Day 16: 전자서명법

1. 전자서명법의 개요

1.1 전자서명법이란?

정식 명칭: 전자서명법

전자서명 및 인증업무에 관한 기본적인 사항을 정하여 전자서명의 안전성과 신뢰성을 확보하고, 그 이용을 활성화하여 국민생활의 편익을 증진하고 국민경제의 발전에 이바지하기 위한 법률

1.2 제정 배경 및 연혁

  • 1999년 2월 5일 제정: “전자서명법”
  • 2020년 12월 10일 전부 개정: 공인인증서 폐지, 전자서명 시장 개방
    • “공인전자서명” → “공동인증서"로 명칭 변경
    • 민간 인증서 활성화 (카카오, PASS 등)

1.3 전자서명의 필요성

전자문서의 문제점

  • 작성자 확인 곤란: 누가 작성했는지 알 수 없음
  • 위조·변조 우려: 쉽게 수정 가능
  • 부인 방지 어려움: “내가 작성하지 않았다"고 부인 가능

전자서명의 역할

전자서명은 종이 문서의 서명·날인과 동일한 효력:

  1. 본인 확인: 작성자가 누구인지 확인
  2. 무결성 보장: 문서가 변조되지 않았음을 보장
  3. 부인 방지: 나중에 부인할 수 없음

1.4 적용 범위

적용 대상

  • 전자서명을 생성·이용하는 모든 자
  • 전자서명 인증사업자 (공동인증서 발급기관 등)

2. 전자서명의 정의 및 유형

2.1 전자서명의 정의 (법 제2조 제2호)

전자서명: 전자문서를 작성한 자의 신원과 전자문서의 변경 여부를 확인할 수 있도록 비대칭 암호화 방식을 이용하여 전자문서에 첨부되거나 논리적으로 결합된 전자적 정보

핵심 요소:

  1. 비대칭 암호화 방식 (공개키 암호화)

    • 개인키 (Private Key): 본인만 보유, 서명 생성
    • 공개키 (Public Key): 모두에게 공개, 서명 검증

  2. 전자문서와 결합

2.2 전자서명의 유형

(1) 공동인증서 (구 공인인증서)

2020년 개정 전 “공인인증서”

발급 기관:

  • 금융결제원
  • 한국정보인증
  • 코스콤
  • 한국전자인증
  • 한국무역정보통신

특징:

  • 금융기관, 정부 기관에서 널리 사용
  • 범용 인증서: 은행, 증권, 보험, 전자정부 등 모두 사용 가능
  • PC에 설치하여 사용 (파일 형태)

(2) 민간 전자서명 (간편 인증)

2020년 개정 이후 활성화

주요 사업자:

  • 카카오: 카카오톡 인증
  • PASS: 통신 3사 공동 (SKT, KT, LG U+)
  • 네이버: 네이버 인증
  • KB모바일인증서
  • 토스 인증서

특징:

  • 간편함: 앱에서 생체인증 (지문, 얼굴) 또는 PIN으로 간단히 서명
  • 클라우드 방식: 여러 기기에서 사용 가능
  • 점유율 급증 (특히 금융 거래)

(3) 전자서명 방식 비교

구분공동인증서민간 전자서명
발급 기관공동인증기관 (금융결제원 등)민간 사업자 (카카오, PASS 등)
저장 방식파일 (PC, USB)클라우드
인증 방법인증서 비밀번호생체인증, PIN
유효 기간1년3년 (사업자마다 다름)
사용 편의성낮음 (복잡)높음 (간편)
보안 수준높음높음 (생체인증)
발급 비용유료 (4,400원)무료 또는 저렴

3. 전자서명의 법적 효력 (법 제3조)

3.1 전자서명의 효력

전자서명이 있는 전자문서는 다음을 부인할 수 없음:

  1. 서명자의 신원 확인

    • 해당 전자서명이 서명자의 것임을 확인

  2. 전자문서의 무결성

    • 전자문서가 서명 이후 변경되지 않았음을 확인

법적 효력 (법 제3조 제3항): 전자문서에 전자서명이 있는 경우, 서면 문서에 서명 또는 날인이 있는 것과 동일한 효력 인정

3.2 전자서명이 필요한 경우

법률상 서명·날인이 요구되는 경우

  • 계약서
  • 위임장
  • 동의서
  • 신청서
  • 금융 거래

전자서명이 있으면 종이 서명과 동일한 효력

4. 전자서명 인증 (법 제2조 제7호, 제8조)

4.1 전자서명 인증이란?

전자서명 인증: 전자서명이 진정한 서명자의 것임을 확인하고 이를 증명하는 행위

4.2 전자서명인증사업자

전자서명 인증 업무를 수행하는 자

주요 인증사업자:

  • 금융결제원 (공동인증서)
  • 한국정보인증 (공동인증서)
  • 카카오 (카카오톡 인증)
  • SKT, KT, LG U+ (PASS)

4.3 전자서명인증사업자의 의무

(1) 인증 업무 준칙 (법 제15조)

전자서명인증사업자는 인증 업무 준칙을 정하여 공시해야 함

준칙 포함 사항:

  • 전자서명 생성 정보의 생성 방법
  • 전자서명 검증 정보의 제공 방법
  • 전자서명인증서의 발급·관리 절차
  • 가입자 본인 확인 방법
  • 손해배상 책임 범위

(2) 안전성·신뢰성 확보 (법 제16조)

전자서명인증사업자는 전자서명의 안전성과 신뢰성을 확보하기 위한 조치를 해야 함

보호 조치:

  1. 개인키 보호

    • 개인키가 유출·도용되지 않도록 보호
    • HSM (Hardware Security Module) 등 활용

  2. 인증서 관리

    • 인증서 발급·폐기 관리
    • 인증서 유효성 확인 서비스 (CRL, OCSP)

  3. 정보보호

    • 정보보호 관리체계 (ISMS-P 등)
    • 침해사고 대응 체계

(3) 손해배상 책임 (법 제22조)

전자서명인증사업자의 고의 또는 과실로 이용자에게 손해를 입힌 경우 배상 책임

5. 전자서명 생성·검증 과정

5.1 전자서명 생성 (서명자)

[1단계] 전자문서 작성

[2단계] 전자문서를 해시 함수로 변환 → 해시값 생성

[3단계] 개인키로 해시값 암호화 → 전자서명 생성

[4단계] 전자문서 + 전자서명 전송

사용 기술:

  • 해시 함수: SHA-256, SHA-512 등
  • 암호화 알고리즘: RSA, ECDSA 등

5.2 전자서명 검증 (검증자)

[1단계] 전자문서 + 전자서명 수신

[2단계] 서명자의 공개키로 전자서명 복호화 → 해시값 추출

[3단계] 수신한 전자문서를 해시 함수로 변환 → 해시값 생성

[4단계] 두 해시값 비교
↓ 일치
[5단계] 서명 검증 성공 (문서 무결성 및 본인 확인)

결과:

  • 일치: 전자서명이 유효하고, 문서가 변조되지 않음
  • 불일치: 전자서명이 무효이거나, 문서가 변조됨

6. 전자서명인증서 (법 제2조 제9호)

6.1 전자서명인증서란?

전자서명인증서: 전자서명 검증 정보(공개키)와 그 소유자 정보를 전자서명인증사업자가 전자서명하여 발급한 전자적 정보

쉽게 말하면: “이 공개키는 홍길동의 것입니다"라고 인증사업자가 보증하는 전자 문서

6.2 인증서 포함 정보

  1. 소유자 정보: 이름, 주민등록번호(또는 일련번호)
  2. 공개키
  3. 발급자 정보: 전자서명인증사업자 이름
  4. 인증서 일련번호
  5. 유효 기간
  6. 발급자의 전자서명

6.3 인증서 발급 절차

[1단계] 이용자가 인증서 발급 신청

[2단계] 본인 확인 (신분증, 휴대폰 인증 등)

[3단계] 개인키·공개키 쌍 생성

[4단계] 인증사업자가 공개키에 전자서명하여 인증서 발급

[5단계] 인증서 + 개인키를 이용자에게 제공

6.4 인증서 폐기

인증서를 무효화하는 것

폐기 사유:

  • 개인키 분실·도난
  • 이용자 요청
  • 유효 기간 만료
  • 사망, 법인 해산

폐기 후:

  • 인증서 폐기 목록 (CRL) 또는 OCSP로 공개
  • 해당 인증서는 더 이상 사용 불가

7. 보안 컨설팅 관점의 시사점

7.1 전자서명 도입 컨설팅

도입이 필요한 경우

  • 전자 계약 시스템 구축
  • 전자 문서 결재 시스템
  • 전자 세금계산서
  • 전자 입찰
  • 온라인 금융 거래

도입 절차

  1. 요구사항 분석

    • 법적 요구사항 (전자서명 필수 여부)
    • 사용자 편의성
    • 보안 수준

  2. 전자서명 방식 선택

    • 공동인증서 vs 민간 전자서명
    • 사용자층, 사용 목적에 따라 결정

  3. 시스템 설계

    • 전자서명 API 연동
    • 인증서 저장·관리
    • 서명 검증 로직

  4. 구현 및 테스트

    • 전자서명 생성·검증 기능 구현
    • 보안 테스트

  5. 운영

    • 인증서 관리
    • 사고 대응

7.2 전자서명 관련 보안 조치

(1) 개인키 보호

가장 중요! 개인키가 유출되면 타인이 서명 위조 가능

보호 방법:

  • 암호화 저장: 개인키를 암호화하여 저장
  • 비밀번호 보호: 개인키 사용 시 비밀번호 입력
  • HSM 사용: 하드웨어 보안 모듈에 개인키 저장 (인증사업자)
  • 생체인증: 지문, 얼굴 인식 (민간 전자서명)

(2) 인증서 관리

  • 유효 기간 관리 (만료 전 갱신)
  • 분실·도난 시 즉시 폐기
  • 인증서 백업 (안전한 장소)

(3) 전자서명 검증

서명된 문서를 받았을 때 반드시 검증:

  • 서명이 유효한가?
  • 인증서가 폐기되지 않았는가?
  • 문서가 변조되지 않았는가?

7.3 전자서명 vs 기타 인증 수단

구분전자서명OTPSMS 인증생체인증
법적 효력있음 (서명과 동일)없음없음없음 (전자서명과 결합 시 가능)
본인 확인강함중간약함강함
무결성 보장있음없음없음없음
부인 방지가능불가불가불가
사용 목적전자 계약, 금융 거래금융 거래본인 확인기기 잠금, 간편 로그인

결론:

  • 법적 효력이 필요한 경우 → 전자서명
  • 간편한 본인 확인만 필요한 경우 → OTP, SMS, 생체인증

8. 실무 사례

사례 1: 전자 계약 시스템

상황: A기업이 협력업체와 계약을 전자 문서로 체결하고자 함

요구사항:

  • 법적 효력 있는 계약서
  • 계약서 위조·변조 방지
  • 편리한 사용

도입:

  1. 전자서명 방식 선택

    • 공동인증서 또는 민간 전자서명 (카카오, PASS)
    • 협력업체 대부분이 스마트폰 사용 → 민간 전자서명 선택

  2. 시스템 구축

    • 계약서 작성 시스템
    • 전자서명 API 연동 (카카오, PASS)
    • 서명 검증 기능

  3. 프로세스 [1단계] A기업이 계약서 작성

    [2단계] 협력업체에 전송

    [3단계] 협력업체가 카카오톡 등으로 전자서명

    [4단계] A기업도 전자서명

    [5단계] 계약 체결 완료 (양측 모두 서명)

결과:

  • 계약 체결 시간 단축 (3일 → 1시간)
  • 종이 비용 절감
  • 법적 효력 동일

사례 2: 금융 거래 (비대면 계좌 개설)

상황: B은행이 비대면 계좌 개설 서비스 제공

본인 확인 절차:

  1. 신분증 촬영 (OCR로 정보 추출)
  2. 얼굴 인식 (신분증 사진과 비교)
  3. 전자서명 (공동인증서 또는 민간 전자서명)

전자서명 역할:

  • 계좌 개설 신청서에 전자서명
  • 법적 효력 있는 신청으로 인정

사례 3: 전자 세금계산서

상황: C기업이 거래처에 전자 세금계산서 발행

법적 요구:

  • 전자 세금계산서는 전자서명 필수 (국세기본법)

발행 절차:

  1. 세금계산서 작성
  2. 공동인증서로 전자서명 (법인 인증서)
  3. 국세청 전송
  4. 거래처에 전송

전자서명 효과:

  • 세금계산서 위조·변조 방지
  • 국세청이 진위 확인 가능

사례 4: 전자 입찰

상황: 정부 조달 사이트(나라장터)에서 전자 입찰

전자서명 사용:

  • 입찰 서류 제출 시 공동인증서로 전자서명
  • 입찰 내용 위조·변조 방지
  • 입찰 참여 기업 본인 확인

9. 전자서명 관련 기술

9.1 공개키 암호화 (PKI: Public Key Infrastructure)

전자서명의 기반 기술

원리

  • 개인키 (비밀키): 본인만 보유, 서명 생성
  • 공개키: 모두에게 공개, 서명 검증

특징

  • 개인키로 암호화 → 공개키로 복호화
  • 공개키로 암호화 → 개인키로 복호화

9.2 해시 함수

전자문서를 고정된 길이의 값(해시값)으로 변환

특징:

  • 일방향: 해시값으로 원본 복원 불가
  • 고유성: 다른 문서는 다른 해시값
  • 민감성: 문서 1비트만 변경되어도 해시값 완전히 변경

사용 알고리즘:

  • SHA-256
  • SHA-512

9.3 인증서 검증 (CRL, OCSP)

CRL (Certificate Revocation List)

폐기된 인증서 목록

  • 인증사업자가 주기적으로 발행
  • 파일 다운로드하여 확인

OCSP (Online Certificate Status Protocol)

인증서 유효성을 실시간 조회

  • 인증사업자 서버에 실시간 질의
  • 응답: 유효 / 폐기 / 알 수 없음

OCSP가 CRL보다 실시간성이 우수

10. 자주 묻는 질문 (FAQ)

Q1. 공동인증서와 민간 전자서명(카카오, PASS) 중 무엇을 써야 하나요? A. 둘 다 법적 효력이 동일합니다. 사용 목적과 편의성에 따라 선택하시면 됩니다.

  • 정부 기관 업무가 많으면 → 공동인증서
  • 간편함 중시 → 민간 전자서명

Q2. 전자서명이 있으면 계약서를 종이로 출력할 필요 없나요? A. 네, 전자서명이 있는 전자 계약서는 종이 계약서와 동일한 효력이 있습니다. 종이 출력은 선택 사항입니다.

Q3. 개인키를 분실하면 어떻게 하나요? A. 즉시 인증사업자에 연락하여 인증서를 폐기하고, 새로 발급받으세요. 분실한 개인키로 타인이 서명할 위험이 있습니다.

Q4. 전자서명과 전자인증은 다른가요? A. 전자서명은 “서명"이고, 전자인증은 “서명이 진짜임을 증명"하는 것입니다. 보통 함께 사용됩니다.

Q5. 모든 계약에 전자서명이 필요한가요? A. 아니요. 법적으로 서명이 요구되지 않는 계약은 전자서명 없이도 유효합니다. 다만, 분쟁 방지를 위해 전자서명을 권장합니다.

11. 체크리스트

  • 우리 서비스에서 전자서명이 필요한 업무가 있는가?
  • 사용할 전자서명 방식을 선택했는가? (공동인증서 vs 민간)
  • 전자서명 API를 시스템에 연동했는가?
  • 서명 검증 기능이 구현되어 있는가?
  • 개인키를 안전하게 보호하는가?
  • 인증서 유효 기간을 관리하는가?
  • 인증서 폐기 절차가 마련되어 있는가?
  • 전자서명된 문서를 안전하게 보관하는가?
  • 이용자에게 전자서명 사용법을 안내하는가?

학습 정리

오늘 학습한 핵심 내용:

  • 전자서명법은 전자서명의 안전성과 신뢰성을 확보하는 법률
  • 전자서명 = 서명자 확인 + 문서 무결성 보장 + 부인 방지
  • 공동인증서(구 공인인증서)와 민간 전자서명(카카오, PASS 등) 모두 법적 효력 동일
  • 2020년 개정으로 공인인증서 독점 폐지, 민간 전자서명 시장 개방
  • 전자서명 = 개인키로 서명 생성 → 공개키로 검증
  • 개인키 보호가 가장 중요 (유출 시 위조 가능)
  • 전자서명인증사업자는 안전성·신뢰성 확보 의무
  • 전자 계약, 전자 세금계산서, 금융 거래 등에 필수

다음 학습 주제

Day 17: 위치정보의 보호 및 이용 등에 관한 법률