해외 전자서명 및 인증 제도
[Digital Identity Report] Chapter 2
'Digital Identity Report' 두 번째 챕터는 해외 전자서명 및 인증 제도에 대한 내용입니다.
미국, 유럽, 중국의 국가별 전자서명에 대한 법적 기준과 접근방식, 각 국가별 전자서명과 인증제도의 활용 방향성에 대한 내용을 정리하였습니다. 미국은 모든 서명이 동일한 법적 효력을 가지며 기술 중립적 접근 방식을 취하고 있습니다. 유럽은 공통 규범을 통한 유럽 내 디지털 단일 시장 형성을 위한 전자인증법, 중국은 온라인 비즈니스를 중심으로 전자서명 및 디지털 인증 확대하는 경향을 보입니다.
# 미국
- 모든 서명이 동일한 법적 효력 발휘
역사적으로 미국의 전자서명(Electronic Signature)은 UETA(Uniform Electronic Transaction Act, 통일전자거래법(1999))와 E-Sign Act(2000)의 영향을 받고 있으며, 상거래에서 전자 기록 및 전사 서명을 위한 법적 환경이 강화되었습니다. UETA와 E-Sign은 전자 기록∙서명이 기존의 종이문서, 수기 서명과 동일한 법적 효과를 가진다는 입장을 가집니다[1].
현재 48개 주와 워싱턴 DC, 푸에르토 리코, 미국령 버진 아일랜드가 UETA 형식을 채택했고, 뉴욕과 일리노이주는 자체 전자 서명법을 가지고 있습니다[2]. 전자 서명에 대해서는 개방형으로 기술 중립적 접근 방식을 취하고 있으며, 연방법에서 디지털 인증서 또는 기타 방식으로 법적으로 집행 가능한 전자 서명에 특정 기술을 사용하도록 요구하지는 않습니다[1].
캘리포니아주는 수기∙전자∙디지털 서명 모두 동일한 법적 지위를 부여합니다. 전자서명(E-Signature)은 기록∙계약의 진위여부 및 처리 절차를 위해 사용되며 여기에는 이메일, 패스워드, 핸드폰으로 보내지는 개인 식별번호(Personal Identification Number, PIN) 번호 등을 포함합니다. 디지털 서명(Digital Signature)은 인증서 기반의 서명자의 신원을 확인하기 위한 것입니다. 디지털 서명에는 승인된 인증기관(CA)으로 부터 발급된 인증서를 사용합니다[3].
캘리포니아 주는 규정집(California Code of Regulation)에 사적∙공공기관과의 거래시 디지털 서명 관련 사항에 대한 기준을 마련하였습니다. 금융을 포함한 개인 당사자들 간의 전자거래는 전면 자율로 별도 규정이 없으며, 공공기관과의 거래에서는 허가된 인증기관이 발행한 인증서를 사용할 것을 규정하고 있습니다. 공공기관일 경우 사용되는 디지털 서명에는 공개키 기반 구조(Public Key Infrastructure, PKI) 외에도 동적 서명(Signature Dynamics, 수기서명 형태의) 방식도 지정하는 등 PKI에만 한정하지는 않습니다. 디지털 서명 규정 22004조에 따르면 위에 언급된 공개키 기반 구조, 동적 서명 외에도 신규 개발된 적정 기술이 신뢰성과 안전성을 갖추면 디지털 서명으로 지정될 수 있도록 규정하고 있습니다[3].
# 유럽
- 유럽 내 공통 규범을 통한 디지털 단일 시장 형성을 위한 전자인증 규정
2014년 EC(유럽연합 집행위원회)는 eIDAS* 규정을 채택하여 전자서명을 계약서 서명 등과 같은 법적 구속력이 있는 거래에 사용하고 누구나 신원을 검증(Verify) 할 수 있도록 하였습니다. eID는 전자신원확인(Electronic Identification)의 약자로 온라인 상에서 개인(유럽 시민)과 기업이 신원을 증명할 수 있는 전자 신분증을 의미합니다. 유럽 회원국 간 공공 서비스 인증을 위해 사용되는 전자 식별 수단의 회원국 간의 호환성을 강화하기 위한 목적을 가집니다.
* eIDAS: electronic IDentification, Authentication and trust Services)
eIDAS는 유럽연합 회원국의 전자인증에 대한 포괄적인 의무를 규제하기보다는, 공공서비스 영역에 한하여 역내 상호인정을 규정하여 회원국의 인증서비스의 호환성을 증진시키기 위한 목적을 가집니다. '전자서명 입법 지침'의 경우 입법형식이 지침(Directive)이기 때문에 권고만 가능할 뿐 법적 효력은 없으나, EU전자 인증규정은 각 회원국의 국내법으로서 법적 효력을 가집니다.
eIDAS는 일반 전자서명(Basic Lectronic Signature), 고급 전자서명(Advanced Electronic Signature), 적격 전자서명(Qualified Electronic Signature)의 3가지 유형으로 구분됩니다[7].
•일반 전자서명: 서명자가 수락 또는 승인의 형태로 문서에 적용할 수 있는 전자 형식의 서명으로, 스캔한 서명 이미지 또는 웹 사이트의 "동의함"버튼 클릭으로 가능함. DocuSign 등의 전자 서명이 포함됨
•고급 전자서명: 더 높은 수준의 서명자 ID 확인과 보안∙변조 씰링을 제공하는 특정 요구사항을 충족하는 유형. 서명자와 유일하게 연결되어야하며, 서명자 식별, 서명자만이 제어할 수 있는 서명 데이터의 생성, 데이터의 후속 변경 사항을 감지할 수 있도록 서명 데이터와 연결되는 특징을 가짐
•적격 전자서명: EU 회원국에서 특별한 법적 지위를 갖는 유일한 전자 서명 유형으로, 서면 서명과 법적으로 동등한 효력을 가짐. 이는 고급 전자 서명 요구 사항을 충족해야 하며 적격 인증서로 뒷받침되어야 하는 특정 유형의 전자 서명 방식임. EU 회원국에서 인증한 TSP(Trusted Service Providers)가 발행한 인증서를 의미하며, TSP는 서명자의 신원을 확인하고 결과 서명의 신뢰성을 보증해야 함
전자 서명은 전자적 형태로 되어 있거나 적격한 전자서명 요건을 충족하지 않더라도, 법적인 절차에서 법적 효력 및 증거 능력이 인정됩니다. 이것은 서명 방법의 안전성이나 신뢰성 등 서명의 형태와는 무관하게 모든 전자서명의 법적인 효력을 인정하는 ‘EU 전자서명지침(1999)’의 기본 원칙을 그대로 따르는 것입니다.
적격 전자서명은 수기 서명과 동등한 법적 효력을 가지며, 한 회원국에서 발행된 적격 인증서에 기반한 적격 전자 서명은 다른 모든 회원국에서 적격 전자 서명으로 인정됩니다. 이전 버전과 마찬가지로 eIDAS 규정은 기술 중립적이나, 전자서명에 대해 유럽위원회에서 권장하는 기술 표준에 따라 인증된 TSP는 eIDAS를 '준수'하는 것으로 간주됩니다.
※ 유럽 파트 내용에 대한 레퍼런스: [4][5][6]
# 중국
- 온라인 비즈니스 중심으로 전자서명 및 디지털 인증 확대
중국의 전자서명에 관한 주요 법률은 2004년 처음 발표된 중화 인민 공화국의 전자 서명법으로, 온라인 상업 비즈니스 중심으로 전자서명 사용이 증가하고 있습니다. 전자 서명법은 단순 전자서명과 제3자의 인증이 필요한 전자 서명을 모두 포함하는 "전자 서명"이라는 용어를 사용합니다.
전자 서명은 메시지에 포함된 전자 형식의 데이터를 말하며 서명자의 신원을 식별하고 서명자가 내용을 승인함을 나타내기 위한 것으로, 데이터 메시지에는 전자, 광학, 자기 또는 유사한 수단에 의해 생성, 전송, 수신 또는 저장되는 정보를 의미합니다.
신뢰할 수 있는 전자서명은 다음의 요건을 충족하며, 해당 요건을 충족한 전자서명은 수기 서명 또는 날인과 동등한 법적 효력을 가집니다.
•전자 서명 제작 데이터를 전자 서명에 사용하는 경우 해당 서명자를 인식해야 함
•전자서명 생성 데이터는 전자 서명자에 의해서만 통제됨
•서명 후 전자 서명의 변경 사항을 발견할 수 있음
•서명 후 데이터 메시지의 내용 및 형식에 대한 변경 사항을 발견할 수 있음
중국의 전자 서명법은 전자서명이 제3자에 의해 인증되어야 하는 경우를 별도로 지정하지는 않습니다. 실제 전자서명이 자체적으로 확인될 수 있는 경우(생체인식이 포함된 경우)에는 별도 인증이 필요 없습니다. 전자서명에 제3자 인증이 필요한 경우에는 법적으로 설립된 전자인증 서비스 제공자의 인증 서비스를 사용해야 하며, 전자인증 서비스 제공자는 다음 조건을 충족해야 합니다.
•기업 법인, 전문 기술인력 및 관리 인력, 적합한 자금 및 사업장 보유, 국가 안전 표준을 충족하는 기술 및 장비 보유, 국가 암호 관리 기관이 암호 사용에 동의한 인증서 등
※ 중국 파트 내용에 대한 레퍼런스: [8][9][10][11]
Kakao Insight Report: Digital Identity
Chapter 1. 신분증 제도의 시작과 국내외 관련 역사
Chapter 3. 국가별 모바일 신분증명 정책 및 사례
Chapter 5. 기존 신분증의 한계: 디지털 환경으로의 전환
Chapter 6. 안전한 디지털 신분증을 위한 안내서
Chapter 8. 카카오 디지털 신분증: 인증, 증명, 서명
[References]
[1] https://www.docusign.com/how-it-works/legality/global/united-states
[2] https://news.bloomberglaw.com/us-law-week/wet-ink-signatures-requirements-may-fade-after-coronavirus
[3] https://www.sos.ca.gov/administration/regulations/current-regulations/technology/digital-signatures
[4] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG
[5] https://eidas2018.eu/
[6] https://www.enisa.europa.eu/publications/eidas-overview-on-the-implementation-and-uptake-of-trust-services
[7] https://www.docusign.co.uk/learn/eidas-regulation-primer
[8] http://www.moj.gov.cn/Department/content/2019-06/11/592_236651.html
[9] http://www.gov.cn/bumenfuwu/2015-07/29/content_2904735.htm
[10] https://www.docusign.com/how-it-works/legality/global/china
[11] https://helpx.adobe.com/sign/using/legality-china.html
