하는 사람의 신원이나 대리관계를 결정적으로 확인할 필요는 없다. 인증기관은 그가 정하는 신원확인 절차를 따르더라도 효력의 정지를 요청하는 사람의 진술을 신뢰하여도 된다.
◈ 주 석
(1) 효력의 정지는 일시적으로 공개키 인증서를 무효화시키기 때문에 인증서에 기재되어 있는 공개키의 서명자와의 관계도 사실상 일시적으로 단절된다. 그러한 관계가 없다면 당해 공개키로 검증될 수 있는 전자서명은 서명자에게 귀속될 수 없을 것이다. 따라서 서명자는 그의 전자서명 능력을 효과적으로 정지시킬 수 있다.
(2) 인증기관은 그 요청을 하는 사람의 권한을 확인할 의무는 없지만, 그러한 요청을 즉시 확인하기 위한 일정한 절차를 마련해 두어야 한다. 이러한 절차가 없다면, 인증기관으로서 서명자에 대한 의무를 위반한 것이 되고, 서명자가 전자서명을 사용하지 못하는 데서 오는 손해를 보상할 책임이 있다.
(3) 매우 중요한 공개키 인증서의 효력을 정지시킴으로써 전자서명의 귀속을 일시 배제하는 것은 서명자가 비밀키의 소지에 따른 위험을 관리하는 주요 수단 중의 하나이다.
(4) 인증서를 신뢰할 수 있는 사람이 인증서 효력의 정지에 대한 제한이나 배제에 관하여 통지를 받은 경우에는 인증기관과 서명자 사이의 약정으로 그 효력의 정지를 제한하거나 배제할 수 있다. 이러한 제한이나 배제는 인증실행 설명서에 포함시킬 수 있다.
9. 요청에 의한 공개키 인증서의 취소(Revocation of Public Key Certificate by Request)
공개키 인증서를 발급한 인증기관은 다음의 일이 있는 즉시 인증서를 취소하여야 한다.
(a) 인증서상의 서명자 또는 그의 수권대리인으로부터 취소 요청을 받은 때 및
(b) 취소를 요청한 사람이 서명자이거나 취소를 요청할 수 있는 권한을 가진 그의 대리인임을 확인한 때
◈ 설 명
인증서를 발급한 인증기관(certifier which issued) : 인증서를 발급한 인증기관은 취소를 요청하는 사람의 신원이나 대리관계를 확인할 수 있는 가장 좋은 위치에 있기 때문에 그 인증서를 취소하여야 한다
취소하다(revoke) : 취소란 정의상으로 적용가능한 기간을 단축시키는 것이므로 이는 그 효력이 시간에 따라 정하여지는 것에 한한다. 만일 효력이 식별된 거래의 범위와 같이 다른 기준에 의하여 정하여진다면 이 항목은 적용되지 아니한다.
◈ 주 석
(1) 취소는 그 효력이 영구적인 것이고 최종 단계로써 취급되지만, "요청에 의한 공개키 인증서의 효력정지"에 기재되어 있는 주석이 취소에도 적용된다.
10. 동의없는 공개키 인증서의 효력정지 또는 취소(Suspension or Revocation of Public Key Certificate Without Consent)
공개키 인증서를 발급한 인증기관은 다음의 경우 이를 취소하여야 한다.
(a) 인증기관이 인증서에 진술되어 있는 사실이 허위임을 확인하였을 때
(b) 인증기관이 그의 신뢰도에 중대한 영향을 줄 정도로 인증기관의 정보 시스템의 신뢰성이 손상되었음을 확인하였을 때
인증기관은 이 조항에 따라 효력정지의 원인을 규명하기 위한 조사를 수행하는 데 필요한 기간 동안 상당한 의심이 가는 인증서의 효력을 정지시킬 수 있다.
◈ 설 명
취소하여야 한다(must revoke) : 만일 인증기관이 인증서를 취소하지 않거나, 적어도 조사를 수행하는 동안 인증서의 효력을 정지시키지 않고 위에서 말한 어느 이유에 대한 통지를 받은 것으로 밝혀진 경우에는 당연히 이로 인한 손해에 책임을 져야 한다. 이러한 행위를 하지 아니한 것은 제3자에 대한 인증기관의 "신뢰도"에 의문을 가져올 수 있다.
손상되다(compromised) : 보장된 메시지의 운영을 보호하기 위하여 비밀로 하여야 할 정보가 이에 접근할 수 있는 권리가 없는 당사자에게 공개되는 것을 말한다.
◈ 주 석
(1) 인증기관이 동의없이 인증서의 효력을 정지시키거나 취소할 수 있는 정확한 변수는 인증기관과 서명자 사이의 약정을 통하여 정하여질 것으로 예상된다.
11. 공개키 인증서의 취소 또는 효력정지에 대한 통지(Notice of Revocation or Suspension of a Public Key Certificate)
인증기관에 의한 공개키 인증서의 효력의 정지나 취소가 있는 즉시 인증기관은 그 효력의 정지 또는 취소에 대하여 적절한 통지를 하여야 한다.
◈ 설 명
적절한 통지를 하다(give appropriate notice) : 무엇이 적절한 것인지 판단함에 있어서 인증기관은 그 상황을 평가하고, 효력의 정지나 취소로 심각하게 영향을 받을 사람들에게 통지하기 위한 상당한 노력을 기울여야 한다. 통상 전자인증서 저장장치(repository)로 발행된 인증서의 경우 인증기관은 저장장치가 채택한 표준으로 정한 방법 또는 그가 공표한 절차설명서에 따라 동일한 저장장치를 이용하여 효력정지의 사실을 공표하여야 한다. 미공표 인증서의 경우 인증서의 효력정지와 취소의 통지는 인증기관 및 이를 요청한 사람의 관점에서 인증서를 신뢰할 것으로 예상되는 사람에게 도달하여야 한다.
◈ 주 석
인증기관이 통지를 하지 않은 경우에는 인증기관은 서명자와의 계약을 위반한 것이 되거나, 최악의 경우 서명자가 무효화된 키를 이용한 결과 발생한 손해에 대하여 책임이 있다.
맺 음 말
당초 이 보고서 GUIDEC은 전자적으로 보장된 전자상거래에 적용하기 위한 기본 문서로 할 의도였으나, 모든 문제를 단번에 다룰 수 없다는 것을 자연히 인식하게 되었다. 전자상거래의 모든 분야가 빠른 속도로 발전하고 있으므로 여기에 내포된 개념과 정의도 같은 속도로 발전할 필요가 있다. 그러므로 ICC의 전자상거래 프로젝트에서는 이 보고서에 열거된 주제에 대한 계속적인 연구를 통하여 GUIDEC이 설명하고 있는 정의 및 원칙을 널리 적용하는 한편, 업무현장에서 추가적인 문제가 드러나는 대로 이들 문제를 다루고자 한다. 기술이 발전하고 상거래계가 이러한 기술의 발전을 수용하면 할수록 거래계에서 필연적으로 복잡한 개념들을 쉽게 이해하고 이를 잘 이용할 수 있도록 하기 위해 이 보고서에 대한 수정 및 보완을 약속드리는 바이다.