업계에서는 이번 개정 시도가 지난 전부개정 후 민간 인증서 확산 과정에서 완화된 신원인증 방식을 다시 강화하기 위한 게 아니냐는 관측을 내놓는다. 최근 공동인증서 부정발급 이슈가 불거지면서 비대면 인증서 발급방식의 대안을 모색해야 한다는 지적도 나온다.
━
"시행령·시행규칙만으로 개정가능 방안 검토하라"━
KISA는 제안 요청 내용에 "개정 시급성으로 인해 시행령·시행규칙만으로 개정이 가능하도록 검토할 것"을 명시했다. 통상적인 법 개정이 아닌 주무부처(과학기술정보통신부)의 결정으로 곧바로 법적 효력을 발생시킬 수 있는 시행령·시행규칙 개정 방식을 택했다는 점이 눈에 띈다. 법 개정을 정부 입법 방식으로 진행하려면 통상 짧아야 6개월에서 1년 또는 수년 이상이 걸리는 경우가 허다하다. 상대적으로 기간이 짧은 의원입법 형식을 택하더라도 마찬가지다. 반면 시행령이나 시행규칙 개정은 그보다 훨씬 짧은 시간이 소요된다. 국회 상임위원회의 심의·의결 및 본회의 일정을 거치지 않아도 되기 때문이다.
전자서명법 주무 부처인 과학기술정보통신부 관계자는 "전자서명 전반의 제도나 운영상 개선사항이 있는지 점검해보고 개선방안을 마련해보자는 차원일 뿐"이라며 "(시행령·시행규칙 개정 방식을 택한 데 대해서는) 제가 아는 한 긴급하게 개정할 사항이 없다"고 답했다. KISA 관계자 역시 "법이 개정된 지 3년쯤 지나면 당초 개정 취지대로 잘 이행되는지 점검해야 할 시기"라며 법이 아닌 시행령·시행규칙 개정 방식을 택한 데 대해 특별한 이유가 없다고 답했다.
━
업계 "비대면 신원확인 허점, 신뢰제고 필요"━
이 과정에서 완화된 것이 바로 인증서를 발급받는 이의 신원을 확인하는 방식에 대한 규제였다. 종전에는 발급을 원하는 본인이 신분증을 지참해 공인인증 등록대행기관(금융사 등)을 방문해야만 공인인증서를 발급받을 수 있었다. 개정 후에는 휴대폰 인증이나 계좌인증 등 비대면 방식으로도 신원확인이 가능해졌다. 문제는 디지털전환의 심화와 비대면 인증서 발급이 함께 할 때 발생한다. 인증서를 가진 사람이 본인인지 여부를 확인하는 방법은 느슨해진 반면 인증서와 신분증 등 일부 정보만 있으면 공공·민간의 모든 서비스에 무제한 접근할 수 있게 됐기 때문이다.
과기정통부와 KISA는 이번 개정 시도에 대해 애써 무덤덤하게 설명했지만 업계에서는 이번 개정이 비대면 발급의 허점을 보완하기 위한 시도라고 본다. KISA가 용역을 발주하며 공고한 '법·제도 개선을 위한 검토사항' 15가지 중 사업자들이 특히 관심을 기울이는 부분은 △신원확인 방안 마련을 통한 신원확인 기준 재정비 △인증사업자 수준 제고 등이다. 전자서명법 전부개정 후 인증서 부정발급에 대한 우려가 커진 데다 최근에 한국정보인증에서 실물 신분증 촬영본을 가지고 공동인증서를 부정발급해 이용한 사례가 확인되는 등 우려가 커졌다. 이에 인증제도 및 인증사업자에 대한 신뢰를 끌어올려야 할 필요가 커졌다는 것이다.
보안·인증 사업을 영위하는 A사 관계자는 "유럽의 eIDAS는 신원인증 기준에 따라 인증서의 등급을 나누고 인증서별로 접근가능한 서비스의 수준을 차등화하는 규정"이라며 "이번 KISA의 제안요청서에 나온 내용 중 eIDAS 등 해외 서비스 제도화 방안을 언급한 것을 보면 국내에서도 '신원확인 방법에 따른 인증서 등급화'를 고민할 필요가 있다"고 말했다.
또 다른 사업자 B사의 관계자는 "전자서명법이 전부개정된 2020년 당시에도 완화된 방식으로 발급된 인증서로 금융 등 중요도 높은 민감 서비스에 접근할 수 있도록 하는 게 맞냐는 불안이 컸다"며 "보안 우려가 크지만 이미 광범위하게 비대면 발급이 활용되는 만큼 시장 혼란이 커지지 않는 선에서 현명한 대안이 모색돼야 할 것"이라고 했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]