<전자서명 한개씩 갖자>(1)전자서명이란 무엇인가

관련 통계자료 다운로드 전자서명 이해도

 전자신문과 정보통신부, 한국정보보호진흥원(KISA)은 오는 10월 전자인증 확대실시를 앞두고 ‘생활속의 전자서명’ 캠페인(1인 1전자서명 갖기운동)을 오는 9월까지 대대적으로 펼친다. 전자상거래시 본인여부를 증명해주고 거래내용의 위·변조를 막을 수 있는 ‘전자서명’ 갖기운동을 통해 e비즈니스를 활성화시키고 디지털경제 시대의 국제경쟁력을 높이기 위해서다. 앞으로 전자서명 활성화를 위한 시범사업을 추진하는 동시에 전자서명인증 워크숍, 국제 심포지엄, 전자서명 이용 성공사례 세미나 등을 개최하고 전자서명 홍보책자 배포 등을 통해 대국민 인식제고에 적극 나설 예정이다. 특히 본지는 이번 캠페인 동안 전자서명의 기초부터 성공사례에 이르기까지 일반 국민들이 이해도를 높일 수 있는 내용과 함께 전자서명 활용분야, 국내외 현황비교 등을 매주 수요일 집중 보도할 계획이다.

 

 ‘유리는 부러진 칼 한 토막을 찾아 이것을 가지고 옥지·구추·도조 등 친구 3인과 더불어 길을 떠나 졸본에 이르러 부왕(주몽)을 만나 부러진 칼을 바치자, 왕은 가지고 있던 칼과 맞추어 한자루의 칼이 되는 것을 확인하고 크게 기뻐하며 유리를 아들로 인정하고 태자로 삼았다.’

 삼국사기에 나오는 고구려 2대왕인 유리왕 설화의 한 대목이다. 유리왕의 부친인 주몽이 부여를 떠나면서 칼을 부러뜨려 한 쪽은 아들과 부인에게 남겨두고 한쪽은 자신이 가지고 있다가 나중에 반쪽씩인 칼을 맞춤으로써 친자임을 확인했던 것이다.

◇전자서명이란 무엇인가

 전자서명의 원리도 이와 비슷하다.

 개정된 전자서명법에 의하면 비대칭 암호화기술을 응용한 공개키기반구조(PKI:Public Key Infrastructure)를 이용한 전자서명뿐만 아니라 지문인식·홍채인식 등 다양한 기술이 전자서명에 포함되고 있다. 그러나 현재 가장 광범위하게 사용되고 있는 전자서명은 PKI 기술을 이용한 것이다.

 이 기술에 따라 전자서명을 만들기 위해서는 공개키와 비밀키(개인키)가 필요하다. 두 키는 한 쌍의 열쇠와 같은 것으로 공개키는 인증기관을 통해 공개돼 있고, 비밀키는 이용자 자신만이 갖고 있는 유일한 키를 말한다.

 A가 자신만이 가지고 있는 비밀키를 이용해 B에게 전자우편이나 각종 전자문서를 전달할 때 전자서명을 첨부해 보내면, B는 인증기관에 보관돼 있는 A의 공개키를 읽어 들여 A의 전자서명을 검증하는 방식이다. 공개키(Public Key)를 활용했다는 데서 이같은 방식을 공개키기반구조(PKI)라고 부른다. 비밀키를 전자서명 생성키라고 하며, 공개키를 전자서명 검증키라고도 한다.

 이러한 PKI 방식의 전자서명에서 사용되는 키쌍은 ‘A-A´’나 ‘B-B´’처럼 대칭적인 구조가 아니라 비대칭 암호기술을 이용하기 때문에 누구나 알 수 있는 공개키만으로는 메시지를 위·변조할 수 없다. 즉, 대칭구조를 가진 관용키 방식의 암호화방식은 송수신자 양측에서 똑같은 비밀키를 공유하는데 반해 PKI방식은 암호화 키와 복호화 키가 서로 달라 완벽한 보안이 가능하다.

 요약하자면 PKI기반의 전자서명은 5가지 특징을 지닌다. 먼저 서명자의 신원을 확인시켜주는 신원확인 기능을 갖고 있다. 또 비밀키를 갖고 있는 사람만이 전자서명을 사용할 수 있으므로 전자서명 위조가 불가능하다. 문서의 내용에 대한 변경도 할 수 없다. 서명자는 서명행위 이후에 서명사실에 대한 부인을 할 수 없으며 특정 문서의 전자서명을 다른 전자문서의 서명으로 사용할 수도 없다.

 

 ◇사설인증과 공인인증

 전자서명은 인증기관에서 인증서 형태로 발급된다. 인증서는 지문을 찍어 동사무소의 확인을 받은 주민등록증이 본인의 신분을 보증해 주듯이 전자서명에 사용되는 개인의 전자적 정보를 인증기관이 인정해 주는 것이다.

 인증서는 국가가 지정한 공인인증기관에서 발급하는 공인인증서와 사설인증기관이 발급하는 사설인증서로 대별된다.

 그렇다면 공인인증서와 사설인증서의 차이점은 무엇일까. 가장 큰 차이점은 인증서를 발행해주는 주체가 일반 기업인가, 아니면 국가가 공인하는 기관 또는 기업인가 하는 점이다.

 우리나라는 지난 99년 전자서명법을 시행하면서 공인인증제를 도입, 주요 공공 업무에 대해 공인인증서를 사용하도록 추진하고 있다. 현재까지 정보통신부장관이 지정한 공인인증기관은 한국정보인증을 비롯해 한국증권전산·금융결제원·한국전산원·한국전자인증·한국무역정보통신 등 6곳이다. 공인인증기관이 발급한 인증서는 전자서명법에서 정한 바에 따라 엄격하게 관리되므로 신뢰도가 높다고 볼 수 있으며 법적 효력을 지니므로 법원에서 증거수단으로 사용할 수 있다.

 물론 은행이나 금융기관 등에서는 자체적으로 인증서를 발급하고 관리하는 사설인증시스템을 아직까지도 많이 이용하고 있으나 앞으로 전면 공인인증 시스템으로 전환될 예정이다.

 공인인증서는 공인인증기관간 상호연동이 실현되면 인터넷 뱅킹뿐만 아니라 자녀의 성적열람, 주민등록민원, 국세민원 등 다양한 전자정부서비스를 하나의 공인인증서로 이용할 수 있다는 점에서 특정 해당분야만 이용가능한 사설인증서에 비해 상당히 효율적이라고 할 수 있다. 또한 인증관련 사고가 발생할 경우 사설전자서명을 이용한 사람은 본인이 직접 인증기관의 책임임을 규명해야 손해배상을 받을 수 있지만, 공인전자서명을 이용하면 공인인증기관이 규명하므로 손해배상을 받기 쉽다. 사설인증서는 초기 구축비용이 들고 구축된 사이트에서만 제한적으로 사용할 수 있는 대신 인증서 발급비용이 없고 커스터마이징(customizing)이 가능하다.

 

 ◇어떻게 이용하나

 전자서명을 이용하기 위해서는 은행이나 증권회사 등 인터넷업무를 실시하는 해당 기관에 인증서 발급을 신청해야 한다. 전자서명은 오프라인상의 인감증명서와 같아서 처음 발급을 신청할 때에는 철저히 본인확인 절차를 거치게 된다.

 현재 인터넷뱅킹의 경우는 금융결제원의 인증서만 유효하고, 사이버트레이딩시에는 한국증권전산이 발급한 인증서만 통용돼 자신이 이용하려는 업무에 맞춰 따로따로 인증서 발급을 신청해야 한다. 그러나 오는 9월부터는 정부가 개정된 전자서명법에 따라 상호연동이 될 수 있도록 추진하고 있어 앞으로는 하나의 인증서만 받아도 여러가지 서비스를 이용할 수 있게 된다.

 고객이 인증서 등록기관(RA)인 은행창구나 증권사 창구에 전자서명 발급신청을 하면, 등록기관은 인증서 발급에 필요한 ID와 비밀번호를 고객에게 부여한다. 고객은 자신의 PC로 인증기관에 접속한 뒤 인증서 발급절차를 밟는다. 인증서의 생성은 인증기관이 제공한 프로그램에 의해 고객PC에서 이뤄지며 비밀키와 공개키의 쌍이 생성되면 비밀키를 제외한 인증서 정보를 공인인증기관으로 전송, 등록하게 된다.

 전자서명 공인인증서에는 고객의 성명과 발급기관·고유번호·유효기간·공개키 등 15종의 정보가 포함된다. 비밀키는 이용자 자신이 PC의 하드디스크드라이브나 스마트카드·플로피디스크 등에 보관, 인터넷뱅킹이나 사이버트레이딩 등 전자서명이 필요한 업무에 이용하면 된다.

 하지만 이 개인키가 노출되면 위험하므로 스마트카드나 플로피디스크 등에 안전하게 보관하는 것이 중요하다.

<박영하기자 yhpark@etnews.co.kr>



★관련 그래프/도표 보기