전자상거래 2조 두번째 자료

인증기관의 민사책임
1. 개설
인증기관의 인증행위가 정상적으로 행하여지지 않음으로써 가입자와 인증서를 신뢰한 거래의 상대방에게 손해가 발생하였을 경우에, 인증기관은 이들에 대하여 손해배상책임을 부담합니다. 가입자와 인증기관 사이에는 계약으로 인한 채무불이행 책임이 논의 될 수 있을 것이고 인증서를 신뢰한 거래의 상대방과 인증기관 사이에는 불법행위 책임이 검토 될 수 있을 것입니다. 우선은 당사자들간의 법적 의무에 대하여 간단히 알아보고 전자서명법 제26조와 관련한 배상책임의 법적 성질 및 책임의 범위제한 문제를 검토하겠습니다.

2. 전자서명 당사자의 법적의무
1) 인증기관의 의무
전자서명법 규정과 별도로 이해를 돕기위해
금융결제원의 인증업무준칙상 의무조항을 살펴보겠습니다.

2.1 의무
2.1.1 결제원의 의무
2.1.1.1 정확한 정보 제공
결제원은 법 제22조의2(공인인증서의 관리 등)에 따라 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 다음의 정보를 yessign 홈페이지(http://www.yessign.or.kr) 또는 결제원 디렉토리 시스템에 공고하여 그 사실을 확인할 수 있도록 합니다.
2.1.1.2 전자서명생성정보의 보호
결제원은 법 제21조(전자서명생성정보의 관리)에 따라 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용하여 안전한 방법으로 결제원 전자서명정보를 생성하며 생성된 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출되지 않도록 안전하게 관리합니다.
2.1.1.3 전자서명생성정보 사용의 제한
결제원은 법 제8조(공인인증기관의 업무수행)에 따라 공인인증서비스를 제공함에 있어서 진흥원으로부터 인증 받은 전자서명검증정보에 합치하는 전자서명생성정보를 사용합니다.
2.1.1.4 전자서명생성정보 안전조치
결제원은 법 제21조(전자서명생성정보의 관리)에 따라 결제원 전자서명생성정보의 분실ㆍ훼손, 도난ㆍ유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 진흥원 및 가입자에게 이를 통보하며 필요한 경우 당해 전자서명생성정보로 발급한 가입자의 인증서를 폐지합니다.
결제원은 즉시 당해 사실을 yessign 홈페이지(http://www.yessign.or.kr)에 공고하며, 인증서 효력정지 및 폐지 목록을 갱신하고, 이용자가 갱신된 인증서 효력정지 및 폐지 목록을 이용할 수 있도록 하고, 결제원은 인증업무의 신뢰성ㆍ유효성을 확보할 수 있는 대책을 강구합니다.
2.1.1.5 등록기관 운영
결제원은 등록대행기관이 가입자 인증서 이용신청 접수 및 신원확인 등의 인증업무를 처리함에 있어 안전성과 유효성이 확보될 수 있도록 운영하며 등록대행기관의 요건, 의무, 책임, 업무처리 등에 관하여는 별도로 정한 규약 및 시행세칙에 의합니다.
2.1.1.6 신원확인
결제원은 법 제15조(인증서의 발급 등)에 따라 가입자의 실지명의를 확인하고, 관련 서류를 청구할 수 있으며, 실질 내용을 확인할 수 있습니다.
2.1.1.7 개인정보 보호 및 공개
결제원은 인증업무 수행과정에서 얻게되는 가입자에 관한 정보 및 인증기관 운영과정에서 생성되는 다음의 자료에 대하여 법 제24조(개인정보의 보호), 금융실명거래및비밀보장에관한법률(법률제6,682호) 제4조(금융거래의 비밀보장), 정보통신망이용촉진및정보보호등에관한법률(법률제6,585호) 제22조(개인정보의 수집) 내지 제29조(개인정보의 파기), 신용정보의이용및보호에관한법률(법률제6,562호) 제24조(개인신용정보의 제공ㆍ이용의 제한 및 통보)를 준수하며, 인증업무 이외의 목적으로 이용하거나 공개하지 못합니다. 하지만 결제원은 제3자가 법률에서 정한 요건 및 절차에 따라 정보공개를 요구하는 경우 이를 따를 수 있습니다.

가. 가입자의 신원확인의무와 관련하여
인증기관은 성실히 가입자의 신원을 확인하여야 할 의무가 있다.
참조조문
전자서명법 제15조
전자서명법 시행규칙 제13조의 2 참조
현재 전자서명법 제26조와 관련한 유일한 판례
기사 요약 소개
은행원의 실수로 인터넷 뱅킹에 필요한 공인인증서 발급사고가 난 경우 공인인증기관인 금융결제원이 1차 책임을 져야 한다는 판결이 나왔다. 공인인증기관의 지위와 책임을 규율하고 있는 전자서명법에는 인증서 발급시 신원확인 지침에 대한 이야기만 들어있을 뿐, 사고발생시 발급기관과 공인인증기관간 책임 범위가 명확하지 않다. 서울지방법원 민사합의12부(조관행 부장판사)는 25일 삼성생명이 N 은행이 제대로 신원확인을 않고 공인인증서를 발급해 1억3천만원의 대출사고가 났다며 공인인증기관인 금결원을 상대로 낸 손해배상 청구소송에서 "피고는 9천400여만원을 지급하라"고 원고 일부승소 판결했다. 재판부는 "공인인증서 발급시 신분확인수단인 위조운전면허증이 육안식별이 힘들 정도로 정교하게 위조됐다고 보기 어려움에도 N 은행은 이를 면밀히 검토할 의무를 소홀히 했다"며 "따라서 인증서 발급업무를 N 은행에 위탁한 금결원은 대출사고에 대한 책임이 있다"고 지적했다. 하지만 "원고도 인터넷 대출시 공인인증서말고 다른 확인절차를 두지 않았고 이례적으로 새로 개설된 계좌로 입금하는 것도 허용한 점, 대출이 1~7분 간격으로 2~3회 연속 이뤄졌음에도 고객에게 전화해 확인하지 않는 등 대출사고 예방업무를 소홀히 한 만큼 손실 발생의 30%를 책임을 져야 한다"고 판결했다. 삼성생명은 범죄자가 자사 고객 명의의 위조운전면허증을 이용해 N은행에서 공인 인증서를 발급받은 뒤 인터넷 사이트에 접속, 지난해 7월부터 모두 21회에 걸쳐 약관대출 과 신용대출 방식으로 1억3천500여만원을 빼내간 금융사고가 나자 소송을 냈다.
전자서명법에 따르면 공인인증기관은 공인인증서를 발급받고자 하는 자에게 공인인증서를 발급하며, 이 경우 공인인증서를 발급받고자 하는 자의 신원을 확인하여야 한다고 돼 있다. 하지만 그 하위규정에 신원확인 수단으로 주민등록증이나 운전면허증 등 신원확인 수단을 써서 대면확인해야 한다고 돼 있을 뿐, 위조된 운전면허증을 이용해서 발급기관이 발급했을 경우 공인인증기관의 책임범위는 불명확하다. 물론 공인인증기관은 자사의 발급기관에 대해 관리감독할 의무가 있지만, 이 의무가 어디까지 배상해야 하는가를 결정할 수 있는 기준이 되지는 못하고 있는 실정이다.
나. 인증서의 효력정지 및 취소의무(전자서명법 제17조.제18조)
인증기관은 가입자라고 주장하는 자 등으로부터 인증서의 효력정지의 요청을 받은 경우에는 즉시 그 효력을 정지하여야 하며 가입자로부터 인증서의 취소요청을 받은 경우에는 소정의 절차를 거쳐 가입자의 신원을 확인 한 후 지체없이 인증서를 취소하여야 합니다.
특히 효력정지의 경우, 인증기관은 가입자 등의 신원확인절차를 거치지 아니하기 때문에 이러한 효력정지사실을 가입자에게 즉시 통지해야 할 의무가 있는 것으로 해석되는데, 전자서명법에 의하면 인증서의 효력정지는 가입자 또는 그 대리인만이 신청할 수 있는 것으로 규정하고 있을 뿐이고, 그 신원확인에 관한 절차가 전혀 규정되어 있지 않으므로 각개 공인인증기관의 인증업무준칙에 따라 처리하되, 통지에 관한 위와 같은 해석은 그대로 유지되어야 할 것으로 보입니다.
다. 각종 공시 공개의무
인증업무준칙의 작성 및 공개의무, 인증취소목록의 작성, 공개 및 유지의무 그리고 신뢰할 만한 시스템을 사용할 의무, 재정구비의무, 자료보관의무등이 있습니다.
1) 가입자의 의무

2.1.3 가입자의 의무
2.1.3.1 정확한 정보제공
가입자는 법 제15조(인증서의 발급 등)에 따라 다음사항에 대하여는 정확한 정보를 등록대행기관과 결제원에 제공하여야 합니다. 아울러 등록대행기관 또는 결제원이 신원확인을 위하여 관련 서류를 요청하는 경우 가입자는 성실히 협조하여야 합니다.
-
인증서 발급 신청
-
인증서 효력정지 및 폐지 신청
-
인증서 효력회복 신청
-
가입자 정보 갱신 등
2.1.3.2 인증서의 합목적적 사용
가입자는 정당한 용도 및 제한(제한이따르는 경우)에 맞게 인증서를 사용하여야 합니다. 그리고 인증서를 사용하여 전자서명을 제공할 때에는, 당해 인증서에 포함된 전자서명검증정보에 합치하는 전자서명생성정보를 사용하여야 합니다.
2.1.3.3 전자서명생성정보의 보호
가입자는 법 제21조(전자서명생성정보의 관리)에 따라 신뢰할 수 있는 소프트웨어나 하드웨어를 이용하여 전자서명정보를 생성하며 생성된 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출되지 않도록 안전하게 보관ㆍ관리하여야 합니다.
가입자의 인증서가 만료되거나 폐지된 후, 또는 효력정지 기간 중에도 가입자가 전자서명생성정보를 보유하는 동안에는 전자서명생성정보를 안전하게 보관ㆍ관리하여야 하며 보유를 원치 않을 경우에는 저장된 모든 전자서명생성정보를 완전히 삭제하여야 합니다.
가입자의 전자서명생성정보 보호의무 위반으로 인한 결과의 책임은 전적으로 가입자에게 있습니다.
2.1.3.4 전자서명생성정보 안전조치
가입자는 법 제21조(전자서명생성정보의 관리)에 따라 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출되었거나 안전하지 않다고 인지하는 경우 지체없이 해당 등록대행기관에 관련사실을 통보하여 결제원이 당해 인증서를 폐지할 수 있도록 협조하여야 합니다.
2.1.3.5 결제원의 면책보장
가입자는 인증서 사용과 공개에 있어 다음의 사유로 인하여 발생되는 모든 책임과 비용에 대하여는 결제원의 면책을 보장합니다. 본 의무는 가입자의 공인인증서비스 신청을 접수한 때부터 시작되며 인증서 만료(폐지 포함)후 10년 동안 지속됩니다.
-
가입자가 그릇되게 제공한 정보
-
가입자가 태만 또는 고의로 제공하지 않은 변경된 정보
-
가입자의 전자서명생성정보 관리 부주의(정보 노출, 분실, 변조 등)
2.1.3.6 배상책임
가입자는 인증서 사용과 관련하여 가입자의 고의 또는 과실로 결제원 또는 이용자에게 손해를 입힌 경우 결제원 또는 이용자에게 그 손해를 배상해야 합니다.

가. 신뢰할 만한 시스템에 의하여 자신의 키조합을 생성할 의무
가입자는, 인증서에 사용될 키조합을 직접 생성해야 할 경우 인증기관과 마찬가지로 신뢰할 만한 시스템을 사용할 의무가 있습니다.
대부분의 경우 일반 사회에서 널리 쓰이는 하드웨어와 소프트웨어를 선택할 뿐, 자신이 각각의 시스템 구성요소를 선택하고 결정할 만한 능력을 가지고 있다고는 평가할 수 없기 때문에 인증기관의 신뢰할만한 시스템을 사용할 의무와 비교하여 다소 경감하여 해석할 여지가 있다고 생각합니다.
나. 진실한 정보제공의무
가입자는 자신의 신원확인을 위하여 인증기관에게 오직 진실한 정보만을 제공할 의무를 가집니다. 따라서 가입자는 인증서가 발급된 후, 인증기관에게 제출한 정보에 변경이 생겼을 경우나 정보제공 당시 의식하지 못하였던 오류를 발견하였을 경우에는 인증기관에게 즉시 고지함으로써 이를 정정할 의무가 있고, 또한 인증기관으로부터 발행된 인증서의 내용을 합리적인 노력으로 살피고 오류 등 잘못된 사항이 발견된 경우에는 인증기관에게 그 사실을 알려야 합니다.
다. 전자서명생성키의 통제의무
인증서의 유효기간 동안에 가입자는 자신의 전자서명생서키를 적절한 보안절차를 준수하여 보관하여야 하며, 이를 타인에게 전달하거나 아무런 권한이 없는 이로 하여금 사용하게 해서는 안될 전자서명생성키의 통제의무가 있다

다. 인증서의 효력정지 또는 취소를 요청할 의무
가입자는 어떠한 연유에 의하여서든 그가 보관하고 있는 전자서명생성키가 그 유효기간 내에 손상되었을 경우, 즉시 이러한 사유를 들어 인증기관에 인증서의 효력정지 또는 취소를 요청할 의무를 진다

2) 상대방의 의무부담
2.1.4 이용자의 의무
2.1.4.1 인증서의 사용목적 이해
이용자는 결제원이 가입자에게 발급한 인증서의 이용목적 및 이용가능 범위(제한 포함)를 이해하여야 합니다. 이용자의 과실로 인한 손해는 전적으로 이용자의 책임입니다.
2.1.4.2 인증서의 유효성 확인
이용자는 인증서를 사용하기 전에 다음의 사항을 확인하여 당해 인증서의 유효성을 반드시 확인하여야 합니다.
-
가입자 인증서의 유효기간, 이용범위(제한 포함), 용도 확인
-
가입자 인증서, 결제원 인증서, 전자서명인증관리센터 인증서 즉, 전자서명 인증관리 체계 상의 모든 인증서의 효력정지 및 폐지목록 확인
-
가입자 인증서, 결제원 인증서, 전자서명인증관리센터 인증서 즉, 전자서명 인증관리 체계 상의 모든 인증서의 전자서명 확인
2.1.4.3 배상책임
이용자는 인증서 사용과 관련하여 이용자의 고의 또는 과실로 결제원 또는 가입자에게 손해를 입힌 경우 결제원 또는 가입자에게 그 손해를 배상해야 합니다.

. 3. 인증기관의 손해배상책임
1) 전자서명법의 규정
제26조(배상책임) ①공인인증기관은 인증업무 수행과 관련하여 가입자 또는 공인인증서를 신뢰한 이용자에게 손해를 입힌 때에는 그 손해를 배상하여야 한다. 다만, 공인인증기관이 과실 없음을 입증하면 그 배상책임이 면제된다.②공인인증기관은 제1항의 규정에 따른 손해를 배상하기 위한 보험에 가입하여야 한다.[전문개정 2005.12.30] [[시행일 2006.7.1]]
구 법
제26조(배상책임) 공인인증기관은 인증업무수행과 관련하여 가입자 또는 공인인증서를 신뢰한 이용자에게 손해를 입힌 때에는 그 손해를 배상하여야 한다. 다만, 그 손해가 불가항력으로 인하여 발생한 경우에는 그 배상책임이 감경되고, 공인인증기관이 과실없음을 입증한 경우에는 그 배상책임이 면제된다.

의미 (개정내용과 향후 과제 에 대한 한국정보보호진흥원 보고자료)
종래 위 규정은 “공인인증기관은 인증업무 수행과 관련하여 가입자 또는 인증서를 신뢰한 이용자에게 손해를 입힌 때에는 그 손해를 배상하여야 한다. 다만 그 손해가 불가항력으로 인하여 발생한 경우에는 그 배상책임이 경감되고 공인인증기관이 과실 없음을 입증한 경우에는 그 배상책임이 면제된다”고 규정하여 과실책임을 기본으로 하되 가입자에 비하여 공인인증기관이 기술적으로 우월한 지위에 있고 실질적으로 배상책임과 관련된 정보를 독점하고 있다는 성격이 강한 점 등을 고려하여 공인인증기관이 손해 발생에 고의 과실이 없음을 입증하지 못하는 한 책임을 면 할 수 없도록 그 입증책임을 전환한 것으로 이해되었으나 공인인증기관이 불가항력이나 과실이 없는 경우에도 배상책임을 전가하는 것은 공인인증기관에 대한 책임전가 범위가 광범위함으로 관련규정을 정비할 필요가 있다는 주장이 학계 및 법제처 등에서 제기되어 이번 개정에 수용되어 과실책임주의로 개선되었습니다.
현재 공인인증업무와 관련된 손해배상책임을 담보하기 위해 대부분의 공인인증기관이 자발적으로 보험을 가입하고 있는데 이는 의무사항이 아니고 이를 강제할 수 있는 근거가 없으므로-공인인증시스템의 마비등의 사고발생시 공인인증기관과 이용자간의 불합리한 지위를 해소하기 위해 보험강제주의가 도입되었습니다.(제26조 2항)
이와 관련된 외국입법례를 보면 미국의 유타주 디지털서명법 제309조는 일정한 신뢰범위(손해배상의 상한)를 정한 내용으로 인증서상의 표시된 일정액을 초과하는 부분에 대하여 책임을 지지 않는다고 규정되어있고
싱가포르 전자거래법 제44조 및 제45조는 권장신뢰한도 및 허가된 인증기관에 대한 책임한계를 설정하여 인증서상의 권장신뢰한도를 초과하는 부분은 책임을 지지 않는다고 하고 있으며,
독일 전자서명법 제12조는 보험가입의무를 규정하여 손해를 배상할 법률상의 의무를 이행할 수 있는 상당한 보험에 가입할 의무를 규정하였고, 최저보험금액은 책임발생사유로 인한 손해당 25만 유로(3.3억원정도)를 책정하고 있습니다.
우리나라도 금번 보험가입규정(안) 검토시 최저보험금액규정을 신설하는 방안을 고려하였으나, 각 공인인증기관의 자율에 따라 보험금을 책정하도록 하는 방안이 채택되었습니다.
향후 공인인증서의 다양화에 따라 보험금의 최저,최대금액 책정에 대한 연구가 필요할 것으로 사료됩니다.
.
2) 전자서명법상 배상책임의 법적 성질
가. 인증기관의 배상책임이 채무불이행에 기한 책임인가, 불법행위에 기한 책임인가는 공인인증기관의 배상책임에 관한 본 조의 해석에 많은 영향을 주게 되는데, 이는 대륙법계 국가와 영미법계 국가를 막론하고 계약책임과 불법행위책임은 현대 사법에서 두 개의 책임체계를 구성하고 있을 뿐만 아니라, 그 각 책임은 그 근거와 요건 등에 관하여 얼마간 상이한 구조를 띄고 있기 때문입니다.
나. 본 조는, "공인인증기관은 … '가입자' 또는 '인증서를 신뢰한 이용자'에게 손해를 입힌 때에는" 그 손해를 배상하도록 규정되어 있다. 이에 비추어 보면, 일단 본 조는 가입자와 신뢰당사자(상대방)에 대한 공인인증기관의 배상책임을 함께 규정한 것이라고 보지 않을 수 없습니다. 그리고 위와 같은 공인인증기관의 책임에 관한 규정은 적어도 공인인증기관과 가입자의 계약관계에 있어서 만큼은 기본적으로 임의규정이라고 새기는 견해가 있지만 현재 다소 불분명하다고 볼수 있습니다. 그러나 임의 규정으로 보더라도 공인인증기관이 그 책임을 배제하려는 내용의 특약은 전 시간에 살펴본 바와 같이 인증업무의 약관성에 비추어 약관법에 따른 엄격한 편입 및 내용 통제에 따라야 할 것입니다.
또한 전자서명법의 적용대상이 아닌 비공인인증기관은 전자서명법 및 관련규정에서 정한 요건을 구비하지 못한 경우이거나, 요건을 구비하였다 하더라도 지정되지 아니한 인증기관을 말합니다. 이러한 비공인인증기관은 발행한 인증서를 신뢰한 제3자가 받은 불이익에 대하여 손해배상을 하여야 하는데 이때에는 민법상 불법행위법리에 따라 피해자는 가해자의 귀책사유를 입증하여야 할것입니다. 이는 관련법규에서 정한 요건을 구비하여 공인인증기관으로 지정된 인증기관에 대하여 비공인인증기관보다 더 무거운 책임을 지우는 것은 법리에 합치하지 않다고 할 수 있습니다.
3) 인증기관·가입자간의 책임

. 인증기관과 가입자간에 발생하는 각종 권리와 의무는 기본적으로 인증기관과 가입자 사이에 체결된 계약(인증업무준칙상의 각종 규정을 포함한다)에 의하여 발생하는 것이라고 볼 수 있다
따라서 원칙적으로 인증기관은 관련 법령과 인증업무준칙 그리고 당사자간의 계약상의 모든 요구사항을 이행하였다면, 가입자 혹은 기타 다른 사람에게 발생한 손해는 물론, 인증서와 전자서명 그리고 인증서상에 나타난 각종 정보에 대한 신뢰로 인하여 발생한 손해에 대하여 책임을 부담하지 않는 것이 원칙입니다. 유타주의 디지털서명법 제308조 제2항은 이를 명문으로 인정하고 있으며, 이와 같은 명문의 규정을 두고 있지 아니한 전자서명법의 해석에 있어서도 동일하게 이해하지 않을 수 없습니다.
한편, 만일 인증기관 또는 가입자가 자신의 의무를 이행하지 아니하였을 경우, 채무불이행으로 인한 피해당사자는 위 계약을 해지할 수 있을 것이고, 채무불이행자는 채무불이행에 의한 손해배상책임을 지게 된다. 다만, 논리적으로는 경우에 따라 채무불이행에 기한 손해배상청구권과 당사자 일방의 불법행위에 기한 손해배상청구권이 발생할 요건을 모두 갖추는 경우도 있을 것입니다.

4) 인증기관·신뢰당사자간의 책임
인증기관과 신뢰당사자(상대방) 또는 가입자와 신뢰당사자 사이에는, 인증기관과 가입자와의 경우와는 달리 인증업무와 관련하여 기본적으로 상호간에 이에 관한 채권·채무관계를 발생시킬 만한 계약이 체결된 바 없는 것이 일반이고, 따라서 이러한 관계에서 발생된 손해는 대부분 불법행위에 의한 손해배상책임으로서의 성질을 지니게 되며, 엄밀히 말해 신뢰당사자로서는 인증서의 유효성을 확인하기 위하여 인증취소목록을 확인할 의무를 부담하는 것은 아니며, 만일 신뢰당사자가 이러한 확인을 하지 아니하여 자신에게 어떠한 손해가 발생하였을 경우에는 전자거래 일반에서 거래자에게 요구되는 일정한 주의의무를 게을리한 것으로 판단되는 결과 과실상계의 법리에 따라 인증기관이나 가입자의 책임이 감면되는 효과를 가져올 뿐이라고 볼 수 있습니다.
5) 인증업무준칙상의 책임조항
2.2.1 보증 책임
결제원은 결제원이 발급한 인증서와 관련하여 다음의 내용을 보증합니다.
-
인증서에 포함된 내용은 결제원에 등록된 사실 (가입자의 발급신청 당시의 사실)임(신원확인)
-
가입자의 인증서는 법, 시행령, 시행규칙을 준수하며, 준칙에 따라 발급
-
인증서 효력정지 및 폐지목록 내용의 정확함
2.2.2 보증 제한
결제원은 법, 시행령, 시행규칙 및 본 준칙 "2.2.1 보증책임"에서 정한 사항 이외의 사항, 즉 가입자의 신용, 가입자 관련 정보의 불변성 등을 보증하지 않습니다.
2.2.3 배상 책임
결제원은 법 제26조(배상책임)에 따라 법, 시행령, 시행규칙 및 본 준칙의 규정을 위반하여 가입자 또는 인증서를 신뢰한 이용자에게 손해를 입힌 경우 손해배상 한도에서 그 손해를 배상합니다.
4. 인증기관의 책임제한 문제
인증기관의 민사책임에 관한 주된 논의는 인증기관이 부담하는 책임을 제한함으로써 인증기관에 대하여 무거운 민사책임을 묻지 않는다는 내용에 관한 검토입니다. 인증기관이 발생한 손해의 전부를 배상하는 것이 피해자구제를 위하여 필요한 것이지만, 지나치게 이를 고수할 경우에 인증기관이 책임의 중압에서 벗어나지 못하게 될 것입니다. 따라서 인증업무의 활성화와 이 분야의 기술개발을 꾀하기 위하여 손해배상의 제한이 적극적으로 고려되고 있습니다.
1) 유타주의 디지털서명법 제308조는 인증서상에 (그 인증서에 의하여 거래가능한) 가액의 제한이 있는 경우 인증기관과 가입자는 거래 상대방에 대하여 그 가액의 한도 내에서만 인증서(인증서의 유효성)를 신뢰하도록 권고하는 것이며, 인증기관의 책임도 그 액수를 초과하지 아니한다고 규정하고 있고, 유엔국제거래법위원회의 전자서명통일규칙초안 제12조 (2)항 또한 인증기관이 인증서의 사용목적 또는 유효한 거래가액을 제한하여 발행한 경우, 그러한 목적 이외의 용도로 인증서를 사용함으로써 발생한 손해나 그 제한가액을 초과한 손해에 대하여는 면책되도록 규정하고 있습니다.
이에서 더 나아가 일각에서는 인증기관에게 과다한 책임을 부여하는 것을 용인한다면 누구도 인증업무를 수행하는 것을 꺼려할 것이기 때문에, 이는 결국 막 도입기에 들어선 디지털서명제도의 존립에 커다란 위험이 될 것이라는 이유에서 인증기관의 책임이 지나치게 과다해지는 것을 방지할 필요성이 있다는 입법론적인 견해도 제기되고 있습니다.
그러나, 위에서 소개한 입법례와 같이 당사자의 의사에 따라 인증서상에 나타난 사용목적 또는 거래가 가능한 가액의 제한이 있는 경우에 그 범위 내에서만 인증기관이 책임을 지도록 하는 것은 인증업무의 효율성과 인증서의 신뢰성 확보차원에서 수긍할 만하다고 보여집니다. 여기서 주의하여야 할 것은, 이러한 경우라고 할지라도 신뢰당사자(상대방)의 법적 지위를 고려한다면 인증서의 사용목적, 가액에 관한 제한 내용은 일반인의 주의로서 쉽게 인지할 수 있는 상태에 있어야 하며, 가능하다면 인증서의 확인과정에서 신뢰당사자로 하여금 이러한 제한 사항들을 쉽게 인식할 수 있도록 하기 위한 디지털서명과 관련된 툴이 이용되어야 하겠습니다.
원론적인 입장에서 인증기관의 책임이 지나치게 과다해지는 것을 방지하는 방안을 모색하여야 한다는 견해는 자칫 가입자나 신뢰당사자에 비하여 경제적으로 우위에 있는 인증기관에게 자기책임의 원칙이 적용되지 않을 수도 있다는 불합리하고도 불공정한 결과가 야기될 우려가 있다는 점에서 선뜻 수긍하기 어렵고, 이러한 문제는 보험 등에 의하여 해결해 나가는 것이 바람직하다고 보인다.
5. 인증업무준칙상의 각종 특약의 효력
1) 인증업무준칙 중 상당 부분은 인증기관, 가입자간의 의무와 그에 따른 책임에 관한 특약의 성격을 갖는 내용들이 포함되어 있고, 그러한 성격의 규정들은 약관(또는 약관에 준한 것)으로서 취급되어야 함은 저번 시간에 발표한 바와 같습니다.. 이러한 경우 우리 나라 경우에는 약관의규제에관한법률(이하 '약관법'이라고 한다)이 적용될 것이어서 사업자인 인증기관은 인증에 관한 계약을 체결함에 있어 고객인 가입자에게 약관(인증업무준칙)의 내용을 계약의 종류에 따라 일반적으로 예상되는 방법으로 명시하고 가입자가 요구할 경우에는 당해 약관의 사본을 가입자에게 교부하여 이를 알 수 있도록 하여야 하며, 약관에 정하여져 있는 중요한 내용을 고객이 이해할 수 있도록 설명하여야 할 것입니다.(약관법 제3조 제1항, 제2항). 그리고 인증기관이 위와 같은 약관의 명시 및 설명의무를 위반하여 계약을 체결한 때에는 당해 약관을 계약의 내용으로 주장할 수 없게 된다(같은 조 제3항). 또한 경우에 따라서는 약관의 내용이 신의성실의 원칙에 반하여 공정을 잃은 조항, 가입자에게 부당하게 불리한 조항 등은 효력이 없게 될 것이다(제6조 이하).
또한 대부분의 공인인증기관들이 신원확인에 있어서 대면에 의한 방법을 실시하고 있기는 하나, 경우에 따라 이러한 인증업무준칙이 전자적인 형태로만 제시되는 때에는 특히 전자적 형태의 약관의 특성상 그 명시 및 설명방법에 있어서 Shrinkwrap이니 Clickwrap과 같은 논리전개가 필요할 것으로도 판단됩니다.
6. 인증업무 준칙상의 책임제한 조항
2.2.4 책임 제한
결제원은 결제원이 발급한 인증서 및 인증업무와 관련하여 발생하는 배상책임 이외의 것에 대해서는 책임을 지지 않습니다.
2.2.5 불가항력에 대한 면책
결제원은 법 제26조(배상책임)에 따라 전쟁, 천재지변 등 불가항력적인 사유로 인한 인증업무의 처리지연 또는 처리불능으로 인한 손해에 대해 배상책임이 경감되고, 공인인증기관이 과실 없음을 입증한 경우에는 책임을 지지 않습니다.
2.2.6 배상한도
결제원은 결제원이 발급하는 인증서의 종류의 구분 없이 인증서마다 연간 및 건당 25억원을 한도로 손해배상책임을 집니다.
인증서로 인해 발생되는 손해배상액은 민법 제398조(배상액의 예정)에 따라 결제원이 정한 배상한도를 초과하지 않습니다. 동 배상한도에는 가입자, 이용자 등 결제원이 발급, 관리, 폐지, 효력정지, 만료한 인증서와 관련한 모든 자가 입는 모든 손해가 포함됩니다.
배상한도를 초과하는 배상책임은 당사자간의 합의나 법원의 판결에 따릅니다 먼저, 공인인증기관의 손해배상 한도액의 설정에 관하여 보면, 공인인증기관이 인증업무와 관련되어 발생한 손해에 대하여 나름대로 배상한도를 설정하려는 것은 현재로서는 전혀 무의미한 시도라고는 할 수 없다고 생각된다. 그리고 작금의 인증서를 이용한 전자거래의 규모에 비추어 볼 때 공인인증기관에 의하여 제시된 배상한도액이 지나치게 부당하다고도 보이지 않는다. 다만, 궁극적으로 전자거래가 현실 세계의 거래를 상당 부분 대체하려는 장기적인 안목에서는 이와 같이 손해배상 한도액 측면에서 공인인증기관의 책임을 제한하려는 것은 전자서명을 이용한 전자거래의 활성화나 신뢰성 제고에 역행하는 방안이 아닌가 합니다. 게다가 이와 같이 배상한도를 설정한 인증업무준칙들은 한결 같이 배상한도를 초과하는 배상책임 부분에 대해서는 법원의 판결에 따르는 것으로 규정하고 있다. 법원에 의하여 인정되지 않을 수도 있음을 전제로 하는 배상한도액의 설정은 공인인증기관의 실질적인 책임이 배상한도액에 제한되지 않는다는 점을 스스로 자인하고 있는 셈은 아닐까. 생각건대, 앞으로는 공인인증기관의 배상책임의 한도를 설정하려는 시도 대신에 인증서의 사용목적·이용범위의 합리적인 설정과 적절한 이용료율의 적용, 그리고 그에 적합한 보험제도 등의 이용 방안으로 주안점이 옮겨가야 할 것으로 보입니다.