KISA와 미래부는 “외국도 정부 주도 공인인증 제도를 운영한다”면서, 캘리포니아 주가 그렇다고 주장합니다.
사실은 전혀 다릅니다. 캘리포니아 주 전자서명 규정은,
- 사적 당사자들 간의 전자거래에 대해서는 어떤 규정도 없습니다. 전면 자율입니다.
- 오직 “캘리포니아 주 공공기관과의 서명된 교신(digitally signed communication with public entities in California)”에 한하여, 주 정부가 관리하는 “허용된 인증기관 목록”에 포함된 인증기관이 발급한 인증서를 사용해야 한다는 규정이 있지만,
- 그러한 인증기관은 반드시 미국회계사협회가 정한 보안감사기준(SAS 70)에 따라, 독립적이고 전문적인 제3자(민간 보안감사 업체)로부터 정기적으로 검증받도록 규정하고 있고,
- 미국회계사협회 기준 외에도, 국내/국외에서 인정받는 인증업무수행기준(WebTrust 기준, ETSI기준, ISO 기준 등을 말함)에 따라 독립적, 전문적 보안 감사를 민간 보안감사 업체로부터 정기적으로 받으면, 주 정부가 관리하는 “허용된 인증기관 목록”에 포함될 수 있도록 규정합니다.
즉, (1)인증기관의 업무수행기준을 ‘정부’가 정하는 것도 아니고, (2)인증기관이 그 기준을 준수하는지 여부를 ‘정부’가 검사, 감독하는 것도 아니며, (3)미국 국내 기준 뿐 아니라, 국제적 기준에 따른 보안감사도 당연히 인정하며, (4) 국적에 따른 어떤 차별도 없고, (5) 여러개의 루트인증기관들이 (보안감사만 제대로 받는다면) 자유롭게 영업할 수 있는 체제입니다.
따라서, 정부가 인증기관을 ‘지정’하거나 ‘감독’하는 것이 아닙니다. (1)민간 보안감사 업체가, (2)민간 전문가 집단이 제정, 관리하는 보안감사 기준에 따라, (3)민간 인증기관을 정기적으로 감사(실사)하고, “적합”의견을 주면, (4)주 정부는 ‘의무적으로’ 그런 인증기관을 “허용된 인증기관 목록”에 반드시 등재해야 하도록 하고 있습니다. (The Secretary of State shall place Certification Authorities on the “Approved List of Certification Authorities” …)
첨부파일 참조 바랍니다.
Full text는 http://www.sos.ca.gov/digsig/digital-signature-regulations.htm 에 있습니다.
누구로부터도 검증받지 아니하는 KISA를 ‘유일한’ 최상위인증기관이라고 못박아 놓고, “무조건 믿으라”는 한국의 전자서명법은, 제가 알기로는, 세계에 유례가 없는 듣보잡 제도입니다. “외국도 그렇게 한다”는 KISA와 미래부의 주장은 사실이 아닙니다.
최재천 의원이 발의하는 전자서명법 개정안은 캘리포니아 주 전자서명 규정을 참조하고 반영한 것입니다.
관련 글:
https://opennet.or.kr/2740 [보도자료] 이종걸, 최재천 의원 전자금융거래법, 전자서명법 개정법률안 발의
https://opennet.or.kr/1789 공인인증서 FAQ
https://opennet.or.kr/2864 공인인증서 진실게임
https://opennet.or.kr/2938 공인인증서의 ‘보안 수준’?
0 Comments
Trackbacks/Pingbacks