공인인증서 폐지 후 전자서명인증업무평가는 회계법인과 정보보호제품 평가기관이 수행할 전망이다.
과학기술정보통신부는 3월 말 '전자서명법' 전부개정안을 마련해 의견 수렴을 시작했다. 개정안은 공인인증 제도와 관련 규제를 폐지하고 민간 전문기관을 통해 전자서명인증 업무 평가제를 도입한다는 내용이 골자다.
공인인증서 폐지와 함께 공인인증기관도 사라진다. 새로운 인증기관이 자유롭게 시장에 진입한다. 과학기술정보통신부는 전자서명 신뢰성을 높이고 이용자가 합리적으로 선택할 정보 제공을 위해 전자서명인증업무 평가제를 도입한다. 일반 국민이나 기업이 신규 전자서명인증사업자 중 어디를 믿고 선택해야 하는지 기준을 제시한다.
평가기관은 회계법인과 보안제품 국제공통기준(CC)평가기관이 유력하다. 민간 평가기관은 전자서명 인증 사업자가 운영기준을 준수했는지 여부를 확인한다. 증명서를 발급 받은 전자서명인증사업자는 과학기술정보통신부령에 따라 운영기준을 준수한다고 표시한다.
회계법인은 국제 웹트러스트(WebTrust) 인증을 받기 위한 감사 기관으로 활동했다. 웹트러스트는 회계법인 감사를 거친 기관이나 기업 인증서를 신뢰하면 인증마크를 준다. 국내도 이와 같은 형태로 평가제가 운영될 것으로 보인다.
증명서를 받은 전자서명인증사업자는 업무 종류, 수행방법, 이용 요금과 범위 등이 포함된 전자서명인증업무준칙을 작성 후 게시하고 준수한다. 전자서명인증업무를 중단하거나 끝내는 경우 가입자에게 사전 통보해야 한다.
기존 공인인증기관은 전자서명법 개정 후 1년간 평가가 유예된다. 과학기술정보통신부는 기존에 기술, 자본, 인력, 설비 등 기준을 통과한 사업자를 공인인증기관으로 지정했다.
신규 전자서명인증사업자는 평가받지 않아도 사업은 할 수 있다. 평가가 법적 의무 사항은 아니지만 시장 자율 규제로 작용할 전망이다.
과기정통부 관계자는 “평가 신청은 자유”라면서 “평가기준을 준수하고 있는지에 대한 최소한 관리”라고 설명했다. 이어 “웹트러스트 인증처럼 평가 받은 기업에 마크를 부여한다”면서 “인증 업무 준칙 게시와 인증서 폐지 절차 등을 점검한다”고 말했다.
전자서명법 개정안에 대해 5월 9일까지 통합입법예고센터에 의견을 제출할 수 있다. 이후 입법예고, 규제 심사, 법제처 심사, 국회, 국무회의를 거쳐 개정될 예정이다.
김인순 보안 전문기자 insoon@etnews.com
