2020년 5월, 국회에서 전자서명이 개정되면서 기존 공인인증서의 독점적인 지위가 폐지됐다. 이로 인해 공인·사설 인증서 차별이 없어져 전자서명 시장에서 자율경쟁이 촉진됐고 블록체인, 생체인증 등 다양한 신기술을 활용한 전자서명 서비스의 시작을 알리는 중요한 분기점이 되었다.
현재 전자서명은 금융권에서의 비대면 계좌 개설, 온라인 대출 신청 등에 주로 활용되고 있으며 부동산, 교육, 의료 등의 분야에서도 활발하게 활용되고 있다. 또 업무현장에서도 비대면 업무방식이 자리잡게 되면서 전자계약, 전자서명에 대한 관심이 증가하고 있다. 이와 관련된 다양한 서비스가 출시되면서 디지털문서의 활용이 확산되고 있다는 측면에서 바람직한 현상이라고 생각한다.
하지만 실제 고객들과 서비스사업자는 전자계약, 전자서명, 디지털서명 등의 용어를 혼용하고 있어 이에 대한 개념 및 정의에 대한 이해가 필요할 것으로 판단된다.
먼저 전자계약(e-contract)은 종이 대신 전자문서의 형태로 체결되는 계약이다. 계약은 둘 이상의 당사자간에 이뤄지는 법적 구속력이 있는 합의이며, 이때 해당 계약서에 본인의 의사를 확인하는 행위를 서명 또는 날인으로 이해하면 될 것이다.
전자서명(e-signature)은 전자문서에 전자적 방식으로 의사표현을 기록하는 것으로, 세계 각국에서는 그 방식과 형태에 따라 법적효력을 부여하고 있으며 금융, 공공 등 다양한 비즈니스분야에서 사용되고 있다. 미국, 유럽의 관련 규정에는 보안수준, 기술방식, 사용처에 따라 전자서명사용에 대한 기준을 제시하고 있다.
디지털 서명(digital signature)은 전자서명의 진화된 형태로 문서의 무결성을 검증하기 위한 암호화 기술을 추가한 구조를 가지고 있다. 이를 통해 서명자의 신원, 서명시각, 서명위치 등의 정보를 기록하고 이에 대한 유효성 검증을 통해 진위성, 무결성, 부인 방지, 위·변조 방지가 가능하다. 단 모든 서명행위가 디지털 서명일 필요는 없다. 계약 및 업무의 유형에 따라 보안성과 안전성을 강화할 필요가 있는 경우 디지털 서명 기반의 전자서명을 사용할 수 있는데 유럽연합(EU)의 eIDAS 규정에서는 전자서명의 등급을 단순(SES), 고급(AES), 적격(QES)으로 구분하고 있는데 디지털서명은 QES에 해당한다. QES등급 서명의 경우, 전자서명 키(key)를 하드웨어보안장비인 HSM에서 생성, 보관, 연동해 사용하도록 규정하고 있으므로 보안성이 매우 높은편이다.
전자서명법 개정 이후 전자서명이 보편화 되면서 다양한 서비스가 출시됐고 이를 사용할 기회가 많아지고 있다. 관련된 시장 역시 계속 성장하고 있다.
하지만 전자서명을 고려하는 경우 편의성 뿐만 아니라 안전성, 신뢰성 그리고 보안성이 중요하다. 특히, 스캔된 서명이미지 등으로 진행하는 전자서명은 은 원본성, 진위성, 무결성, 부인 방지, 위·변조 방지가 확보되지 않아 향후 다양한 위험요소를 내포하고 있다. 즉 업무에서 요구하는 수준에 맞는 전자서명기술을 명확하게 이해하는 노력이 필요하고 이를 토대로 기관 및 조직에서 필요한 수준을 균형있게 고려한 전자서명 서비스를 도입해야 한다는 점을 명심해야 한다.
전귀선 한국기업보안 대표 jgs@korsec.co.kr