인증서

인증서와 전자서명

카피캣 2008. 1. 2. 15:30

이 글을 읽는 분들 중에는 아직 주민자치센터(동사무소)에 인감증명서를 등록하여 사용해 본 경험이 없는 분들도 많으실 것으로 생각됩니다. 일반적으로 인감증명서는 본인이 직접하여야 하는 법률행위를 다른 사람에게 대리로 하게 할 때, 본인의 행위임을 증명하기 위해 사용합니다. 말이 어렵나요? 가령 관공서나 은행같은 곳에 업무차 본인이 직접 방문한다면 주민등록증만으로 모든 일을 해결할 수 있습니다. 하지만 바쁘거나 여타 부득이한 사정으로 인해 다른 사람을 시켜야 할 수도 있지 않습니까? 이런 경우에 일을 시킨 그 '다른 사람'을 법에서는 대리인이라고 합니다. 관공서나 은행에서는 대리인 방문시, 대리인이 변호사나 법무사 또는 법정대리인이 아니라면 예외없이 인감증명서를 요구할 것입니다. 주민등록증만 가지고 가봐야 아무리 사정을 설명한다고 해도 다시 발길을 되돌릴 수밖에 없을 것입니다.

인감증명서와 관련된 각종 용어설명

인영(印影) : 도장이 찍힌 모습
인감(印鑑) : 관공서에 미리 신고해 둔 인영
인감증명 : 도장의 인영이 신고된 인감과 동일하다는 것을 관공서의 장이 증명하는 일
인감증명서 : 인감증명법에 따라 발급되어 인감을 증명하는 문서

인감증명이란 설명을 왜 했느냐 하면, 지금부터 살펴 볼 전자서명과 인증서라는 개념이 바로 이 인영(印影)과 인감증명서에서 왔기 때문입니다. 과거와 같이 오프라인 밖에 존재하지 않았던 시절에는 본인이 직접 대면할 경우 주민등록증으로, 대리인을 시킬 경우에는 인감증명서로 충분히 본인확인이 가능했지만, 온라인의 범위가 점점 확대되고 과거 오프라인으로 처리했던 각종 일들이 온라인으로 처리가 가능해지면서 온라인에서 사용할 수 있는 주민등록증 또는 인감증명서와 같은 개념을 필요로 했던 것입니다. 온라인으로 주민등록증 또는 인감증명서를 보낼 수도 없거니와 스캔해서 보낸다고 하더라도 사본이니 효력도 없는 일 아니겠습니까?

인터넷뱅킹으로 로그인을 할 때 전자서명을 제출하게 되는데(보통 은행에서 "공인인증서 제출"과 같은 말을 사용하는데 이는 정확한 표현이 아닙니다. 일반인들이 전자서명이라는 단어에 익숙하지 않은 때에 생성된 단어가 굳어진 것이라고 할 수 있습니다.), 일반적으로 은행을 방문하면 주민등록증을 제출하는 것으로 본인확인을 하므로 인터넷뱅킹에서 인증서는 어찌보면 온라인에서 사용할 수 있는 주민등록증과 유사하게 생각될 수도 있겠습니다. 하지만 온라인 특성이 사람간의 직접 대면에 의한 본인확인이 아니라 위에서 설명한 바와 같이 비대면이라는 특수성에 기인한 "대리"라는 성격과 아래의 그림과 같은 외견 등으로 오히려 인감증명서와 더 유사하다는 것을 알 수 있습니다.

인감증명서 인증서
인감증명 인증서발급
인감도장 개인키
인감 공개키
인영 전자서명

온라인 상의 인감증명서가 인증서라고 하였는데 공개키, 개인키가 갑자기 나와서 어리둥절 하실지도 모르겠습니다. 인증서에 필요한 가장 기반이 되는 기술이 바로 공개키 알고리즘입니다. (공개키 알고리즘에 대한 자세한 설명은 공개키알고리즘 Part.1을 참고하세요.) 인감도장을 안전하게 관리하시는 것과 마찬가지로 개인키도 역시 안전하게 보관하셔야 합니다. 개인키를 안전하게 보관하는 방법은 물리적인 매체를 이용하는 방법(보안토큰)과 개인키를 패스워드로 암호화하여 보관하는 방법(주로 "인증서암호" 라고 합니다)이 있습니다. 현시점에서는 개인키를 패스워드로 암호화하는 방법을 많이 사용하고 있습니다만, 향후에는 보다 안전한 물리적인 매체를 이용하는 방법을 권장하고 있으며 그렇게 갈 것이라고 생각됩니다. 이에 대한 설명은 추후 추가하도록 하겠습니다.

인증서는 표준양식에 의해 생성된 전자문서의 일종입니다. 인증서 표준양식은 국제적인 호환성을 위해 사실상의 국제표준문서인 RFC 에 의해 규격이 정해져 있습니다. 약간 이상하게 들릴 수도 있겠지만, 규격으로 정해진 인증서의 본래의 용도는 개인키 소유여부의 확인이며, 본인확인 기능은 없습니다. 무슨 말이냐 하면 전자서명을 해서 상대방에게 보내면 "전자서명을 한 사람이 접니다" 라는 의사를 표시하는 것이지 그 "저"가 누구인지는 며느리도 모른다는 뜻이지요. 즉 인감증명서에 주민등록번호가 빠져 있는 것과 똑 같다는 뜻입니다. 이런 연유로 인해 우리나라의 공인인증체계에서는 독특하게 인증서에 개인의 고유한 식별정보(주민등록번호)를 간접적(!)으로 포함하여 이 기능을 통해 본인확인을 할 수 있는 것입니다. 눈치채신 분들도 계실지 모르겠지만, 이러한 연유로 국제표준 규격으로 제작된 인증서 관련 프로그램이 우리나라의 공인인증서에 대해서는 제기능을 수행하지 못할 수도 있습니다.

공인인증서를 전용프로그램으로 본 화면