우리가 흔히 은행에 로그인 할때 쓰는 금융결제원의 ''공인인증서''가 사실은 법
적으로는 전혀 공인인증서가 아닙니다....
이하는 http://openweb.or.kr/?page_id=83 에서 부분 발췌한 글입니다.
---------------------
금결원 홈페이지에서 제공하는 가입자 소프트웨어는 금결원이 코드사인 한 것은
분명합니다. 그러나, 그 소프트웨어를 내려받아 설치를 해도, 어떤 이유인지는 모
르겠지만, 인증서 관리자 프로그램이 실행되지 않습니다.
결국, 금결원의 홈페이지에서 제공하는 가입자 설비는 이용이 불가능한 것이고,
그 대신 금결원은 자신이 발급하는 인증서가 “공인인증서”라고 주장하면서, 은
행(금결원의 등록대행기관)의 홈페이지에서 발급받으라고 안내하고 있습니다.
은행들이 어떤 소프트웨어를 내려주는지는 우리가 잘 알고 있습니다. 소프트포
럼, 이니텍 등이 코드사인을 하고, 온갖 잡다한 인증서들이 이용자들도 모르는 사
이에 “최상위 인증기관 인증서”로 등록되어 있는 짝퉁 가입자 소프트웨어 입니
다. 이 소프트웨어들은 KISA의 점검을 받은 적도 없고, 법이 정한 규격을 준수하
는지도 알 방법이 없습니다. 오직 그것을 만든 회사만이 진실을 알고 있을 것입니
다. 이니텍이 배포한 소프트웨어는 이니텍의 자기서명 인증서를 제거할 수도 없도
록 해 두었습니다!
정통부 김태완씨는 은행이 사용하는 보안 프로그램은 금융감독원의 심사를 받는다
고 주장합니다. 불행하게도, 이것은 사실이 아닙니다. 금감원의 전자금융감독규
정 시행세칙 제32조(보안성심의) 제1항 제3호는 다음과 같은 경우 금감원의 심사
를 받아야 한다고 규정합니다:
보안장비 및 암호프로그램 등 정보보호시스템(외부통신망 접속을 위하여 사용되
는 경우에 한한다)을 도입하는 경우. 다만, 별도로 보안장비 인증을 담당하는 국
가기관 또는 감독원장이 인정하는 기관에서 평가․인증․개발․발표하였거나 이에 준
하는 것으로 감독원장이 인정한 장비 및 프로그램의 경우에는 그러하지 아니하
다”
보안 업체들의 관행은, 암호화 모듈만을 국정원에 제출하여 심사를 받습니다(사실
은 그럴 이유도 없습니다; 국정원 심사는 정부기관이 사용하는 암호화 프로그램
에 한합니다. 은행은 정부기관이 아닙니다.). 그런 다음 그 모듈을 사용한 암호
화 프로그램은 “보안장비 인증을 담당하는 국가기관”에서 인증받았다는 이유로
금감원의 심사도 무사통과합니다. 모듈이야 국정원 심사를 받았겠지만, 온갖 인증
서를 어디에다 어떻게 등록해 두었는지는 아무도 심사하지 않습니다. “형상관
리”를 피해나가기 위한 편법입니다.
------------------------
뭐 이런 실정입니다.
그리고 전자차트는 ''전자서명''만 있으면 됩니다. 즉 꼭 공인전자서명일 필요
가 없고, 사설전자서명으로도 충분합니다.
공인전자서명과 사설전자서명의 차이는 전자서명법 제3조에 설명되어 있습니다.
공인전자서명은 당사자가 합의하지 않아도 서명, 날인과 같은 효력이 부여되고(제
3조 제2항), 사설전자서명은 당사자들이 합의해야만 서명, 날인과 같은 효과를 누
릴 수 있습니다(제3조 제3항). (참조 : 공인전자서명과 사설전자서명의 차이 :
http://www.gaming.co.kr/wp/?p=8)
법조항을 보면 전자차트에 걸맞은 전자서명방법은 공인전자서명이 아닌 사설전자
서명이 아닐까 합니다. 차트의 서명은 당사자들이 합의해야만 서명의 효과가 있어
야 하지 않겠습니까...
그리고 사설전자서명 도입은 기술적으로 그리 어렵지 않은 것으로 알고 있습니
다. 사설전자서명은 오픈되어 있는 소스도 있습니다.
사실 전자서명 부분은 전자차트회사들이 마음만 먹으면 도입 가능할텐데, 전자차
트회사들이 전자서명법에 어두워서 돈 많이 드는 공인인증의 길로만 갈려고 하다
보니 다들 주저하면서 안하고 있는것 같습니다.
참조 : 전자서명법과 공인인증서 http://openweb.or.kr/?page_id=38
한메디에서는 이런 점을 살피시어 사설전자서명을 도입하심이 어떨까 합니다.
운영자님이 문의하신 내용입니다
답변입니다