인증업무의 안전 및 신뢰성 확보

인증업무의 안전 및 신뢰성 확보

1. 인증관리체계의 운영

공인인증기관은 자신이 발급한 인증서가 유효한지의 여부를 누구든지 정보통신망을 통하여 항상 확인할 수 있도록

인증관리체계를 안전하게 운영하여야 한다.

2. 전자문서의 시점확인

공인인증기관은 가입자 또는 인증서를 이용하는 자의 신청이 있는 경우에는 전자문서가 당해 공인인증기관에

제시된 시점을 전자서명하여 확인할 수 있다.

◐ 거래의 성격에 따라서 전자문서가 작성된 시점을 분명히 해야 할 필요가 있는데 이 경우 인증서를 발급한 공인인증기관에 신청하면

공인인증기관은 당해 전자문서가 공인인증기관에 제시된 시점을 확인하고 여기에 자신의 전자서명 생성키로 서명하여 준다. 

필요시 이 문서를 공인인증기관의 전자서명 검증키로 풀면 공인인증기관에 제시된 시점을 확인할 수 있다.

3. 전자서명 생성키의 관리

① 가입자는 자신의 전자서명 생성키를 안전하게 보관․관리하여야 하며, 이를 분실 또는 훼손한 때에는  공인인증기관에 통보하여야 한다.

② 공인인증기관은 가입자의 신청이 있는 경우 외에는 가입자의 전자서명 생성키를 보관하여서는 아니 되며, 가입자의 신청에 의하여

그의 전자서명 생성키를 보관하는 경우에도 당해 가입자의 승낙 없이 이를 이용하거나 유출하여서는 아니된다.

(가입자의 신청이 있는 경우 외에는 전자서명 생성키를 보관할 수 없음에 유의할 것)

③ 공인인증기관은 자신이 이용하는 전자서명 생성키를 안전하게 보관․ 관리하여야 하며, 당해 전자서명 생성키가 분실, 훼손 또는

도난․유출된 때에는 보호센터에 지체없이 통보하고 인증업무의 안전과 신뢰성을 확보할 수 있는 대책을 강구하여야 한다.

④ 보호센터는 위 제3항의 규정에 의해 분실․훼손 또는 도난․유출되었음을 통보를 받은 경우에는 당해 공인인증기관에게 발급한 인증서를

폐지하고 인증관리체계에 의하여 누구든지 그 사실을 항상 확인할 수 있도록 지체없이 필요한 조치를 취하여야 한다.

이 경우 폐지된 인증서는 폐지된 때부터 그 효력이 소멸된다.

⑤ 보호센터는 제3항의 규정에 의하여 공인인증기관이 인증업무의 안전과 신뢰성을 확보할 수 있는 대책을 강구한 때에는

당해 공인인증기관의 신청에 의하여 새로운 인증서를 발급하여야 한다.

4. 인증업무에 관한 기록의 관리

① 공인인증기관은 가입자의 인증서와 인증업무에 관한 기록을 안전하게 보관․관리하여야 한다.

② 공인인증기관은 가입자인증서등을 당해 인증서의 효력이 소멸된 날부터 10년 동안 보관하여야 한다.

5. 전자서명 생성키의 보호 등

① 누구든지 타인의 전자서명 생성키를 도용 또는 누설하여서는 아니된다.

② 누구든지 타인의 명의로 인증서를 발급받거나 발급받을 수 있도록 하여서는 아니된다.

6. 개인정보의 보호

① 공인인증기관은 인증업무 수행에 필요한 최소한의 개인정보만을 수집하여야 하며, 본인의 동의 없이 개인정보를 수집하여서는 아니된다.

② 공인인증기관은 수집된 개인정보를 인증업무외의 목적으로 이용하거나 유출하여서는 아니된다.

다만, 다른 법률에 특별한 규정이 있거나 본인의 동의가 있는 경우에는 그러하지 아니하다.

③ 공인인증기관은 가입자가 자신의 개인정보에 대한 열람을 신청하거나 당해 개인정보의 오류에 대하여 정정을 요구하는 때에는

지체없이 필요한 조치를 취하여야 한다.

④ 인증업무에 종사하거나 종사하였던 자는 직무상 알게 된 타인의 개인정보를 누설하거나 타인에게 제공하여서는 아니된다.

◐ 인증업무 목적외의 목적으로 개인정보를 이용하거나 유출할 수 있는 경우

- 본인의 동의가 있는 경우

- 다른 법률에 특별한 규정이 있는 경우

◐ 전자거래기본법과는 달리 전자서명법에는 『재화 또는 역무를 배달을 의뢰하는 자에게 배달에 필요한 정보를 제공하는 경우』에

인증업무 외의 목적으로 개인정보를 이용, 유출할 수 있는 예외조항으로 규정되어 있지 않다. 

이는 공인인증기관의 업무에는 배달을 의뢰해야할 경우가 발생하지 않기 때문이다.

◐ 전자거래 기본법과는 달리 전자서명법에는 가입자 개인정보의 삭제는 규정하고 있지 않다.

이는 공인인증기관의 개인정보의 삭제는 인증서비스의 중단의 의미를 갖기 때문에 인증서 폐지신청으로 대체할 수 있기 때문이다.

◐ 전자거래기본법에는 본인의 개인정보에 대한 정정요구 시 잘못된 정보에 대하여 증빙자료를 제시하여야 하나 서명법에서는

증빙자료 제시없이 정정요구를 할 수 있다고 규정하고 있다.

7. 전자서명인증관리업무

① 보호센터는 전자서명을 안전하고 신뢰성 있게 이용할 수 있는 환경을 조성하고 공인인증기관을 효율적으로 관리하기 위하여

공인인증기관의 전자서명 검증키에 대한 인증, 전자서명인증기술의 개발 및 보급 기타 전자서명인증과 관련된 업무를 수행한다.

8. 배상책임

공인인증기관은 인증업무 수행과 관련하여 가입자 또는 인증서를 신뢰한 이용자에게 손해를 입힌 때에는 그 손해를 배상하여야 한다.

다만, 그 손해가 불가항력이나 이용자의 고의 또는 과실로 인하여 발생한 경우에는 그 배상책임이 경감 또는 면제된다.

<연습문제>

[제1회 시험 4과목 기출문제]

문제 1) ‘전자서명법’에 규정된 인증업무의 안전 및 신뢰성 확보에 대한 다음 설명 중 잘못된 것은?

① 공인인증기관은 자신이 발급한 인증서가 유효한지의 여부를 누구든지 정보통신망을 통하여 항상 확인할 수 있도록 인증관리체계를 안전하게 운영하여야 한다.

② 공인인증기관은 가입자 또는 인증서를 이용하는 자의 신청이 있는 경우에는 전자문서가 당해 공인인증기관에 제시된 시점을 전자서명하여 확인할 수 있다.

③ 가입자는 자신의 전자서명 생성키를 안전하게 보관, 관리하여야 하며, 이를 분실 또는 훼손한 때에는 공인인증기관에 제시된 시점을 전자서명하여 확인할 수 있다.

④ 공인인증기관은 가입자의 신청이 있는 경우 외에는 가입자의 전자 서명키를 보관하여서는 아니된다.

⑤ 공인인증기관은 자신이 이용하는 전자서명 생성키를 안전하게 보관, 관리하여야 하며, 당해 전자서명 생성키가 분실, 훼손 또는 도난, 유출된 때에는 법원에 지체없이 통보하고 인증업무의 안전과 신뢰성을 확보할 수 있는 대책을 강구해야 한다.

문제 2) ‘전자서명법’ 에 규정된 개인정보의 보호와 관련된 다음 설명 중 잘못된 것은?

① 공인인증기관은 인증업무의 수행에 필요한 최소한의 개인정보만을 수집하여야 한다.

② 공인인증기관은 본인의 동의가 없더라도 개인정보를 수집할 수 있다.

③ 공인인증기관은 수집된 개인정보를 인증업무 외의 목적으로 이용하거나 유출하여서는 아니 된다.

④ 공인인증기관은 가입자가 자신의 개인정보에 대한 열람을 신청하거나 당해 개인정보의 오류에 대하여 정정을 요구하는 때에는 지체없이 필요한 조치를 취하여야 한다.

⑤ 인증업무에 종사하거나 종사하였던 자는 직무상 알게 된 타인의 개인정보를 누설하거나 타인에게 제공하여서는 아니 된다.

문제 3) 공인인증기관은 인증업무 수행과 관련하여 가입자 또는 인증서를 신뢰한 이용자에게 손해를 입힌 때에는 전자서명법 제26조에 따라 그 손해를 배상하여야 한다. 그러나 동 조항은 배상책임의 경감 또는 면제사유로서 그 손해가 (       )(이)나 이용자의 고의 또는 과실로 인하여 발생된 경유에는 배상책임이 경감 또는 면제된다.  빈칸에 해당되는 사유는?

[ EBS 모의고사]

문제 4) 인증업무의 안전 및 신뢰성 확보에 관한 전자서명법의 내용이 아닌 것은?

① 공인인증기관은 가입자 또는 인증서를 이용하는 자의 신청이 있는 경우에는 전자문서가 당해 공인인증기관에 제시된 시점을 전자서명하여 확인할 수 있다.

② 공인인증기관은 가이자의 인증서와 인증업무에 관한 기록을 안전하게 관리해야 한다.

③ 인증서는 인증서의 효력이 소멸된 날로부터 10동안 보관하여야 한다.

④ 누구든지 타인의 전자서명 생성키를 도용. 누설하여서는 아니된다.

⑤ 손해발생시 이용자의 고의 또는 과실로 인하여 발생한 경우에는 그 배상책임이 경감되나 면제 될 수는 이용자 보호의 원칙상 없다고 할 수 있다.

[HowPC 모의고사]

문제 5) 다음은 전자서명법에 대한 설명이다. 그 내용으로 알맞지 않은 것은?

① 인증기관이 개인의 정보를 수집하기 위해서는 본인의 동의를 얻어야만 한다.

② 정보통신부 장관은 안전성과 신뢰성에 기준 하여 공인인증기관을 지정할 수 있다.

③ 공인 인증기관은 인증업무에 필요한 업무 준칙을 작성하여 정보통신부 장관에게 신고할 수 있다.

④ 공인 인증기관이 인증업무 수행과 관련하여 가입자 등에게 손해를 입힌 경우에는 적절한 배상을 하도록 한다.

⑤ 공인 인증기관의 안전성보다는 신뢰성이 더 중요하다.

문제 6) 타인에게 정보를 제공할 때의 기본적인 윤리이다. 잘못된 것은?

① 인간의 존엄성을 훼손하거나 특정인의 명예를 훼손하지 않는다.

② 개인의 육체적, 정신적 고통에 대한 정보는 그 경험이 중요하므로 상세하고 자극적으로 묘사한다.

③ 개인의 사생활을 부당하게 침해할 수 있는 개인의 이름, 주소 등을 사용할 수 없다.

④ 폭력적인 내용 등을 문제해결의 방법으로 제시하는 내용의 정보를 유통하지 않는다.

⑤ 살인, 자살, 고문, 폭력, 학대, 인신매매 등을 내용으로 하는 정보를 유통해서는 안된다.

<정답>

문제 1) ⑤ 공인인증기관은 자신이 이용하는 전자서명 생성키를 안전하게 보관, 관리하여야 하며, 당해 전자서명 생성키가 분실, 훼손 또는 도난, 유출된 때에는 법원에 지체없이 통보하고 인증업무의 안전과 신뢰성을 확보할 수 있는 대책을 강구해야 한다.

해설: 법원에 통보가 아니고 한국정보보호센터에 지체없이 통보하여야 한다. (전자서명법 제 21조 3항)

문제 2) ② 공인인증기관은 본인의 동의가 없더라도 개인정보를 수집할 수 있다.

해설: 본의의 동의 없이 개인정보를 수집하여서는 아니된다. (전자서명법 제24조 1항)

문제 3) 불가항력 (전자서명법 제 26조)

문제 4) ⑤ 손해발생시 이용자의 고의 또는 과실로 인하여 발생한 경우에는 그 배상책임이 경감되나 면제 될 수는 이용자 보호의 원칙상 없다고 할 수 있다.

해설: 면제도 가능하다. (법 제26조)

문제 5) ⑤ 공인 인증기관의 안전성보다는 신뢰성이 더 중요하다.

해설: 공인인증기관을 평가함에 있어서 안전성과 신뢰성 모두 중요한 지표이다.

문제 6) ② 개인의 육체적, 정신적 고통에 대한 정보는 그 경험이 중요하므로 상세하고 자극적으로 묘사한다.