국민참여입법센터

가. 전자서명인증사업자에 대한 인정업무수행 방법 등(안 제2조부터 제5조까지)
1) 인정기관은 인정위원회를 운영하여 전자서명인증업무 운영기준 준수사실의 인정·인정취소 여...

가. 2) 운영기준 준수사실 인정의 유효기관은 인정을 받은 낭로부터 1년으로 함
- 본 조항의 기준이 된 웹트러스트인정은 공인인증기관과 같은 전자서명인증기관을 평가하는 인정제도가 아니라 웹사이트를 인정해주는 SSL인증기관을 평가하고 인증하는 제도로서 SSL인증기관의 CA와 RA 구조부터 시작해서 웹브라우저와 호환성과 안전성, 시스템운영의 안전성을 인정해주는 것으로, 전자서명법상의 전자서명인증사업자가 수행하는 전자서명인증서 발급과 인증서 검증, 신원확인, 개인정보보호, 등의 업무를 수행하는 평가제도가 아님
- 웹트러스트인정 유효기간 1년을 기준으로 전자서명인증사업자 인정 유효기간을 1년으로 정한 것은 잘못된 법기준임
- 국제표준ISO인증이나 한국인터넷진흥원에서 실시하고 있는 정부 ISMS인증 조차도 유효기간을 3년으로 하고 있으며,
- 정보통신망법에 의한 본인확인기관에 대한 재지정 기간은 없으며, 기존 공인인증기관의 재지정 유효기간도 3년이나, 해킹 등, 안전성 문제에 전혀 문제가 없는 상태임
- 시행령 5조 상의 유효기간 1년은 정부의 규제완화 정책에 역행하는 규제로, 1년마다 재평가를 받기 위해 전자서명인증사업자는 매년 3~4개월 심사에 매달려야 하고, 최소 2억원 이상의 재평가 비용이 발생하는 등, 실제 현실과 맞지 않는 규제 조항이고, 적용 기준을 잘못 적용한 법조항임.
- 현 조항을 적용할 경우 전자서명인증사업자 중에서도 재평가를 받기 위해 신청하고 대기하다가 유효기간 1년을 경과하여 본의 아니게 전자서명인증서비스가 중단되는 경우도 발생할 수 있을 정도로 비현실적인 조항임
- 따라서, 보편적 기준을 적용하여 인정서 유효기간을 3년으로 하고, 3년마다 재지정을 위한 평가를 받도록 하여야할 것임.
- 특히, 웹트러스트인증에 대해 상세한 조사도 하지 않은 상태에서 비전문가의 잘못된 의견만 수렴하고, 웹트러스트인증을 직접 제대로 파악도 하지 않은 채 시행령 입법기준으로 삼은 것은 과기정통부의 실책임

나. 평가기관의 선정기준 및 절차 등(안 제6조)
과기정통부장관이 평가기관을 선정하기 위한 기준 및 절차 등을 규정...

변호사, 회계사에게 개인정보보호경력 6년을 부여하는 것은 특혜 조항이며, 개인정보보호와 회계가 무슨 연관이 있는지 밝혀야할 것임

라. 국제통용평가의 선정기준(안 제8조)
국내 전자서명인증업무 운영기준에 부합하고, 국제기구·단체 등에서 통용되거나 인정되는 국제통용평가로 선정토록 규정...

해외의 전자서명법상의 공인인증기관들 중에서 국제통용기준 심사를 받은 곳은 거의 없으며, 웹트러스트인증을 공인인증기관 인증제도로 착각을 하고 있는 상태에서 만들어진 법조항으로 판단 됨. 웹트러스트인증은 전자서명법상의 전자서명인증사업자를 평가하는 것과 전혀 다른 것임.
웹트러스트인증이 SSL인증기관이 가지고 있는 CA, RA 구조에 대해 평가하고 SSL인증에서 수행하는 웹브라우즈, 웹사이트, 코드사이닝 전자서명에 대한 웹트러스트인증과 
공인인증기관을 대체하는 사람과 법인, 등 사업자에 대해 인증해주는 전자서명인증사업자에 대한 인증은 전혀 다른 것임에도 불구하고 입법 기준으로 웹트러스트인증을 기준으로 하는 것은 잘못된 사례임.
현 전자서명인증사업자 평가에 부합하는 국제통용평가로 평가하고 인증하는 인증제도가 무엇이 있는지 과기정통부가 해당 평가제도를 명시해줘야 함

마. 신원확인의 기준 및 방법 등(안 제10조부터 제12조까지)
1) 전자서명인증업무 운영기준 준수사실의 인정을 받은 사업자는 운영기준에 적합한 방법으로 가입자 신원을 ...

마. 3) 연계정보 처리에 있어서 본인확인기관이 아닌 전자서명인증사업자가 본인확인기관으로 부터 받은 연계정보(CI)를 보관하고 있다가 재활용하여 이용기관에게 사용할 수 있는지에 대해 명확하게 법률로서 명시하여야 함.
현재 주민번호대체 연계정보CI는 방통위에서 재활용을 금지하고 있는 것으로 해당 법률인 정보통신망법을 담당하는 방통위와의 합의가 필요하며, 만약 CI의 재활용이 인정된다면 이통사와 같은 본인확인기관은 본인인증서비스에 심각한 타격을 받고, 장기적으로 본인인증서비스 중단을 초래할 수 있을 정도로 중대한 사안임.
이 조항은 명확하게 명시되지 않아 혼란을 불러일으키고 있으므로, 처리에 대한 기준을 하위 조항으로 명확하게 명시해야 함

나. 평가기관의 선정기준 및 절차 등(안 제6조)
과기정통부장관이 평가기관을 선정하기 위한 기준 및 절차 등을 규정...

왜들 이러는 걸까?

이번에 과기정통부가 ‘전자서명법 시행령 전부개정령안’을 내었다. 여기서 전자서명 평가기관 전문인력요건에서 ‘4년제 대학졸업이상 또는 이와 동등학력을 취득한 자로서 정보보호,개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유’할 것을 요구하고 있다.

과련 개정령안은 아래 링크를 남긴다.
https://www.moleg.go.kr/lawinfo/makingInfo.mo…

평가기관 전문인력이 되기 위해서는 정보보호, 개인정보호호 또는 정보기술 역량이 있어야 된다는 것이며, 이를 객관화하기 위해 6년의 경력을 제시했다.

그런데 동 개정령안 6조는 변호사와 회계사의 자격증에게 6년의 경력을 인정하는 것으로 하고 있다. 정작 정보보호나 정보기술 박사를 따도 2년의 경력만 인정한다.

그렇다면 변호사와 회계사의 전문성이 전자서명과 관련된 전문성을 충분히 가지고 있을까? 그렇지는 않은 것으로 보인다. 전자서명과 관련된 법률 행위 등이 없지 않겠으나, 6년의 경력을 인정하는 것에는 무리가 있는 정도가 아니라, 지나칠 정도로 과도하다.

당장 정보보호 관련 전공의 교과과정만 보더라도 이는 명확해진다. 고려대 정보보호대학원의 교과과정을 아래 링크를 건다.
http://scs.korea.ac.kr/ime/about/curriculum.do

법률 전문성이 있는 변호사와 회계와 세무에 대한 전문성이 있는 회계사가 평가기관 전문인력으로 진출하면 어떤 일이 벌어질까? 이들이 정보보호 전공자나 정보기술 전공자 등을 고용하여 업무를 진행하게 될 것이다. 변호사와 회계사는 영업을 하고 관련 전문가는 그 밑에서 일을 하는 구조가 된다.

이는 비용을 상승하게 하며, 전문성을 떨어 뜨릴 위험이 있다.
변호사나 회계사에게 그런 자격을 주는 것을 보니, 일부 의사에게만 욕을 할 일이 아니라는 것을 알게 해준다.

어떤 이해당사자가 법을 이렇게 꼬아놓을까? 내가 뭘 몰라서 이런 비판을 하는 것일까?

나. 평가기관의 선정기준 및 절차 등(안 제6조)
과기정통부장관이 평가기관을 선정하기 위한 기준 및 절차 등을 규정...

기본적으로, SW기술평가 기준으로 IT 및 정보보호에서 공통적으로 활용하고 있는 상황에,
별도 선정 기준을 만드는 것도 모호할 뿐만 아니라,
특히, "마. 변호사법에 따른 변호사와 회계사법에 따른 회계사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다." 항은
기존 IT 및 정보보호 기술경력평가 기준을 벗어날 뿐만아니라, 변호사/회계사에 대한 특혜로 밖에 볼 수 없다.

나. 평가기관의 선정기준 및 절차 등(안 제6조)
과기정통부장관이 평가기관을 선정하기 위한 기준 및 절차 등을 규정...

정보보안 및 개인정보보안 분야에 대한 경력 인정이 너무 작위적으로 책정되는 듯 합니다. 변호사나 회계사의 경우 IT기반에 대한 지식이 빈약한 경우에 해당합니다. 정보보안 및 개인정보보안은 IT기술에 대한 이해를 바탕으로 관리적/기술적 업무를 수행하여야 합니다. 특정 자격증을 취득하거나 한 경우가 아니라면 경력을 인정한다는 내용은 보안분야에 대한 무시 및 희롱으로 밖에 생각되지 않습니다. 절대적으로 이 내용에 대해 반대합니다.

나. 평가기관의 선정기준 및 절차 등(안 제6조)
과기정통부장관이 평가기관을 선정하기 위한 기준 및 절차 등을 규정...

전자서명법 시행령 6조에 따른 [별표1] 평가기관 전문인력 요건
마. 변호사법에 따른 변호사와 회계사법에 따른 회계사의 경우 6년의 개인정보보호 유관경력을 보유한 것으로 본다.

→ 개인정보보호 관련 박사 학위 취득자 및 전산 자격증 중 최고의 자격증인 기술자 자격증 보유자에게도 겨우 2년의 경력을 인정 해 주면서도, 변호사와 공인회계사에게 6년의 경력을 주는 것은 형평성에 맞지 않는다고 생각됩니다.
→ 더욱이, 개인정보 업무와는 하등의 관계를 찾을 수 없는 공인회계사에게 6년이라는 경력을 인정해 주는것은 도대체 어떠한 근거로 개정되는지 납득할 수 없습니다.

전체 주요내용...

전자서명법 시행령[별표1] 평가기관 전문인력 요건
마. 변호사법에 따른 변호사와 회계사법에 따른 회계사의 경우 6년의 개인정보보호 유관경력을 보유한 것으로 본다.

→ 개인정보보호 관련 박사 학위 취득자 및 전산 자격증 중 최고의 자격증인 기술자 자격증 보유자에게도 겨우 2년의 경력을 인정 해 주면서도, 변호사와 공인회계사에게 6년의 경력을 주는 것은 형평성에 맞지 않는다고 생각됩니다.
→ 더욱이, 개인정보 업무와는 하등의 관계를 찾을 수 없는 공인회계사에게 6년이라는 경력을 인정해 주는것은 도대체 어떠한 근거로 개정되는지 납득할 수 없습니다.