전자서명법
- 구분법령해설및심의(사)경과(저자 : 장호익)
-
등록일
2009-01-01
-
조회수
6,482
- 담당 부서
대변인실
전 자 서 명 법(법률 제5792호 1999. 2. 5. 공포, 7. 1.시행)
장 호 익
+------------------------------------
--------------------------------------+
| Ⅰ. 전자서명법의 입법배경 4. 공인인증기관 |
| Ⅱ. 전자서명법의 주요내용 및 심사의견 5. 인증서 |
| 1. 전자서명의 용어정의 6. 인증업무의 안전 및 신뢰성 확보를 |
| 2. 전자서명의 효력 위한 조치 |
| 3. 인증기관에 대한 이 법의 적용여부 7. 손해배상 |
+---------------------------------------------------------------------------------------+
Ⅰ. 전자서명법의 입법배경
정보화가 진전됨에 따라 커뮤니케이션의 주된 양태가 종이문서를 기초로 한 대인적·대면적인 방법에서 정보통신망을 매개로 하는 전자적인 방법으로 변화하고 있으며, 이와 같은 개방형 커뮤니케이션의 양태에서는 많은 사람이 보다 효율적으로 의사전달을 가능하게 한다는 장점이 있지만, 커뮤니케이션의 익명성이 늘어남에 따라, 상대방의 신원에 대한 확인절차가 더욱 어려워지는 문제점도 발생하게 되었고, 그에 따라 상대방의 신원에 대한 확인절차의 필요성이 더욱 부각되고 있는 바, 이러한 전자적인 커뮤니케이션의 경우 사회적인 접촉의 방식 자체가 기존의 대면접촉이 아닌 비대면원격접촉이기 때문에 대부분의 경우 기존의 서명(signature)이 불가능하게 된다.
이에 따라 기존의 서명의 목적에 부합하는 기능을 가지면서 동시에 전자적인 커뮤니케이션에 적합한 방법의 모색이 필요하게 되는데, 전자서명(digital signature)은 기술적으로 기존의 서명의 기능을 정보사회에서 대체하는 데에 적합한 기능을 수행 할 수 있다. 또한 최근 들어 전자거래가 정보사회에서의 주요한 이슈로 대두되고 있는데, 전자거래의 경우 현재까지는 기업간(business-to-business)의 거래 및 기업-정부간(business-to-government) 거래가 대부분을 차지하고 있어 거래상대방의 신원에 대한 확신이 어느 정도 존재하고, 기존의 상거래 양식이 적용될 수 있는 관계로 거래의 책임, 의무, 권리 등에 대한 상황이 당사자간에 암묵적으로 합의가 될 수 있었다. 그러나, 기업-소비자간(business- to-consumer) 전자거래가 본격화될 경우 사전적인 관계가 없는 상황에서 전자거래가 발생하게 되므로 당사자의 신원에 대한 불확실성은 더욱 높아질 것인 바, 이러한 문제를 해결하지 아니하고는 전자거래의 활성화를 이룰 수 없게 된다. 이에 정부에서는 전자문서의 안전과 신뢰성을 확보하고 그 이용을 활성화하기 위하여 전자서명이라는 새로운 수단에 대한 법적효력의 부여와 거래당사자의 신원을 인증하는 제3자인 공인인증기관의 관리 등에 관한 사항을 규정한 전자서명법을 제정하게 되었다.
전자서명법은 1998년 11월 26일 국회에 제출되었고 1999년 2월 5일 법률 제5792호로 공포되어 1999년 7월 1일부터 시행하게 된다.
Ⅱ. 전자서명법의 주요내용 및 심사의견
1. 전자서명의 용어정의
전자서명은 전자문서를 작성한 자의 신원과 전자문서의 변경여부를 확인할 수 있도록 비대칭암호화방식을 이용하여 전자서명생성키로 생성한 정보로서 당해 전자문서에 고유한 것을 말한다(법 제2조제2호).
정보통신부 원안에서는 "안전한 전자서명"으로 표현하여 기존의 법령에 규정되어 있는 "전자서명"과 구별되도록 하였는 바, 이 법에서의 "전자서명"은 영어로는 digital signature로서 비대칭암호화방식을 이용하지 아니하는 전자서명, 즉 수기서명을 스캐닝한 이미지, 키보도를 이용한 서명, 접근제어를 위한 비밀번호(password)등은 이 법에서 적용대상으로 하는 전자서명과 구별된다는 것을 명확히 부각시키자는 취지이었으나, 같은 용어를 쓰더라도 그 의미를 분명히 정의하면 문제가 없으므로 원안의 "안전한 전자서명"을 "전자서명"으로 수정하였다.
국회에서는 전자서명생성키로 생성한 것이 "전자문서"인지 "정보"인지가 명확하지 아니하다는 이유로 "전자서명생성키로 생성한 정보로서 당해 전자문서에 고유한 것"으로 수정하였다. 여기서 "비대칭 암호화방식"은 정보를 암호화하기 위하여 사용하는 키와 암호화된 정보를 복원하기 위하여 사용하는 키를 한 쌍으로 이용하는 암호화 방식으로서 한 쌍으로 되는 키 가운데 하나의 키 값을 알더라도 다른 키의 값을 알아내는 것이 불가능하다는 특징이 있다.
+-------------------------------+------------------------------+-----------------------------+
| 정보통신부원안 | 법제처 심사안 | 국회수정안 |
+-------------------------------+------------------------------+-----------------------------+
| "안전한 전자서명"이라 함은 | "전자서명"------------------ | "전자서명"----------------- |
| 전자문서를 작성한 자의 신원 | ---------------------------- | --------------------------- |
| 과 전자문서의 변경여부를 확 | ---------------------------- | --------------------------- |
| 인할 수 있도록 비대칭 암호화 | ---------------------------- | --------------------------- |
| 방식을 이용하여 작성자의 전자 | --------------------------이 | -------------------------이 |
| 서명생성키로 생성한 전자문서 | 용하여 전자서명생성키로 생성 | 용하여 전자서명생성키로 생성|
| 에 대한 고유한 정보를 말한다. | 한 전자문서에 대한 고유한 정 | 한 정보로서 당해 전자문서에 |
| | 보를 ---------------. | 고유한 것을 -------------. |
+-------------------------------+------------------------------+-----------------------------+
2. 전자서명의 효력
공인인증기관이 인증서에 포함된 전자서명검증키에 합치하는 전자서명생성키로 생성한 전자서명은 법령이 정한 서명 또는 기명날인으로 보고(법 제3조제1항), 전자서명이 있는 경우에는 당해 전자서명이 당해 전자서명의 명의자의 서명 또는 기명날인이고, 당해 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정된다(법 제3조제2항).
전자서명을 하고자 하는 자는 전자서명생성키와 전자서명검증키를 만들어 공인인증기관으로부터 자신의 전자서명검증키에 대한 인증을 받아야 하는데, 공인인증기관은 신청인의 신원을 확인한 후 전자서명검증키를 인증하는 인증서를 신청인에게 교부하게 되고, 그 인증받은 전자서명검증키에 대응하는 전자서명생성키로 생성한 전자서명에 대하여만 법적효력을 인정한다. 따라서, 공인인증기관이 아닌 인증기관의 인증을 받은 자가 행한 전자서명에 대하여는 아무런 법적효력이 인정되지 아니한다.
3. 인증기관에 대한 이 법의 적용여부
정보통신부 원안 제2조제7호(인증기관의 정의) 제5조(공인인증기관의 지정), 제16조(인증서의 효력정지), 제17조(인증서의 폐지), 제18조(인증관리체계 운영), 제21조(전자서명키의 관리), 제22조(인증업무의 기존관리) 및 제25조(개인정보보호)의 규정에 의하면 인증서 발급 및 관련업무를 취급하는 자를 인증기관으로 정의하고, 공인인증기관은 인증기관중에서 정보통신부장관이 지정하도록 하며, 인증기관이 발급한 인증서에 대한 효력정지 및 폐지의무를 부과하고, 인증기관이 발급한 인증서가 유효한지 여부를 누구든지 정보통신망을 통하여 항상 확인할 수 있도록 인증관리체계를 운영하도록 하며, 가입자의 전자서명키에 대한 관리 및 인증업무의 기록관리의무를 부과하고 있다.
그런데 인증기관이 행한 인증에 대하여는 법 제3조의 규정에 의한 법적효력을 인정받지 못하고 오로지 자신의 기술적능력과 대외적 신인도에 의존할 수 밖에 없는 바, 이와 같이 인증기관의 인증에 대하여 국가에서 법적효력을 인정하지 아니한다면, 구태여 인증기관에 대하여 각종 규제를 할 필요가 없을 뿐만 아니라 규제를 하는 것 자체가 불합리하다 할 것이다.
따라서 원안의 각 조항에 산재되어 있는 인증기관에 대한 규정을 삭제하고 오로지 공인인증기관에 대하여만 적용하도록 하였다. 그렇다고 하여 인증기관의 인증행위 자체를 금지하는 것은 물론 아니다.
4. 공인인증기관
가. 공인인증기관의 지정
정보통신부장관은 인증업무를 안전하고 신뢰성있게 수행할 능력이 있다고 인정되는 자를 공인인증기관으로 지정할 수 있고(법 제4조제1항), 임원이 결격사유에 해당하거나, 공인인증기관의 지정이 취소된 후 2년이 경과되지 아니한 경우에는 공인인증기관의 지정을 받을 수 없도록 하였다(법 제5조).
정보통신부 원안에서는 인증기관중에서 공인인증기관을 지정하도록 하였으나, 일정한 기술능력·재정능력 시설 및 장비 등을 갖춘 경우에는 비록 인증기관이 아니더라도 공인인증기관으로 지정받을 수 있도록 하는 것이 타당하므로 공인인증기관을 "인증기관중에서 지정하도록 한" 원안의 표현을 삭제하였고, 아울러 원안에서는 공인인증기관의 직원에 대하여도 결격사유를 적용하고자 하였는 바, 비록 공인인증기관의 업무가 고도의 공공성 및 윤리성을 띠고 있는 업무이기는 하나 그렇다고 하여 직원에 대하여까지 결격사유를 적용하는 것은 불합리하다할 것이므로 임원에 대하여만 결격사유를 적용하도록 수정하였고, 또한 원안에서는 결격사유로 벌금이상의 형의 선고를 받고 그 집행이 종료된 후 2년이 경과하지 아니한 자 등을 규정하고 있는데, 이 역시 결격사유를 너무 확대하여 헌법상 보장된 직업선택의 자유를 제한하는 문제점이 있어 이를 금고이상의 형으로 조정하였다.
나. 공인인증기관의 업무수행
공인인증기관은 정당한 사유없이 인증역무의 제공을 거부하여서는 아니되고 또한 가입자 또는 인증역무 이용자를 부당하게 차별하여서는 아니된다(법 제7조).
공인인증기관은 인증업무를 개시하기 전에 인증업무준칙을 작성하여 정보통신부장관에게 신고하도록 하고, 정보화촉진기본법 제14조의의 규정에 의하여 설립된 한국정보보호센타(이하 "보호센타"라 한다)로부터 자신의 전자서명검증키를 인증받아 그 전자서명검증키에 대응하는 전자서명생성키를 이용하여 인증업무를 수행하여야 한다(법 제6조 및 제8조).
다. 공인인증기관의 폐지·지정취소시의 가입자인증서 등의 인계
공인인증기관이 인증업무를 폐지하고자 하는 때에는 폐지하고자 하는 날의 60일전까지 이를 가입자에게 통보하고, 정보통신부장관에게 신고하여야 하며, 신고한 공인인증기관은 가입자의 인증서와 인증서의 효력정지 및 폐지에 관한 기록을 다른 공인인증기관에게 인계하여야 한다. 다만, 부득이한 사유로 인하여 가입자의 인증서 등의기록을 인계할 수 없는 경우에는 그 사실을 정보통신부장관에게 지체없이 신고하도록 하고, 신고를 받은 정보통신부장관은 보호센타에 대하여 가입자의 인증서등의기록을 인수하도록 명할 수 있도록 하였다. 이와같은 사항은 공인인증기관의 지정이 취소된 경우에는 이를 준용하도록 하였다(법 제10조제2항 내지 제4항, 제12조제2항 및 제3항).
또한, 공인인증기관은 가입자의 인증서와 인증업무에 관한 기록을 안전하게 보관·관리하여야 하고, 그 기록은 당해 인증서의 효력이 소멸된 날부터 10년동안 보관하여야 한다(법 제22조).
이 규정은 공인인증기관이 인증업무를 폐지하거나 공인인증기관의 지정이 취소되었다 하더라도 당해 공인인증기관이 발급한 인증서를 사용한 가입자의 권리관계에 분쟁이 발생할 경우에 대비하기 위한 것이다.
정보통신부의 원안에 의하면 공인인증기관이 인증업무를 폐지하거나 공인인증기관의 지정이 취소된 경우 인증업무를 다른 공인인증기관에 인계하도록 하고, 인증업무를 인계할 수 없는 경우에는 정보통신부장관에게 그 사실을 신고하고, 신고를 받은 정보통신부장관은 다른 공인인증기관 또는 보호센타에게 그 인증업무의 인수를 명할 수 있도록 하고 있다.
그러나, 공인인증기관이 인증업무를 폐지하고자 하는 경우 그 인증업무를 다른 공인인증기관에게 양도하거나, 양도할 의사가 없으면 스스로 인증업무를 폐지하면 될 것이지 반드시 다른 공인인증기관에게 인증업무를 인계할 필요는 없는 것이고, 다만, 인증업무의 권리관계에 대한 사후의 분쟁에 대비하기 위하여 인증서등의 기록만 인계하면 충분하므로 공인인증기관의 인증업무 폐지시 인증업무를 인계하도록 한 원안의 내용을 인증서등의 기록만을 인계하도록 수정하였다.
한편, 원안에서는 공인인증기관의 지정이 취소된 경우에도 다른 공인인증기관에게 인증업무를 인계할 수 있도록 하였으나, 허위 기타 부정한 방법으로 지정을 받거나 지정기준에 미달한다는 이유로 지정이 취소된 공인인증기관에 대하여 인증업무를 다른 공인인증기관에게 인계하도록 하는 것은 위법행위를 한 자에게 일종의 특혜를 부여하는 것으로써 이는 불합리하다 할 것이므로 공인인증기관의 지정이 취소된 경우에는 인증업무의 인계를 하지 못하고 다만 인증서등의 기록만 다른 공인인증기관에게 인계하도록 수정하였다.
+-----------------------------------------------+----------------------------------------------+
| 정보통신부 원안 | 법제처 수정안 |
+-----------------------------------------------+----------------------------------------------+
| 제11조(공인인증기관의 업무 휴지·폐지등) | 제11조(인증업무의 휴지·폐지등) ① (원안과 |
| ① (생 략 ) | 같음) |
| ②공인인증기관이 인증업무를 폐지하고자 하는 | ②------------------------------------------ |
| 때에는 폐지하고자 하는 날의 60일전까지 이를 | -------------------------------------------- |
| 가입자에게 통보하고 정보통신부장관에게 신고 | -------------------------------------------- |
| 하여야 한다. | -------------. |
| ③ 제2항의 규정에 의하여 인증업무를 폐지하고 | ③ 제2항의 규정에 의하여 신고한 공인인증기관 |
| 자 하는 공인인증기관은 다른 공인인증기관과 | 은 가입자의 인증서와 인증서의 효력정지 및 폐 |
| 협의하여 그 인증업무를 인계하여야 한다. | 지에 관한 기록(이하 "가입자인증서등"이라 한 |
| | 다)을 다른 공인인증기관에게 인계하여야 한다 |
| | 다만, 부득이한 사유로 인하여 가입자인증서등 |
| | 을 인계할 수 없는 경우에는 그 사실을 정보통 |
| | 신부장관에게 지체없이 신고하여야 한다. |
| ④공인인증기관이 제3항의 규정에 의하여 인증 | ④정보통신부장관은 제3항 단서의 규정에 의하 |
| 업무를 인계할 수 없는 경우에는 이를 정보통신 | 여 신고를 받은 때에는 보호센터에 대하여 당 |
| 부장관에게 신고하여야 한다. | 해 공인인증기관의 가입자인증서등을 인수하 |
| 이 경우 정보통신부장관은 다른 공인인증기관 | 도록 명할수 있다. |
| 또는 보호센터를 지정하여 당해 공인인증기관 | |
| 의 인증업무를 인수하도록 명할 수 있다. | |
| ⑤제4항의 규정에 의하여 인증업무의 인수명령 | |
| 을 받은 공인인증기관 또는 보호센터는 정당한 | |
| 사유가 없는 한 이를 이행하여야 한다. | |
| ⑥ (생 략) | ⑥(원안과 같음) |
| 제12조(공인인증기관의 업무중지 및 지정취소등) | 제12조(인증업무의 정지 및 지정취소 등) ① (원|
| ①·② (생 략) | 안과 같음) |
| ③ 제2항의 규정에 의하여 지정이 취소된 공인 | ② 제1항의 규정에 의하여 지정이 취소된 공인 |
| 인증기관은 다른 공인인증기관과 협의하여 그 | 인증기관은 가입자인증서등을 다른 공인인증기 |
| 인증업무를 인계하여야 한다. | 관에게 인계하여야 한다. 다만, 부득이한 사유 |
| ④ 공인인증기관이 제3항의 규정에 의하여 인 | 로 인하여 가입자인증서등을 인계할 수 없는 |
| 인증업무를 인계할 수 없는 경우에는 이를 정보 | 때에는 그 사실을 정보통신부장관에게 지체없 |
| 통신부장관에게 신고하여야 한다. 이 경우 정 | 이 신고하여야 한다. |
| 보통신부장관은 다른 공인인증기관 또는 보호 | ③ 제10조제4항의 규정은 취소된 공인인증기관 |
| 센터를 지정하여 당해 공인인증기관의 인증업 | 에 관하여 이를 준용한다. |
| 무를 인수하도록 명할 수 있다. | ④ (생 략) |
| ⑤ 제4항의 규정에 의하여 인증업무의 인수명 | |
| 령을 받은 공인인증기관 또는 보호센터는 정당 | |
| 한 사유가 없는 한 이를 이행하여야 한다. | |
+-----------------------------------------------+----------------------------------------------+
라. 과징금의 부과
정보통신부장관은 공인인증기관이 업무정지처분의 대상이 되는 행위를 하여 업무정지를 할 경우 가입자등에게 심한 불편을 주거나 기타 공익을 해할 우려가 있는 때에는 그 업무정지처분에 갈음하여 2천만원이하의 과징금을 부과할 수 있다(법 제13조).
정보통신부 원안에서는 없는 조항으로서 공인인증기관에 대하여 일반 공공의 편의를 위하여 사실상 업무정지를 명할 수 없는 사정을 고려하여 이 조항을 신설하였다.
5. 인증서
가. 인증서의 발급(법 제15조)
인증서라 함은 전자서명검증키가 자연인 또는 법인이 소유하는 전자서명생성키에 합치한다는 사실 등을 확인·증명하는 전자적 정보를 말한다(법 제2조제7호).
공인인증기관은 인증서를 발급받고자 하는 자에게 인증서를 발급하는데, 이 때 인증서의 이용범위 및 용도등을 고려하여 그 신원을 확인하여야 하고, 또한 신청인이 요청하는 경우에는 인증서의 이용범위 또는 용도를 제한하는 인증서를 발급할 수 있다.
인증서는 이를 사용하고자 하는 용도에 따라 신원확인의 정도를 달리할 필요가 있는 바, 예컨대 책을 전자거래로 살 때 필요한 인증서와 자동차와 같은 고가의 물건을 살 때 필요한 인증서를 발급하는 경우 후자의 경우에 있어서는 보다 세밀한 신원확인을 거칠 필요가 있다. 또한 공인인증기관은 인증서의 이용범위 및 용도, 이용된 기술의 안전과 신뢰성 등을 고려하여 인증서의 유효기간을 적정하게 정하여야 한다.
인증서에는 가입자의 이름, 가입자의 전자서명검증키, 가입자와 공인인증기관이 이용하는 전자서명 방식, 인증서의 일련번호, 인증서의 유효기간, 공인인증기관의 명칭, 인증서의 이용범위 또는 용도를 제한하는 경우 그에 관한 사항과 가입자가 제3자를 위한 대리권 등을 갖는 경우 그에 관한 사항이 포함되어 있다.
정보통신부 원안에서는 인증서에 포함되어야 할 내용은 제14조에 규정하고, 인증서의 발급절차 등에 관하여는 제15조제1항 내지 제3항에서 규정하면서 동조에는 인증서의 효력에 관한 사항도 함께 규정되어 있는 바, 인증서의 효력에 관한 조항은 중요한 의미를 가지는 조항이므로 인증서의 효력에 관한 조항은 별도의 조항(제16조)으로 하고, 제14조의 인증서의 효력에 관한 조항외의 조항과 제15조제1항 내지 제3항의 규정을 하나의 조항으로 통합하여 제15조에서 규정하도록 원안을 수정하였다.
+----------------------------------------------+-------------------------------------------------+
| 정보통신부 원안 | 법제처 수정안 |
+----------------------------------------------+-------------------------------------------------+
| 제14조(인증서의 내용) 보호센터 또는 공인인증 | 제15조(인증서의 발급 등) ① 공인인증기관은 |
| 기관이 발급하는 인증서에는 다음 사항을 포함 | 인증서를 발급받고자 하는 자에 대하여 인증서 |
| 하여야 한다. | 의 이용범위 및 용도 등을 고려하여 그 신원을 |
| 1. 전자서명키 소유자의 이름 | 확인하여야 한다. |
| 2. 전자서명검증키 | ② 공인인증기관이 발급하는 인증서에는 다음 |
| 3. 전자서명키 소유자와 인증서 발급자가 사용 | 각호의 사항이 포함되어야 한다. |
| 하는 전자서명 방식의 이름 | 1. 가입자의 이름 |
| 4. 인증서 일련번호 | 2. 가입자의 전자서명검증키 |
| 5. 인증서 유효기간 | 3. 가입자와 공인인증기관이 이용하는 전자서명 |
| 6. 인증서 발급자의 명칭 | 방식 |
| 7. 전자서명키의 사용범위 또는 용도를 제한하 | 4. 인증서의 일련번호 |
| 는 경우 이에 관한 사항 | 5. 인증서의 유효기간 |
| 8. 전자서명키 소유자가 제3자를 위한 대리권 | 6. 공인인증기관의 명칭 |
| 등을 갖는 경우 이에 관한 사항 | 7. 인증서의 이용범위 또는 용도를 제한하는 |
| | 경우 이에관한 사항 |
| | 8. 가입자가 제3자를 위한 대리권 등을 갖는 |
| | 경우 이에 관한 사항 |
| 제15조(인증서 발급등) ①공인인증기관은 전자서| ③ 공인인증기관이 인증서를 발급하는 때에는 |
| 명검증키에 대한 인증을 받기 위하여 공인인증 | 제8조제1항의 규정에 의하여 인증받은 전자서명|
| 기관에 가입을 신청하는 자에 대하여 인증서의 | 검증키에 대응하는 전자서명생성키를 이용하여 |
| 사용범위 및 용도 등을 고려하여 신뢰성있는 절 | 용하여 당해 인증서에 전자서명하여야 한다. |
| 차에 따라 그 신원을 확인하여야 한다. | ④ 공인인증기관은 인증서를 발급받고자 하는 |
| ② 공인인증기관은 가입자의 요구가 있는 경우 | 자의 신청이 있는 경우에는 인증서의 이용범위 |
| 에는 인증서의 사용범위 또는 용도를 제한하는 | 범위 또는 용도를 제한하는 인증서를 발급할 수|
| 인증서를 발급할 수 있다. | 있다. |
| ③ 공인인증기관은 인증서의 사용범위 및 용도, | ⑤ 공인인증기관은 인증서의 이용범위 및 용도, |
| 사용된 기술의안전·신뢰성등을 고려하여 인증 | 이용된 기술의 안전과 신뢰성 등을 고려하여 인|
| 서의 유효기간을 적정하게 정하여야 한다. | 증서의 유효기간을 적절하게 정하여야 한다. |
| ④ ∼ ⑤ (생 략) | |
+----------------------------------------------+-------------------------------------------------+
나. 인증서의 효력 등(법 제16조 내지 제18조)
공인인증기관이 발급한 인증서는 인증서의 유효기간이 경과한 경우, 공인인증기관의 지정이 취소된 경우, 인증서의 효력이 정지된 경우, 인증서가 폐지된 경우 및 보호센타가 공인인증기관에게 발급한 인증서가 폐지된 경우에는 그 날부터 효력이 소멸된다(법 제16조제1항).
또한 정보통신부장관은 인증업무의 안전과 신뢰성확보를 위하여 필요한 경우에는 공인인증기관이 인증업무를 휴지 또는 폐지하거나 인증업무가 정지된 공인인증기관이 발급한 인증서의 효력을 정지할 수 있고, 이 경우 보호센타로 하여금 인증관리체계에 의하여 누구든지 그 사실을 확인할 수 있도록 지체없이 필요한 조치를 취하여야 한다.
한편, 공인인증기관은 가입자 또는 그 대리인의 신청이 있는 경우에는 인증서의 효력을 정지하거나 정지된 인증서의 효력을 회복하여야 하는데, 이 경우 인증서의 효력회복의 신청은 인증서의 효력이 정지된 날부터 6월이내에 하도록 하였다(법 제17조). 또한 공인인증기관은 가입자 또는 그 대리인이 인증서의 폐지를 신청한 경우, 가입자의 전자서명생성키가 분실·훼손 또는 도난·유출된 사실을 인지한 경우 등의 경우에는 인증서를 폐지하여야 한다.
정보통신부 원안에서는 인증서의 효력이 정지되거나 폐지된 경우를 제외하고는 공인인증기관의 업무정지 또는 지정취소로 인하여 소멸되지 아니한다고 되어 있고, 다만, 정보통신부장관은 인증업무의 안전·신뢰성 확보를 위하여 필요한 경우에는 업무정지 또는 지정취소된 공인인증기관이 업무정지 또는 지정취소이전에 발급한 인증서에 대하여 그 효력을 정지할 수 있다고 규정하고 있으나, 공인인증기관이 지정취소된 경우 당연히 공인인증기관이 발급한 인증서의 효력을 소멸시키지 아니하는 것은 불합리하므로 공인인증기관의 지정이 취소된 경우에는 그가 발급한 인증서의 효력은 당연히 소멸되도록 수정하였고, 또한 정보통신부 원안에서는 공인인증기관이 인증업무를 휴지 또는 폐지한 경우 정보통신부장관이 인증업무의 안전·신뢰성 확보를 위하여 인증서의 효력을 정지시킬 수 있는 권한을 부여하고 있지 아니하나, 이 경우에도 인증업무의 안전과 신뢰성 확보를 위하여 인증서의 효력을 정지시킬 필요가 있으므로 이를 추가하였다.
한편, 정보통신부 원안에서는 인증서의 효력에 관한 조항을 따로 두지 아니하고 인증서의 발급조항(안 제15조제4항 및 제5항)과 인증서의 효력정지조항(안 제16조제4항 및 제5항)에 각각 규정되어 있는 바, 이를 통합하여 제16조에서 함께 규정하였다.
+----------------------------------------------+-------------------------------------------------+
| 정보통신부 원안 | 법제처 수정안 |
+----------------------------------------------+-------------------------------------------------+
| 제15조(인증서 발급등) ① ∼ ③ (생 략) | 제16조(인증서의 효력) ①공인인증기관이 발급한 |
| ④ 공인인증기관이 이 법에 따라 발급한 인증 | 인증서는 다음 각호의 1에 해당하는 사유가 발 |
| 서의 효력은 제16조의 규정에 의하여 인증서의 | 생한 경우에는 그 사유가 발생한 때에 그 효력 |
| 효력이 정지되거나 제17조의 규정에 의하여 인 | 소멸된다. |
| 증서가 폐지된 경우를 제외하고는 공인인증기 | 1. 인증서의 유효기간이 경과한 경우 |
| 관의 업무정지 또는 지정취소로 인하여 소멸되 | 2. 제12조제1항의 규정에 의하여공인인증기관 |
| 지 아니한다. | 의 지정이 취소된 경우 |
| ⑤ 인증서는 유효기간이 경과한 때에 그 효력 | 3. 제17조의 규정에 의하여 인증서의 효력이 |
| 이 소멸한다. | 정지된 경우 |
| 제16조(인증서의 효력 정지) ①인증기관은 다음 | 4. 제18조의 규정에 의하여 인증서가 폐지된 |
| 각호의 1의 경우에는 인정서의 효력을 정지하 | 경우 |
| 하여야 한다. | 5. 제21조제4항의 규정에 의하여 보호센터가 |
| 1. 가입자 또는 그 대리인의 요구가 있을 때 | 공인인증기관에 발급한 인증서가 폐지된 |
| 2. 인증업무의 안전·신뢰성 확보를 위하여 인 | 경우 |
| 증서의 효력을 정지할 필요가 있다고 인증 | ② 정보통신부장관은 인증업무의 안전과 신뢰성 |
| 기관이 판단한 때 | 확보를 위하여 필요한 경우에는 제10조의 규정에 |
| ② 인증기관은 제1항제1호의 규정에 의하여 인 | 의하여 인증업무를 휴지 또는 폐지하거나 제12조 |
| 증서의 효력정지를 요구한 자가 인증서의 효력 | 의 규정에 의하여 인증업무가 정지된 공인인증 |
| 을 회복하여 줄 것을 요구하거나 제1항제2호의 | 기관이 발급한 인증서의 효력을 정지할 수 있다. |
| 규정에 의한 인증서의 효력정지 사유가 소멸한 | |
| 때에는 그 인증서의 효력을 회복하여야 한다. | ③ 정보통신부장관은 제2항의 규정에 의하여 |
| ③ 인증기관이 제1항의 규정에 의하여 인증서 | 인증서의 효력을 정지한 때에는 보호센터로 하 |
| 의 효력을 정지하였거나 제2항의 규정에 의하 | 여금 인증관리체계에 의하여 누구든지 그 사실 |
| 여 인증서의 효력을 회복하였을 때에는 가입자 | 을 항상 확인할 수 있도록 지체없이 필요한 조 |
| 또는 대리인에게 인증서 효력정지 또는 효력회 | 치를 취하여야 한다. 제1항제2호의 규정에 의 |
| 복 사실을 통보하고 인증관리체계에 의하여 누 | 하여 인증서의 효력이 소멸된 경우에도 또한 |
| 구든지 그 사실을 항상 확인할 수 있도록 필요 | 같다. |
| 한 조치를 하여야 한다. | 제17조(인증서의 효력정지 등) ①공인인증기관은 |
| ④ 정보통신부장관은 인증업무의 안전·신뢰성 | 가입자 또는 그 대리인의 신청이 있는 겅우에 |
| 확보를 위하여 필요한 경우 제12조의 규정에 | 는 인증서의 효력을 정지하거나 정지된 인증서 |
| 의하여 업무정지 또는 지정취소된 공인인증기 | 의 효력을 회복하여야 한다. 이 경우 인증서 |
| 관이 업무정지 또는 지정취소 이전에 발급한 | 효력회복의 신청은 인증서의 효력이 정지된 날 |
| 인증서에 대하여 그 효력을 정지할 수 있다. | 부터 6월이내에 하여야 한다. |
| ⑤ 정보통신부장관은 제4항의 규정에 의하여 | ② 공인인증기관이 제1항의 규정에 의하여 인증서의|
| 인증서의 효력을 정지하였을 때에는 지정취소 | 효력을 정지하거나 회복한 경우에는 인증관리체계에|
| 된 공인인증기관의 인증업무를 인수한 공인인 | 의하여 누구든지 그 사실을 항상 확인할 수 있도록 |
| 증기관 또는 보호센터로 하여금 인증관리체계 | 지체없이 필요한 조치를 취하여야 한다. |
| 를 통하여 누구든지 그 사실을 확인할 수 있도 | |
| 록 하여야 한다. | |
| ⑥ 제1항의 규정에 의하여 효력이 정지된 인증 | |
| 서가 효력이 회복됨이 없이 6월이 경과한 때에 | |
| 는 그 인증서의 효력은 인증서를 정지한 날부터 | |
| 소멸한 것으로 본다. | |
+----------------------------------------------+-------------------------------------------------+
6. 인증업무의 안전 및 신뢰성 확보를 위한 조치
가. 인증관리체계의 운영(법 제19조)
인증관리체계란 인증서의 발급 및 인증관련 기록의 관리등 인증역무를 제공하기 위한 체계(법 제2조제10호)를 말하는 바, 공인인증기관은 자신이 발급한 인증서가 유효한지의 여부를 누구든지 정보통신망을 통하여 항상 확인할 수 있도록 인증관리체계를 안전하게 운영하여야 한다.
나. 전자서명생성키의 관리 등(법 제21조)
가입자는 자신의 전자서명생성키를 안전하게 보관·관리하여야 하며, 이를 분실 또는 훼손한 때에는 공인인증기관에 이에 관한 사항을 통보하여야 하고, 공인인증기관은 가입자의 신청이 있는 경우외에는 가입자의 전자서명생성키를 보관하여서는 아니되며, 가입자의 신청에 의하여 그의 전자서명생성키를 보관하는 경우에도 당해 가입자의 승낙없이 이를 이용하거나 유출하여서는 아니된다. 한편, 공인인증기관도 자신이 이용하는 전자서명생성키를 안전하게 보관·관리하여야 하고, 당해 전자서명생성키가 분실·훼손 또는 도난·유출된 때에는 보호센터에 지체없이 이에 관한 사항을 통보하고 인증업무의 안전과 신뢰성을 확보할 수 있는 대책을 강구하도록 하였다.
7. 손해배상
공인인증기관은 인증업무 수행과 관련하여 가입자 또는 인증서를 신뢰한 이용자에게 손해를 입힌 때에는 그 손해를 배상하되, 그 손해가 불가항력으로 인하여 발생한 경우 또는 그 손해의 발생이 이용자의 고의 또는 과실로 인한 경우에는 그 배상책임이 감경 또는 면제된다(법 제26조).
공인인증기관은 정보통신부장관의 지정을 받아 그 자격이 인정됨으로써 공인인증기관의 인증업무에 대하여 여타의 인증기관과는 달리 공적인 신뢰성을 부여한 것이므로 공인인증기관이 인증업무를 수행함에 있어 준수하여야 할 사항을 명시하고, 이를 위반하여 타인에게 손해를 입힌 경우에는 통상의 인증기관과는 다른 배상책임을 지도록 한 것이다.
이에 대하여 법제처 심사시 동 조항의 신설여부를 두고 관계부처와의 논의가 있었으나 사법상의 손해배상법리에 따르도록 하자는 취지에서 정부안에서는 손해배상 조항을 두지 아니하였으나, 국회에서 앞에서 언급한 바와 같은 이유로 이 조항을 신설하였다.
(사회문화법제국 법제관)
100%
