적절히 검증됨라고 안전한 전자기록에 대한 정의를 내리고 있다.
2. 전자서명인증 추진 및 공인인증기관 지정
전자거래법(ETA : Electronic Transaction Act)과 동법 시행규칙(Electronic Transactions(Certification Authority) Regulation)을 공포하여 공개키기반구조를 주요 기술로 채택하여 전자서명인증 업무를 가능하게 하였다.
통상산업성(Ministry of Trade and Industry)에서 소관하며 IDA (Inforcomm Development Authority)에서 전자서명 인증정책을 결정하고, CCA(Controller of CA)가 최상위인증기관 역할을 수행하고 있다. 공인인증기관의 허가에 관한 규칙을 제정할 수 있는 법적 근거를 전자거래법 제42조에 두고 있으며, 이에 따라 하위법령인 시행규칙(인증기관규정)을 제정하여 인증기관을 허가하고 있다.
3. 각 국의 신원확인 방법 및 절차
인증서 신청시 인증서와 인증서 효력정지·폐지목록의 확장영역에 사용되는 명칭으로 실명, 전자우편 주소, 인터넷 도메인명, 인터넷 IP 주소, WWW용의 URL 등을 사용할 수 있다.
인증서 효력정지 및 폐지 신청시 폐지 신청에 관해 인증과정을 거치며 인증서 폐지와 관련하여 약정에 따른 절차를 수행한다. 또한 인증서 효력회복 신청시 각 인증서의 만기에 앞서 한달 안에 이메일 등을 통해 통보한다. 유료사용자에 대하여 지불 방법 및 방식에 관한 사항 등에 관해 통보한다.
4. 각 국의 공인인증기관의 보호조치 및 점검체계
1) 기술적 보호체계
인증기관은 네트워크 보호체계에 있어 인증기관의 운영 환경상 인터넷을 통한 공격을 방어할 수 있는 최소한의 방화벽을 설치하여야 하며, 인증관리자 접속, 인증 디렉토리 등에 접근 할 때에는 ID와 비밀번호 등의 인증시스템을 거쳐야 한다. 인증기관은 물리적이고 논리적으로 접근제어가 되는 인증시스템을 갖추어야 하며, 격리되고 신용상 문제가 없는 규정상의 위치에 있어야 하며, 모든 보안 관련 이벤트의 감사를 시행하여야 한다. 또한 인증서비스에 국제적 보안 표준을 사용한다.
2) 물리적 보호 체계
인증기관의 인증시스템에 물리적 접근을 차단하기 위해 4중 구조로 보안이 유지된 데이터센터에 인증시스템이 설치되어 있어야 한다. 방문자 및 계약자는 신분확인을 필히 거쳐야 하며, 데이터 센터의 출입문은 접근이 제한되는 구조로 되어있어야 한다.
인증시스템이 위치 추적이 가능하며, 관련 직원만이 출입할 수 있는 데이터센터 내의 분리된 공간에 놓아지며, 24시간 감시체제가 가동되어야 한다. 또한, 인증시스템실에는 생체인식장치가 적용되어 있어야 한다. 수해, 화재 위험에 충분히 보호되어 있어야 하며, 정전에 대비하여 UPS(무정전 전원공급치)에 의해 전원을 공급받고 있으며, 충분한 환기 상태와 냉각 시스템을 갖추고 있어야 한다. 또한 주요 데이터의 손상/분실이 있을 경우를 대비한 재해복구계획에 따라 백업을 시행한다.
5. 각 국의 손해배상 절차 및 제도
1) 인증기관의 책임
인증기관은 인증업무 수행과 관련하여 이용자 등에 손해를 입힌 때에는 그 손해를 배상하여야 하나 천재지변 등 불가항력적으로 발생한 경우에는 그 배상책임이 면제된다. 구체적으로 파업, 노동분쟁, 폭동, 민간인 방해, 소송, 천재지변, 전쟁, 화재, 폭발, 지진, 홍수나 다른 대참사를 제한없이 포함해야 한다.
위에 언급된 사건의 지속기간 동안 CPS 그리고 적절한 인증업무에 있는 특정 또는 모든 의무, 책임이 그 사건에 의해 영향을 받을 때 경감되어진다.
2) 신뢰기관과 이용자의 책임
신뢰기관(등록대행기관 등)은 계약에 의한 등록업무를 성실히 수행하여야 하며, 이를 이행하지 못하여 인증기관에 피해를 입힌 경우 재무상의 책임을 져야 한다. 또한 사용자도 인증업무준칙에 명시된 사용자의 의무를 이행해야 하며 다음과 같은 사항에 의하여 인증기관에 피해를 입힌 경우 재무상의 책임을 져야 한다.
o 신청자의 허위 진술
o 부정사용을 위하여 고의로 신청서를 허위기입하거나 생략하는 경우
o 사용자의 관리 소홀에 의한 비밀키의 분실이나 도난, 부정사용을 위한 비밀키의 임의 변경
6. 각 국의 공인인증기관의 현황 및 요금체계
싱가포르의 첫 번째 인증기관이었던 ID.Safe Pte Ltd.가 인증업무를 중단한 상태로 현재는 Netrust Pte Ltd.가 유일한 공인 인증기관으로 등록되어 있으며, TrusAsia Pte Ltd.는 공인인증기관지정의 실질심사 중에 있다.
○ Netrust Pte Ltd.
1) 서비스개요
Net-ID라는 이름으로 www.netrust.com.sg에서 서비스하고 있다.
2) 인증기관 소개
Netrust는 싱가포르 유일의 공인인증기관으로 설립되었다. Keppel Telecommunications & Transportation(Keppel T&T)와 Network for Electronic Transfers(Singapore) Pte Ltd(NETS) 사이의 합작투자로 설립된 Netrust은 인터넷과 무선인터넷을 통해 안전한 전자거래를 가능하게 하기 위해 개인과 기업, 그리고 정부기관에게 온라인 인증과 보안 인프라 구축에 대한 서비스를 제공하고 있다.
3) 서비스 소개
(가) 인증서 서비스 : 전자서명인증 서비스와 SSL 서버인증 서비스, 무선인터넷(WAP) 서버 인증 서비스를 제공하고 있다.
(나) 보안 솔루션 : 파일과 이메일 보안, VPN(가상사설망) 서비스 등의 기업 업무 환경에 필요한 보안 솔루션 제공하고 있다.
(다) 컨설팅 서비스 : E-Business에 적합한 보안 컨설팅, PKI 도입에 따른 기업 컨설팅 등 기업 Customizing 컨설팅 서비스 제공하고 있다.
참고문헌
강승원 외 8명(2002), 전자상거래의 이해, 학현사
류시욱·주재훈, 전자상거래 @ e-비즈니스
배대헌(2000), 전자서명 인터넷법, 세창출판사
안중호(2000), 전자상거래 관리사, 홍문사
정병석(2000), 전자상거래에 관한 최근의 입법 동향, 학술진흥재단
전자상거래 입문, 도서출판 두남
정보통신부(2002), 전자거래입법의 문제점과 개선 방안