* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

출처: 본 자료는 과학기술정보통신부 보도자료를 참고 했습니다. 

12월 10일, 공인전자서명제도 폐지

내년부터 연말정산간소화 등 주요 공공웹사이트 민간전자서명 적용

금융분야도 안전하고 편리한 민간 전자서명 도입 추진

 

정부는 전자서명법 개정안이 오늘(12.10) 시행되어 21년간 지속되어 온 공인전자서명 제도가 폐지됨에 따라 공인인증서도 여러 가지 민간 인증서 중 하나가 된다고 밝혔다.

이에 따라 과학기술정보통신부(장관 최기영, 이하 과기정통부), 행정안전부(장관 진영), 금융위원회(위원장 은성수)편리하고 안전한 민간 전자서명서비스의 개발을 촉진하는 한편, 공공, 금융 등 분야에 민간 전자서명서비스의 도입이 확산될 수 있도록 협력을 강화해 나갈 계획이라고 밝혔다.

공인전자서명제도 폐지 정책 발표(’18.1) 이후, 다양하고 편리한 민간 전자서명서비스의 이용이 확산되고 있다.

일반적으로 정책 발표 이후에 시행까지는 대략 2-3년이 걸린다. 18년도 발표 후 20년 12월에 시행이 되니 딱 3년이 걸렸다. 정부정책을 파악을 했다면 그 사이에는 준비과정이 필요하다. 이미 민간에서는 보도자료처럼 전자서비스 이용이 확산돼 사용되고 있었다. 그리고, 어느 시점에 정책 시행을 하게 된다. 

이는 갑작스런 혼란을 줄이고 정책과 제도 정착이 경착륙 할 수 있도록 하기 위함이고, 국민들의 불편을 최소화 하기 위함이다.

o 공공, 금융 분야 등 기존에 공인인증서를 사용하고 있었던 500개 웹사이트에서 현재 이용되고 있는 전자서명을 확인해 본 결과, 기존 공인인증서 이외에도 간편한 가입발급 절차, PIN생체패턴 등 편리한 인증방식, 편리한 인증서 보관이용 등이 가능한 민간 전자서명(7)점차 도입되고 있었다.

카카오페이(카카오페이, ’17.6월 출시), 뱅크사인(은행연합회,’18.8), 토스(비바리퍼블리카, ’18.11), PASS(통신3, ’19.4), 네이버(네이버,’19.6), KB스타뱅킹(KB국민은행, ’19.7), 페이코(NHN페이코, ’20.9)

o 아울러, 기존 공인인증기관도 브라우저 인증서, 클라우드 인증서를 출시하여 국민의 이용 편의를 높이는 방향으로 전자서명서비스를 개선하고 있었다.

브라우저인증서(금융결제원), 클라우드인증서(한국전자인증) : ActiveX, 보안프로그램 설치 없이 클라우드에 인증서를 발급받아 언제 어디서나 간편하게 이용

이용자 중심 주의로 변화 됨을 느낄 수 있다. 과거 기술은 클라이언트 액티브엑스 사용으로 정보보안에 대한 부담을 클라이언트에게 부과했다. 그러다보니 이용자 컴퓨터는 점점 덕지 덕지 누더기가 되고, 프로그램 간 충돌로 인해 사용자는 점점 불만을 쌓이게 됐다. 

이러한 사항은 이제 서버 사이드에서 보안을 하게 하는 이용자 중심주의로 변화하게 하는 시대적 요구가 반영이 됐고, 보안도 중요하지만 이용자 편의성도 고려해야 하는 측면이 있어서 서버 보안 기술을 더 연구 발전하게 됐다. 자연스런 현상이고 가능하면 이용자는 보안과 편리성 사이에서 trade off 관계애 있지만 점점 편리해 지는 세상에서 보안상 불편만 강조 할 순 없다. 이러한 욕구는 빠르게 변화하는 기술속에서 서버 사이드 중심 보안을 만들게 됐다. 다만, 우려스러운 것운 공인인증서 (PKI) 기술은 아주 훌륭한 기술중에 하나다. 단지 편리성만 추구하게 되면 보안이 약해지는 효과가 있어 공인증서와 민간인증서를 함께 사용하는 묘수가 필요한 시점이기도 하다. 최근 토스 등을 통해 해킹 사건이 이러한 사례를 말해 준다.

공인인증서 중심의 기존 전자서명 시장에서 다양한 민간 전자서명사업자간 경쟁시장으로 전환됨에 따라, 다양한 간편한 방식의 민간 전자서명사업자의 인증서 발급이 급속히 확산되는 추세이다.

o 그 결과, ’20. 11월말 기준, 민간 전자서명서비스 가입자(6,646만건) 공인 전자서명 서비스 가입자(4,676만건)를 초과하고 있다.

공인인증사업자(금융결제원, 한국정보인증, 한국전자인증, 코스콤, 한국무역정보통신 5개사) 민간 전자서명 사업자(카카오페이, 은행연합회, 비바리퍼블리카, 통신3, 네이버, KB국민은행, NHN페이코 등 7개사)가 제출한 가입자 수 기준

2020년도에는 코로나 영향으로 인한 온라인 유통이 많이 이루져 더 많은 사용자가 생긴 것으로 예상 됨.
코로나가 많은 것을 변화 시키네요..

앞으로 전자서명 시장 경쟁 활성화로 블록체인, 생체인식 등 다양한 신기술이 적용된 새로운 전자서명 서비스가 활발하게 개발·이용될 것으로 예상되며, 과기정통부는 이를 지원해 나갈 계획이다.

한편, 과기정통부, 행정안전부, 금융위원회는 공공기관, 금융기관 등에서 민간 전자서명이 조속히 도입되어 국민들이 편리하게 이용할 수 있도록 협력을 강화해 나갈 계획이다.

□ 우, 공공분야행정안전부를 중심으로 민간 전자서명의 도입을 추진 중에 있다.

o 특히, 전자서명법 개정에 따른 변화를 국민들이 조기에 체감할 수 있도록 ’21. 1월부터 “홈텍스 연말정산 간소화서비스(국세청), 정부24 연말정산용 주민등록등본 발급서비스(행안부), 국민신문고(국민권익위원회)” 등 주요 공공웹사이트에 민간 전자서명 도입을 적용할 계획이다.

o 이를 위해 지난 9공공분야 전자서명 확대 도입을 위한 시범사업을 착수하여 카카오(카카오인증), KB국민은행(KB스타뱅킹), NHN페이코(페이코), 한국정보인증(삼성PASS), 통신3(PASS) 5 사업자를 후보 사업자로 선정하고 물리적기술적관리적 보안사항을 점검한 후, 사업자를 최종 확정할 예정이다.

최근 통신3사 관련해 서비스를 이용해 본 사람은 알겠지만 아마도 통신3사 패스(PASS)가 인증 사용자를 가장 많이 확보하고 있지 않는가 하는 생각이다. 본인 인증 등 문자 확인 하려면 잘 모르는 사람은 패스를 자연스럽게 등록해 사용하도록 유도하기 때문에 일부에서는 비판의 시각도 있었다. 또한, 인증서 가입하려다 유료서비스 가입에 동의하는 부분에 대한 경고도 있었다.

눈에 보이지 않는 전쟁터다. 

그동안 공인인증서로 한정된 사업을 했던 기업은 많은 특혜를 받은 것이나 다름 없다. 이제는 민간 인증서와 경쟁해야 하는 관점에서는 조금 더 사업을 다각화 할 필요가 있겠다. 

 

“본인인증하려다 유료서비스 가입?”…방통위, 이통사 ‘PASS앱’ 개선 조치

# A씨는 이동통신3사의 간편본인인증서비스 ‘패스’(PASS) 애플리케이션(앱)에서 본인확인을 하려고 통신사를 선택하고 동의를 요구하는 4개 항목을 체크했다. 갑자기 ‘PASS앱…

www.donga.com

 

< 연말정산 간소화 서비스에 민간 전자서명 이용 예시 >

연말정산 간소화서비스 웹사이트에서 간편서명을 누르면, 이용가능한 간편서명 목록이 표출되고, 사용자는 이 중에서 자신이 보유한 서명 선택서비스 이용

o 앞으로 행정안전부는 공공기관 웹사이트에 민간 전자서명의 도입을 지속적으로 확대해 나갈 계획이며

- 보안성, 신뢰성을 갖춘 민간 전자서명을 공공 웹사이트의 수용을 확대하여 국민들이 자신이 보유한 인증서로 편리하게 서비스 용할 수 있도록 할 예정이다.

금융분야금융위원회를 중심으로 편리하고 안전한 다양한 전자서명(인증) 수단이 개발활용될 수 있도록 전자금융거래법개정 등을 추진해 나갈 계획이다.

o 이를 위해 기술중립성 원칙에 따라 다양하고 편리한 민간 전자서명(인증) 기술들이 금융분야에 적용되도록 하되

o 계좌이체 등 국민의 재산이 온라인을 통해 거래되는 금융분야의 성을 고려하여, 고위험거래에 대한 강화된 전자서명(인증)방법 도입 등을 통해 보안성을 확보하여 국민들의 재산이 안전하게 보호될 수 있도록 해 나갈 계획이다.

과기정통부는 다양한 민간 전자서명 서비스가 나오면, 국민들께서 어떤 전자서명이 신뢰할 수 있는지, 보안은 갖춰져 있는지 등을 판단할 수 있도록 전자서명 평가·인정제도*를 운영할 계획이다.

* 전자서명의 안전성, 신뢰성, 보안 등에 관한 기준인 전자서명인증업무 운영기준 고시하고, 사업자의 준수여부를 민간 평가·인정기관이 확인

o 과기정통부는 조속히 평가기관을 선정하여 평가기관이 민간 전자서명사업자 평가를 진행하도록 지원하는 등 국민들께서 안심하고 편리한 전자서명서비스를 이용 수 있는 환경 조성을 위해 최선을 다할 계획이다.

 

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

댓글을 달아 주세요

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

정부에서 시행하는 정책이나 국가 기본계획을 검토하는 이유는 미리 사전에 대비를 할 시간을 가지게 되며, 정부는 대부분 이러한 계획에 따라 시행을 집행해 나간다. 따라서, 평소에 정부정책에 대해 관심을 가지고 있으면 어느날 갑자기 시작되는 듯한 정부 정책에 대해 당황해 하지 않는다. 향후 개인정보 관련 개인정보보호위원회가 업무 보고한 국가기본계획 수립 4차년도 정책을 분석해 봄으로써 어떠한 흐름으로 흘러 갈 것인에 대한 전체적인 아웃트라인을 잡아보고 업무 기획이나 자체 정책 수립에 도움이 되길 바란다.

 

1. 개인정보처리방침 인증제

에 띄는 것이 개인정보처리자의 투명성 및 책임성 강화를 위한 개인정보처리방침 인증제를 시행 검토 하겠다는 것이다. 이는 이미 과거에 여러가지 연구용역 주제로도 나왔었다. 개인정보처리방침이 현행화 되어야 하고 일부 외부에서 정보주체가 알권리로 접근하는 첫번째 내용임에도 불구하고 제대로 운영되지 않는 측면이 있다.

예를들면, 개인정보 위탁이나 3자 제공시에는 반드시 공개 하도록 돼 있으나 이를 잘 준수 하지 않고 있다. 공공기관의 경우에는 개인정보보호포털 사이트를 통해 개인정보파일을 열람 할 수 있지만 민간의 경우에는 개인정보처리방침이 제대로 현실적으로 반영돼 있지 않으면 형식적 개인정보처리방침에 지나지 않는다.

이에 개인정보전문 인증심사원이 개인정보처리방침을 분석해 인증을 받은 개인정보처리자는 법에서 요구하는 개인정보 공개를 동의에 준하는 효과를 부여 하겠다는 취지로 해석된다.

 

2. 개인정보 이동권 (Right to Data Portability)

 

개인정보 이동권은 GDPR에 영향으로 직접 수령하거나 제3자에게 이동하는 것을 말한다. 여기서 직접 수령하는 것은 정보주체가 직접 다운로드 받는 것을 의미하고, 제3자에게 이전 할 수 있다는 것은 기술적 방법 (API)을 이용해 안전하게 정보주체의 자기결정권에 따라 개인정보처리자간 이동할 수 있는 권리를 말한다. 가장 대표적인 사업중에 하나가 금융권에서 이루어지고 있는 마이데이터(Mydata)사업도 개인정보 이동권중에 하나다. 

전면적으로 실시 될 경우 지금부터 시스템 변경과 인프라 구축에 따른 설계변경이 불가피 하며 담당자는 정부정책에 귀를 기울이고 있다가 시행이 되면 시스템을 변경 준비를 해야 한다. 아마도 시간이 많이 걸릴 것으로 판단이 되며 해당 4차년도 기본계획안에 발을 내딛는 것으로 출발 할 것으로 판단된다.

 

3. 빅데이터 기술의 발전으로 구체적인 사회학적 가치 연구

 

 

필자가 현장에 다니면서 가장 많이 듣는 질문중에 하나가 데이터에 대한 소유권도 그중에 하나다. 여러가지 채널을 통해 수집, 생성된 데이터는 과연 누구의 것인가? 예를들어, 환자에 대한 진료정보는 환자의 것인가? 병원의 것인가? 순수한 환자에 대한 정보는 환자것이라고 하겠지만 진료하면서 생성된 의료진의 진료정보가 함께 포함된 것은 병원것인가? 환자 것인가? 다양한 해석이 필요한 시점이다. 

또한, 한국의 쿠키정책과 미국, 유럽 등 외국의 쿠키 정책은 너무나 다르다. 이에 관해서는 예전에 포스팅한 글을 참고 하길 바란다. 간략하게 설명하면 한국은 개인정보처리방침에 텍스트 형태로 간략하게 언급해야 하는 정도에 그치지만 외국은 직접 사이트에 접속하는 브라우저마다 접속자가 직접 각 사이트 쿠키 정책에 따라 필수적인 부분과 그렇지 않는 부분에 대해 활성화와 비활성화를 직접 설정 가능하도록 설계되어 있다. 훨씬 더 정보주체에 대한 자기결정권을 강화하는 형태라고 보면 된다. 

ADID로 논란이 된 광고 식별자 등도 최근 들어서는 형태 분석 등 빅데이터 분석에 어느 선까지 분석을 해야 하는지에 논란이 되고 있다. 과거 광고 기법에서는 당연시 되던 것들이 이제는 세부적인 법률적 사항까지 적용되고 있어 사생활 침해 논란에서 자유로울려면 사회적 합의가 도출 돼야 한다.

 

4. 개인정보 인증제도 개선 및 강화

개인정보 인증제도도 손을 볼 것으로 계획이 잡혀 있다. 인증심사원 자격관리를 강화하고 지표 개선등을 마련 한다고 한다 또한, 영세 및 중소기업의 미니 ISMS-P를 만들어 규모에 따른 적절한 인증제도를 도입함으로써 조금 더 유연한 대처를 하는 것으로 해석된다. 또한, 그동안 많은 논란이 있었던 개인정보 보호책임자 제도에 대한 부분이 개선 된다는 것은 GDPR의 영향을 받아 독립성과 예산을 관리 감독하는 형식적인 CPO가 아닌 전문성을 갖춘 CPO로 개선 될 것으로 판단된다. 이에 KISA 연구 용역을 살펴보면 이미 국내 DPO 자격증 제도를 도입하기 위한 연구 용역이 이미 이루어져 있고 시행 시기만 정해지면 된다. 

5. 개인정보 전문인력 양성

 

대다수 국가기본 계획이나 정부 정책 업무 보고서를 읽어 보면 꼭 빠지지 않는 것이 있다. 바로 전문인력 양성 정책이다. 어떤 분야든 전문인력이 있어야 확대 대중화가 되기 때문에 전문인력 양성에 대한 정책은 늘 있다고 보면된다. 

 

 

개인정보 전문 관리자 국가 자격증 제도 도입 검토도 물론 언급이 돼 있고, 개인정보 전문인력 양성 사업도 추진 할 계획으로 잡혀 있다. 아마도 국내 대학을 통한 여러가지 실무 과정이 개설 될 것으로 보이며, 일반적인 학원이나 직업전문학교 등 국비 지원에 대한 사업도 많이 생긴 것으로 판단된다.

눈여겨 봐야 할 것 중에 하나가 법.제도 및 기술 담당등 업무 특성에 맞는 재직자 전문인력 프로그램을 운영한다는 것이다. 이는 법만 알아서도 안되고 기술도 알아야 하며 , 기술을 아는 사람은 이제 법도 알아야 한다는 의미로 해석된다. 또한, 해당 분야 도메인 지식에 맞게 업무 특성과 연관성을 높여야 하는 커리큘럼으로 변경 돼 운영 될 것이다.

최근에 배포되는 개인정보 가명처리 익명 가이드 안내서 등을 살펴 보면 일반적인 개보위에서 배포한 가이드가 있고, 금융분야에 맞는 가이드, 보건 의료분야에 맞는 가이드, 교육분야에 맞는 가이드 등 각 분야에 맞는 가이드 를 배포하고 있어 분야별 특성에 맞는 가이드를 하고 있음을 알 수 있다.

 

기타 더 자세한 내용은 첨부하는 기본 계획서를 참고 하길 바라며 이제는 데이터 시대다. 테이터의 핵심은 개인정보다. 빅데이터든 인공지능이든 데이터를 제대로 관리해야만 앞서 나가는 시대가 도래했다. 이에 맞는 데이터 관리와 개인정보에 대한 개보위 기본 계획을 분석해 보고 사전에 대응을 하면 좋겠다. 혹시 궁금한 사항이 있는 분들은 블로그 댓글을 남겨 주면 확인하는대로 답변 드리겠다. 

 

 

개인정보 보호 기본계획.pdf
2.78MB

 

 

 

 

 

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

댓글을 달아 주세요