 않고서도 민원업무를 처리할 수 있도록 관계 법령 개선 등의 조치를 하고, 전자민원창구의 설치·운영 방안을 마련해야 한다. 의사결정 과정의 쇄신과 전자화 등의 방법으로 종이문서를 최대한 줄이도록 하고, 이를 위해 문서감축위원회를 둔다.
중앙사무관장기관의 장은 정보화와 표준화 등이 포함된 중장기 전자정부사업계획을 정보화추진위원회의 심의를 거쳐 수립할 수 있다. 2개 이상의 지방자치단체는 상호간의 정보화 사업을 공동으로 추진하기 위해 지방자치단체조합을 설립할 수 있다.
7장으로 나누어진 전문 52조와 부칙으로 구성되어 있으며, 시행령이 있다.
posted by VIEWLAW @ 7:20 AM
0 Comments:
Post a Comment
<< Home