보안위험 초래하는 액티브X 설치 관행, ‘관치 보안’ 13년 체제 종식
민주당 이종걸, 최재천 의원이 공인인증제도를 폐지하는 내용 등을 담은 전자금융거래법과 전자서명법 개정안을 대표발의한다.
전자금융거래법 개정안, 공인인증서 강요 근거 조항 개정
국회 정무위원회 소속 이종걸 의원이 대표발의하는 전자금융거래법 개정안은 지난 10여년간 금융위원회가 공인인증서 사용을 강요하는 근거로 오용돼왔던 현행 제21조 제3항을 개정한다. 개정안은 금융위원회가 금융회사 등에게 특정 기술이나 서비스 사용을 강요할 수 없고 인증 및 보안 기술의 공정한 경쟁을 저해해서는 안 된다는 점을 명문화하고 있다.
그동안 금융규제 당국이 보안기술에 개입해 공인인증서 사용을 강요하면서 국내 보안기술은 90년대 수준의 낙후된 상태에 머물게 됐고, IT산업 전반의 국제경쟁력을 저해해왔다. 뿐만 아니라 이용자가 이해하지 못하는 추가 프로그램을 컴퓨터에 설치하도록 강요함으로써 국내 보안상황이 전반적으로 열악해지는 결과가 초래됐다.
이종걸 의원은 “전자금융거래법 개정을 통해 금융회사가 보안 기술을 선택하도록 규정하는 현행법 제6조의 의미가 보다 분명해지고, 앞으로는 한국의 금융규제 당국도 OECD 회원국이 준수해야 하는 전자금융 위험관리 원칙에 따라서 금융규제 업무를 기술 중립적으로 수행하도록 확보하는 효과를 거둘 것”이라고 전망했다.
전자서명법 개정안, 정부가 인증기관 지정하지 못하도록 규정
국회 미래창조과학방송통신위원회 소속 최재천 의원이 대표발의하는 전자서명법 개정안은 현행 전자서명법을 전면 개정하여 정부 주도의 공인인증제도를 폐지하고, 최상위 인증기관에 대한 검증제도를 도입하는 내용을 담고 있다. 개정안에 따르면, 정부는 인증업무수행의 근본원칙만을 정하고 인증기관 업무의 안전성과 신뢰성은 전문성을 가진 독립적 검증기관이 검증하게 된다.
정부의 권위에 의존하는 현행 ‘국가공인’인증제도는 국경을 넘어 국제적으로 작동하는 인터넷의 기본 전제에 어긋날 뿐 아니라, 세계로부터 고립되어 있다. 전자서명법 개정안은 국내 인증기관들도 국제적으로 통용되는 기준에 따라 안전성과 신뢰성을 검증받도록 규정하며, 이미 그러한 검증을 거친 인증기관은 국내에서 차별 없이 인증 서비스를 제공할 수 있도록 했다.
최재천 의원은 “이번 전자서명법 및 전자금융거래법 개정안은 그동안 한국 IT산업을 고립시키고 제약해 온 ‘공인인증서’와 ‘관치 보안’의 족쇄를 깰 수 있을 것”이라며 “이를 통해 국내 IT산업 진흥, 보안 기술의 선진화와 일자리 창출에 기여할 것”으로 전망했다.
김기창 고려대 법학전문대학원 교수는 “기술진보의 속도가 빠른 IT산업 분야에서 정부가 특정 기술이나 특정 서비스를 사용하도록 강요하거나 제도적으로 지원할 경우, 새로운 기술의 등장이나 기술 혁신을 저해하게 된다”면서 “무선인터넷 프로그램규격 WIPI를 정부가 강요(2005-2009)하다가 국내 IT산업에 적지 않은 타격을 가하게 된 사례를 봐도 알 수 있다”고 말했다.
한편 이종걸·최재천 의원과 사단법인 오픈넷은 오는 23일(목) 오후 4~6시 국회의원회관 제2세미나실에서 ‘전자서명법·전자금융거래법 개정안 공청회’를 열 계획이다.
+++++++++++++++++++++++
전자금융거래법 일부개정법률안(이종걸 의원 대표발의)
법안제안 상세이유
전자금융거래법 개정법률안(신구조문 대비표) (이종걸 의원 대표발의)
현행 | 개정안 |
---|---|
제21조(안전성의 확보의무) ① (생략) | 제21조(안전성의 확보의무) ①(현행과 같음) |
② 금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다. | ②(현행과 같음) – – – – – – – – – |
③금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 「전자서명법」 제2조 제8호의 공인인증서의 사용 등 인증방법에 대하여 필요한 기준을 정할 수 있다. | ③금융위원회는 전 항의 기준을 정함에 있어서 보안기술과 인증기술의 공정한 경쟁을 저해하거나, 특정기술 또는 서비스의 사용을 강제하여서는 아니된다. |
.
+++++++++++++++++++++++
전자서명법 전부개정법률안(최재천 의원 대표발의)
법안제안 상세이유
관련 글:
https://opennet.or.kr/1789 공인인증서 FAQ
https://opennet.or.kr/2864 공인인증서 진실게임
https://opennet.or.kr/2908 캘리포니아 주 전자서명 규정
https://opennet.or.kr/2938 공인인증서의 ‘보안 수준’?
전자서명법 전부개정법률안에대한 의견입니다.
제2조 (정의) 단계의 내용들을 살펴보면
전자서명은 거래당사자간의 서명만을 전제하고 있는듯 합니다.
전자서명이 부인방지를 위해서 사용되는 경우라면
신뢰할 수 있는 제3자에 의한 전자서명 개념이 포함될 수 있는지
“제2조 (정의)” 항목의 용어를 검토하고 필요시 수정하는것도 제안드립니다.
“전자서명은 부인방지 효력이 있다”는 생각은 기술인력이 법률을 몰라서 생긴 잘못된 발상입니다.
이른바 ‘부인방지’의 전제 요건은 (1)개인키가 유저에게 유일하게 귀속할 것, (2)서명시점에 유저가 자신의 개인키를 배타적으로 지배, 관리하고 있었을 것, 이 두 요건이 충족되었다는 점이 ‘먼저’ 입증되어야 합니다. 하지만 이것을 모두 입증하기는 거의 불가능합니다.
쉽게 말하자면, ‘서명자(서명을 실제로 한 자)’는 부인하지 못하겠지만, 과연 *누가* ‘서명자’였는지는 입증이 불가능합니다.
개정안에는 전자서명의 추정력 규정(현행법 제3조 제2항)이 아예 없습니다.
오프라인에서 당사자가 직접한 육필 서명도 현행법에서는 단순한 ‘증거자료’에 불과합니다. 이 증거 자료를 믿을지 말지는 법관의 ‘자유심증’에 따르는 것입니다. 전자서명이라고 해서 육필서명에도 인정되지 않는 ‘법정 추정력’을 부여할 이유는 없습니다. 전자서명이 무슨 ‘획기적’이고 ‘신통한’ 기술이라고 열광했던 90년대에는 그런 ‘법정 추정력’ 규정까지 두고 호들갑을 떨었지만, 이제 그런 ‘오바’는 잘못된 것이라는 점을 담담히 인정하고, 법관의 판단에 맡기는 것이 옳습니다.
전자서명이라고 해서 다른 증거자료가 누리지 못하는 어떤 특별한 증명력/추정력을 누려서는 안됩니다.