전자 서명의 생성과 인증에 대한 설명: 그 법적 효력은?

인터넷 상에서의 거래에서는 상대방과 직접 대면할 필요가 없기 때문에, 정보의 송신자와 수신자가 각각 실제로 본인인지, 정보가 중간에 변조되지 않았는지 확인하는 것이 필요합니다.

여기에서는 그러한 목적을 위한 효과적인 수단인 암호화 기술을 활용한 전자 서명의 생성과 인증에 대해 설명하겠습니다.

전자 서명이란

‘전자 서명법 (전자 서명 및 인증 업무에 관한 법률)’은 전자 문서에 적용되는 ‘전자 서명’의 정의 및 효과, 그리고 그 인증을 수행하는 사업을 규율하며, 전자 서명의 법적 유효성을 규정한 법률입니다.

이 전자 서명법에서의 ‘전자 서명’은 전자기적 기록에 기록할 수 있는 정보에 대해 수행되는 조치로서,

1. 해당 전자 서명이 본인에 의해 생성된 것을 나타내는 것(본인성)
2. 해당 전자 서명에 대해 변경이 이루어졌는지 여부를 확인할 수 있는 것(비변조성)

이라는 두 가지 요건 모두에 해당하는 것으로 간주됩니다. (전자 서명법 제2조 제1항) 본인만이 수행할 수 있는 전자 서명이 이루어졌다면, 본인의 서명 또는 도장이 찍힌 문서와 마찬가지로, 진정으로 성립된 것으로 추정됩니다 (전자 서명법 제3조).

전자 계약의 법적 효력

계약은 계약의 내용을 나타내고 그 체결을 제안하는 의사표시에 대해 상대방이 승낙했을 때 성립하는 것(민법 제522조)이며, 반드시 서면을 작성할 필요는 없습니다. 그러나 계약이 분쟁이 되었을 경우에는, 재판에 증거로 제출할 수 있는 것이 필요하게 됩니다.

이에 대해, 재판에서 계약서를 증거로 사용하기 위해서는 ‘문서는 그 성립이 진정한 것임을 증명해야 한다’ (민사 소송법 제228조 제1항)라고 되어 있지만, 종이 매체의 문서를 증거로 제출하는 경우에는, 그 문서에 본인 또는 그 대리인의 서명 또는 도장이 있을 때는, 그 문서가 진정으로 성립된 것(본인의 의사에 의해 작성된 것)으로 추정됩니다 (민사 소송법 제228조 제4항).

이에 대응하여, 전자 문서의 경우에도 전자 서명법에 의해 전자 계약의 법적 효력이 정리되었습니다.

전자 서명의 인증 업무

재판에서 증거력이 있는 전자 계약으로 만들기 위해서는 ‘본인에 의해 생성된 것’이라는 요건을 충족해야 하지만, 서면을 보면 확인할 수 있는 서면상의 서명과 달리, 전자 서명은 전자 데이터이므로, 본인에 의한 것인지를 증명하는 수단이 필요하게 됩니다.

이에 대해, 전자 서명법 제2조는,

전자 서명법 (정의) 제2조

제2항 이 법에서 ‘인증 업무’란, 자신이 수행하는 전자 서명에 대해 그 업무를 이용하는 자(이하 ‘이용자’라 한다.) 또는 다른 사람의 요구에 응하여, 해당 이용자가 전자 서명을 한 것임을 확인하기 위해 사용되는 사항이 해당 이용자에 관한 것임을 증명하는 업무를 말한다.

제3항 이 법에서 ‘특정 인증 업무’란, 전자 서명 중, 그 방식에 따라 본인만이 수행할 수 있는 것으로서 주무부령으로 정하는 기준에 부합하는 것에 대해 수행되는 인증 업무를 말한다.

라고 하여, 전자 서명법은 제3자가 본인에 의한 전자 서명임을 증명하는 것을 예정하고 있으며, 이 업무를 ‘인증 업무’라 하고, 그 중에서 본인만이 수행할 수 있는 것으로서 주무부령으로 정하는 기준에 부합하는 것에 대해 수행되는 인증 업무를 ‘특정 인증 업무’라 정의하고 있습니다.

현재, ‘특정 인증 업무’의 기준으로 채택된 인증 기술은 공개키 암호화라는 암호화 방식을 사용한 PKI (Public Key Infrastructure) 기술로 정해져 있습니다(전자 서명법 시행규칙 제2조). ‘특정 인증 업무’란, 이 기술을 사용하여, 전자 문서 등의 암호화와 본인 확인을 수행하여, 전자 서명이 본인의 것인지를 증명하기 위한 전자 증명서를 발행하는 업무입니다. 이 인증 업무는 민간 회사가 수행할 수 있도록 인정되어 있으며, 인증 업무를 수행하는 제3자 기관은 ‘전자 인증 기관’이라 불리며, 전자 서명법 제4조 이후에서 그 인증 기준 등이 정해져 있습니다.

전자 서명과 타임스탬프

전자 서명과 타임스탬프는 인터넷 사회에서 ‘언제’, ‘무엇을’, ‘누가’를 보장하는 ‘증거’이며, 전자 문서의 원본성을 확인할 수 있는 강력한 수단입니다.

전자 서명의 생성과 전송

전자 서명의 생성과 전송은 현재, 비밀 키와 공개 키를 쌍으로 사용하는 ‘공개 키 암호 방식’과 해시 함수를 사용한 방법에 의해, 다음의 흐름으로 진행됩니다.

1. 작성자는 인증 기관에 전자 인증서의 사용을 신청합니다.
2. 인증 기관은 본인 확인을 하고, 비밀 키와 공개 키의 대응 관계 확인 등을 한 후에, 문서를 암호화하는 데 사용하는 비밀 키와, 문서를 복호화하는 데 사용하는 공개 키를 생성합니다.
3. 인증 기관은 작성자가 등록한 공개 키의 전자 인증서를 발행합니다.
4. 작성자는 인증 기관으로부터 전자 인증서를 수령합니다.

이에 따라, 발신자는 전자 인증서를 사용하여 전자 데이터를 전송하게 됩니다.

1. 발신자는 전자 데이터를 해시 함수에 의해 변환하여 해시 값(메시지 다이제스트라고도 합니다)을 생성합니다. 해시 함수란, 문자나 숫자 등의 데이터(입력 값)를 어떤 수치(출력 값)로 변환하는 함수입니다.
2. 이 해시 값을 전자 인증서로 인증된 공개 키에 대응하는 비밀 키로 암호화합니다. 이 행위를 ‘전자 서명’이라고 합니다.
3. 발신자는 전자 데이터(평문)와 전자 서명을 결합하고, 전자 인증서와 함께 수신자에게 전송합니다.
4. 수신자는 수신한 데이터를 전자 데이터(평문)와 전자 서명으로 분리하고, 전자 데이터(평문)에서 발신자와 같은 해시 함수를 사용하여 해시 값을 생성합니다.
5. 전자 서명을 발신자의 공개 키를 사용하여 복호화하고, 해시 값을 얻습니다.
6. 4와 5에서 얻은 해시 값을 비교하고, 일치하면 발신자로부터의 전자 데이터이며, 변조되지 않았음을 확인할 수 있습니다.

해시 값은 그 특성상, 전자 문서의 내용이 전자 서명을 한 때의 것과 완전히 같은 내용이라면, 생성한 때의 해시 값과 복호화한 해시 값은 완전히 같은 값이 되며, 한 문자라도 다르면 완전히 다른 해시 값이 됩니다.

따라서, 두 해시 값의 일치를 확인함으로써, 해당 전자 문서가 변조되지 않았음을 확인할 수 있게 됩니다.

타임스탬프

전자 문서와 서명문의 해시 값의 일치로 문서의 내용이 변조되지 않았음을 확인할 수 있지만, 이에 더해, ‘언제’ 그 문서가 존재했는지(존재 증명), 그 시점 이후 문서의 내용이 변조되지 않았음을 증명하는(비변조 증명) 것으로 ‘타임스탬프'(TS)가 사용되고 있습니다. 타임스탬프는 전자 서명과 함께 전자 문서의 원본성을 확인하는 유효한 수단으로 간주되고 있습니다.

위탁자는 시간 인증 기관(TSA: Time-Stamping Authority)에게 원본 데이터의 해시 값을 보내고, TSA가 이 해시 값에 시간 정보를 부여한 TS를 위탁자에게 보냅니다. 전자 문서의 해시 값과 타임스탬프의 해시 값의 일치를 확인함으로써, 내용이 변조되지 않았음을 증명할 수 있습니다.

데이터 저장

회사나 개인 사업자는 회계 처리의 대상이 되는 주문서나 계약서 등의 장부 문서를 7년간(또는 10년간) 보관하는 것이 의무화되어 있으며, 전자 장부 저장법(전자 계산기를 사용하여 작성하는 국세 관련 장부 문서의 저장 방법 등의 특례에 관한 법률)에 의해, 전자 거래를 한 경우에도 거래 정보를 데이터로 저장해 두는 것이 의무화되어 있습니다(전자 장부 저장법 제10조).

이 전자 문서를 장기 보관하는 것에 대해, 전자 장부 저장법 시행 규칙에 의해, 해당 전자 문서에는 ‘일반 재단법인 일본 데이터 통신 협회가 인증하는 업무에 관한 타임스탬프를 부착하는 것’이 필요하며(전자 장부 저장법 시행 규칙 제3조 5항 2호 로), ‘해당 전자기적 기록의 보관을 하는 자 또는 그 자를 직접 감독하는 자에 관한 정보를 확인할 수 있도록 해 두는 것’이 요구되고 있습니다(전자 장부 저장법 시행 규칙 제8조).

결론

전자 문서화는 업무 프로세스의 개혁, 고객 서비스의 향상 등 업무 효율화의 기반을 이루며, 전자 문서화에 의한 기록과 관리의 중요성은 날이 갈수록 증가하고 있습니다.

전자 계약이라 해도 계약의 유효성은 인정되며, 법정에서도 전자 계약서는 증거로 활용할 수 있습니다. 사업자 간의 계약에서 전자화의 흐름은 급속도로 진행되고 있습니다. 전자 계약에 관련된 다양한 법률 및 법령을 이해하고 적절히 대응할 필요가 있습니다.

당사에 의한 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 최근 몇 년 동안, 전자 서명이 사용되는 상황이 증가하고 있으며, 법률 검토의 필요성은 점점 더 증가하고 있습니다. 당사는 다양한 법률 규제를 고려한 후, 현재 시작한 비즈니스, 시작하려고 한 비즈니스에 대한 법적 위험을 분석하고, 가능한 한 비즈니스를 중단하지 않고 합법화를 도모합니다. 아래 기사에서 자세한 내용을 기술하고 있습니다.