공인인증서 폐지로 전자서명 인증 사업에 대한 관심이 쏠리고 있지만, 전자서명 인증사업자 지위를 얻은 사업자가 전무한 것으로 나타났다.
21년간 사용해 왔던 공인인증서는 지난해 12월 10일 폐지됐다. 공인인증서의 명칭이 ‘공동인증서’로 바뀌었고, 유일한 신원 확인 서비스로 누렸던 독점적 지위가 사라졌다. 공동인증서는 여태 전자서명 서비스로 활용되고 있지만, 불필요한 플러그인과 ActiveX(액티브X)를 설치하지 않아도 활용할 수 있는 전자서명들이 속속 도입되고 있다.
다만 전자서명 서비스를 제공하기 위한 전자서명 인증사업자 지위를 얻은 사업자가 아직 한 곳도 없다. 현재 전자서명 서비스를 제공하는 사업자는 정식 지위를 얻은 게 아니라 시범사업자의 지위에 해당한다. 임시로 해당 서비스를 할 수 있도록 권한이 부여된 것.
박창열 한국인터넷진흥원(KISA) 차세대암호인증팀 팀장은 “현재 3개 평가기관이 전자서명 인증사업자 평가를 진행 중이고, 최소 6개월 정도가 소요되는 만큼 하반기쯤이 돼야 최초 인정을 받은 사업자가 나오지 않을까 싶다”라고 설명했다.
현재 본인확인 기관이면서 전자서명 인증사업자로 인정을 받은 사례는 구 공인인증기관들에 해당한다. 개정된 전자서명법 부칙 제4조에 따르면 종전에 지정된 공인인증기관은 개정안에 따른 평가 및 인정 절차를 거치지 않아도 1년간 운영기준 준수 사실의 인정을 받은 전자서명 인증사업자로 간주한다.
지난해 5월 통과된 전자서명법 개정안에 따르면 전자서명 인증사업자는 평가기관의 인정을 받아야 한다. 운영기준 준수 사실의 인정을 위한 평가를 신청하고, 평가기관인 TTAㆍ금융보안원ㆍ딜로이트(안진회계법인)의 운영기준 준수 여부 평가를 통해 관련 내용을 인정받는다. 이후 인정기관인 KISA가 인정 여부를 결정하고 증명서를 교부하는 방식이다.
전자서명 인증사업자가 주민등록번호를 수집하고 이용하려면 본인확인기관 지정을 받아야 한다. 지난 3월 전자서명 인증사업을 준비하던 네이버ㆍ카카오ㆍ토스는 모두 방송통신위원회 본인확인기관 심사에서 탈락했다. 대체수단 소유자와 실제 이용자 간 동일성 여부를 식별하기 어렵기 때문이다.
본인확인기관 심사를 받지 않아도 전자서명 인증사업자는 본인확인기관으로부터 연계정보(CI)를 받아 처리할 수 있다. 가입자 신원확인을 연계정보를 통해 처리하고 전자서명 서비스를 제공할 수 있다는 것이다.
하지만 연계정보 또한 민주사회를 위한 변호사모임 디지털정보위원회, 진보네트워크센터, 정보인권연구소 등 시민사회단체가 헌법상 기본권을 침해하고 있다는 이유로 지난 3월 헌법소원을 제기한 상태다. 연계정보 활용이 위헌으로 판단될 경우 본인확인기관에 해당하지 못한 전자서명 사업자들은 서비스를 제공할 길이 사라지는 셈이다.