전자계약 Q&A 해설

디지털 트러스트 협의회전자인증국 회의 공동 해설

전자인증국 회의 및 디지털 트러스트 협의회는 각각 전자서명법의 인정인증사업자, 타임스탬프 사업자를 중심으로 조직된 단체로 지금까지 국내에서의 트러스트 서비스 보급에 주력해 왔습니다. 트러스트 서비스란 「인터넷상에서의 사람·조직·데이터 등의 정당성을 확인해, 조작이나 송신원의 사칭등을 방지하는 구조」로, 디지털 데이터의 신뢰성을 확보하기 위해서 중요한 역할을 담당하고 있습니다. 2019년 1월부터 총무성에서는 트러스트 서비스 검토 워킹 그룹이 설립되어 제도 정비를 위한 검토가 계속되고 있습니다. 또한 내각부에서는 텔레워크 추진을 위해 서면규제, 날인, 대면규제에 대한 수정이 시작되고 전자서명법에 새로운 해석·견해를 추가하는 문서가 발표되는 등 트러스트 서비스 관련 제도가 시대에 맞춰 다시 정비되고 있습니다. 한편 클라우드 서비스의 발전으로 트러스트 서비스 기술을 이용한 다종다양한 전자계약서비스가 등장하고 있지만 신뢰성 확보라는 관점에서 볼 때 서로 다른 신뢰수준의 전자계약서비스가 섞여 제공되어 이용자에게 어떤 서비스를 선택하는 것이 적당한지 알기 어려운 상태입니다. 2001년 전자서명법 시행 이후 안정적으로 트러스트 서비스를 제공해 온 입장으로서 전자계약서비스를 이용하는 분들이 계속 안심하고 서비스를 이용할 수 있도록 이번에 두 단체가 공동으로 해설을 발표하기로 했습니다.

1. 서론

신종 코로나바이러스 감염 확대에 따라 직원들의 출근이 제한되고 재택근무 등 텔레워크가 확대되고 있습니다.기업에서는 문서에서 전자문서로의 전환이 과제가 되어, 「탈 도장」의 움직임이 활발해졌습니다. 최근에는 기업의 디지털 트랜스포메이션도 본격화해 전자계약 서비스가 주목받고 있습니다. 정부에서도 계약 업무에 있어서 날인 폐지·전자화를 뒷받침하는 문서가 차례차례 발표되었습니다.2020년 6월 19일에 '날인에 관한 Q&A3', 7월 17일에 '이용자의 지시에 따라 서비스 제공사업자 본인의 서명키로 암호화 등을 하는 전자계약서비스에 관한 Q&A(전자서명법 2조 1항에 관한 Q&A)4', 그리고 9월 4일에 '이용자의 지시에 따라 서비스 제공사업자 본인의 서명키로 암호화 등을 하는 전자계약서비스에 관한 Q&A(이하 '3조 관계)5'가 공표된다.이들 문서에서는 최근 민간 간에 이용이 확대되고 있는 이용자의 지시에 따라 서비스 제공 사업자 본인의 서명키로 암호화 등을 실시하는 전자계약서비스(이하 '사업자 서명형 전자계약서비스'라 한다.)에 대한 전자서명법에서의 정의·해석이 제시되었습니다. 본 해설은 이미 전자계약서비스를 이용하고 있는 분 및 이용을 검토하고 있는 분을 대상으로 앞서 제시된 정부의 견해에 관하여 구체적으로 어떤 점에 주의해야 하는지에 대한 해설을 기술하는 것입니다.현재보 미치고 있는 이용자 본인의 서명키로 실시하는 전자서명(이하 "당사자형 전자서명"이라 한다.)을 이용한 서비스와는 달리 사업자 서명형 전자계약서비스는 정부의 Q&A만으로는 그 내용을 알기 어려운 부 분도 있습니다. 본 해설에서는 2장에서 '3조 Q&A'의 포인트를 제시하고, 3장 이후에는 다음과 같은 관점에서 서술하고 있습니다.

  • 3장 전자서명법 제3조의 추정효를 얻기 위한 일반요건

  • 4장 위장되는 위험에 대한 대응 - 이용자의 본인 확인(신원확인, 본인인증)

  • 5장 재판에서의 입증

  • 6 장 사업자형 전자계약서비스와 당사자형 전자서명의 비교정리

2. 사업자 서명형 전자계약 서비스의 특징과 주무 삼성의 '3조 Q&A'

최근 전자계약서비스의 한 형태로서 제3자가 제공하는 인터넷상의 서비스를 통해 해당 서비스의 이용기업간에 교환된 계약사실을 증명하는 서비스가 나타났습니다. 특징을 이하에 기술합니다.

A) 전자계약서비스에 대한 접근이나 조작을 로그로서 기록함으로써 이용자(서명자)를 특정하고, 이용자 본인에 의한 계약임을 조작로그 등에 기록

B) 상기 A)에게 서비스 제공사업자의 전자서명을 부여함으로써 해당 기록이 계약 이후에 위조되지 않았음을 담보

이러한 사업자 서명형 전자계약서비스에 의해 작성된 전자문서가 진정으로 성립하는지에 대하여 2020년 9월 4일에 전자서명법 주무삼성으로부터 전자서명법 제3조의 전자적 기록의 진정한 성립의 추정효과가 작용하는지 Q&A형태로 제시되고 있으며, 이하에 그 답변 요약을 기재합니다.

문1. 전자서명법 제3조에서 "본인에 의한 전자서명(이를 하기 위하여 필요한 부호 및 물건을 적정하게 관리함으로써 본인만이 할 수 있게 되는 것에 한한다.)"이란 어떤 것인가?"

【회답 요약】 전자서명법 제3조가 전자문서의 성립 진정을 추정한다는 효과를 발생시키는 것이므로, 전자서명이 "본인에 의한" 것임을 요건으로 하고 있는 것은 전자서명이 본인 즉 전자문서의 작성 명의인의 의사에 기초하여 행해진 것임을 요구하는 취지이다.

「문제2. 서비스 제공 사업자가 이용자의 지시를 받아 서비스 제공 사업자 본인의 서명 키에 의한 암호화 등을 실시하는 전자계약 서비스는 전자서명법 제3조와의 관계에서는 어떻게 자리매김할 수 있는가.」

【회답 요약】 상기 서비스가 전자서명법 제3조에서 규정하는 전자서명에 해당하려면 해당 서비스가 본인이 아니면 실시할 수 없는 것이어야 한다고 되어 있다. 그러기 위해서는 해당 서비스가 이하의 ①, ②에 대해 충분한 기준의 고유성(고유성의 요건=다른 사람이 용이하게 동일한 것을 작성할 수 없는 것)을 충족시킬 필요가 있다고 생각된다. ① 이용자와 서비스 제공 사업자 간에 실시되는 프로세스를 예로 들면, 이용자가 2요소에 의한 인증을 받지 않으면 조치를 실시할 수 없는 구조가 갖추어져 있는 경우에는 충분한 기준의 고유성이 충족되어 있다고 인정될 수 있다고 생각된다. ② ①에서의 이용자의 행위를 받아 서비스 제공사업자 내부에서 이루어지는 프로세스 서비스 제공사업자가 해당 사업자 본인의 서명키로 암호화 등을 실시하는 조치에 대해, 암호의 강도·이용자별 개별성을 담보하는 구조(예를 들어 시스템 처리가 해당 이용자와 연계되어 적절하게 이루어지는 것) 등에 비추어 전자문서가 이용자 작성과 관련된 것임을 나타내기 위한 조치로서 충분한 기준 고유성이 충족되었다고 평가할 수 있는 경우에는 고유성 요건을 충족한다고 생각된다. 개별 사안에 있어서의 구체적인 사정을 감안한 재판소의 판단에 맡겨져야 할 사항이지만, 일반론으로서 상기 서비스는 ① 및 ②의 프로세스 모두에 대해서도 충분한 기준의 고유성이 충족되어 있다고 인정되는 경우에는 전자서명법 제3조의 전자서명에 해당하는 것으로 인정받게 될 것으로 생각된다.

'문3' 본 해설에서는 생략

문제4.전자계약서비스를선택할때유의점은무엇인가?

【회답 요약】 실제 재판에서 전자서명법 제3조의 추정효가 인정되기 위해서는 전자문서 작성 명의인의 의사에 근거해 전자서명이 행해지고 있을 필요가 있기 때문에 각 서비스를 이용할 때에는 해당 각 서비스를 이용하여 체결하는 계약 등의 중요성 정도나 금액과 같은 성질이나 이용자 사이에서 필요로 하는 신원확인 수준에 따라 적절한 서비스를 신중하게 선택하는 것이 적당하다고 생각된다.

3. 전자서명법 제3조의 추정효를 얻을 수 있기 위한 일반요건

계약은 법령에 특별한 규정이 있는 경우를 제외하고는 단두에서도 성립합니다만(민법 522조 1항), 통상은 체결의 유무나 그 내용을 나중에 확인할 수 있도록 계약서를 작성합니다. 또 민사소송시의 증거력(민사소송법 228조 1항)을 확보하기 위해서 당사자 각각이 계약서에 날인(동조 4항)하는 실무가 정착되어 있습니다. 따라서 계약을 전자화할 때에도 자기서 또는 날인과 동등한 증거력을 확보하는 것이 실무상 중요하며, 전자서명법 제3조의 추정효가 적용되어 재판실무에서도 해당 전자계약의 유효성, 즉 전자적 기록의 진정한 성립이 인정되는 구조가 갖추어져 있는지 여부가 전자계약서비스 사업자를 선택하는데 중요한 점이 됩니다. 전자서명이 본인 즉 전자문서 작성 명의인의 의사에 기초하여 행해졌다고 인정되는 경우에는 전자서명법 제3조의 규정에 따라 그 전자문서는 진정으로 성립한 것으로 추정되지만, 사업자 서명형 전자계약 서비스가 그 효과를 얻기 위해 3조 Q&A에서 요건으로 된 '충분한 기준의 고유성'을 정리하면 다음과 같습니다.

  1. 이용자의 신원 확인 수준이 충분해야 한다.

  2. 서비스 이용 시 본인인증 수준이 2요소에 의한 인증 등 강고한 것이어야 한다.

  3. 서비스 제공 사업자가 자신의 서명키를 사용하여 실시하는 전자서명의 암호강도가 충분한 것이며 서명키가 안전하게 관리되고 있을 것.

  4. 이용자별로 실시된 처리의 개별성을 담보하는 구조를 갖추고 있을 것. (예: 시스템 처리가 해당 이용자에게 연결되어 적절하게 행해진다)

또한 주무 3성의 Q&A에서는 설명이 생략되어 있습니다만, 서비스 제공 사업자의 공개키 증명서를 발행할 때 사업자 본인의 신원 확인도 중요하며, 이는 증명서를 발행하는 인증국에 의해 실시됩니다. 다음으로, 사업자 서명형 전자계약 서비스에 있어서의 상기 1~4는 당사자형 전자서명에서는 어떻게 대응할 수 있는지 비교하여 이하에 기재합니다.

당사자형 전자서명의 경우 1-4는 다음과 같이 정리할 수 있습니다.

  1. 이용자의 신원확인은 인증국의 증명서 발급 정책에 따라 실시된다. 제삼자의 준거성 감사나 전자서명법의 인정에 의해 증명.

  2. 당사자 인증 수준은 로컬 서명의 경우 '서명키 소유'와 '본인만이 알 수 있는 PIN의 수입력'의 2요소에 의한 인증. 후술하는 리모트 서명 서비스를 이용하는 경우에는 본인의 서명키에 액세스할 때 2요소 인증을 실시.

  3. 서명 발생에 사용하는 암호 알고리즘의 강도나 서명키의 안전한 관리에 관해서는 전자서명법 관련 법령 등에서 규정. 덧붙여 리모트 서명에서는 서명키의 안전한 관리에 대해서 ETSI7의 표준규격 8에서 내탬퍼인 하드웨어 시큐리티 모듈을 사용하고 있는 것이 정해져, 우리 나라에서도 리모트 서명 가이드 라인 9에서 동일하게 규정.

  4. 이용자별로 실시된 처리의 개별성을 담보하는 구조는 본인의 서명키를 사용하여 실시되는 전자서명에 의해 담보되며 서명을 검증함으로써 확인 가능해진다.

상기 그림에서는 이용자의 전자서명을 담보하기 위해 필요한 범위가 녹색 점선으로 표시되어 있으며, 사업자 서명형 전자계약서비스에서는 이용자의 전자서명을 담보하기 위한 범위가 당사자형 전자서명보다 넓은 범위에 이르는 것을 도시하고 있습니다.

따라서, 사업자 서명형 전자계약 서비스로 전자문서의 진정한 성립의 추정효를 얻으려고 하는 경우는 넓은 범위에서 충분한 기준의 고유성이 확보되어 있는지 검증이 필요하다고 생각됩니다. 특히 사업자 서명형 전자계약 서비스의 ④를 증명하기 위해서는 해당 이용자에 의해 시스템이 조작되었음을 담보할 필요가 있으며, 이를 증명하기 위해서는 이하의 대응이 필요하다고 생각됩니다.

  • 액세스나 조작 로그 등은 올바르게 적절히 기록되어 그것이 조작이나 삭제를 할 수 없는 사양이 되어 있을 것

  • 운전 담당자가 부정을 할 수 없도록 시스템 설계, 운행 설계가 되어 있어야 함

  • 올바르게 적절하게 운영되고 있는지 감사 등에서 체크되어 있을 것

  • 개별성 증명이 필요하게 되었을 때 로그나 감사 등의 기록이나 시스템 사양서 등을 제출할 수 있도록 충분한 기간 보존해 두는 것

이용자는 이러한 요건을 확인하고 체결하는 계약 등의 중요성이나 금액에 비추어 전자계약 서비스를 선택할 필요가 있습니다.

4. 위장되는 리스크에 대한 대응 - 이용자의 본인 확인(신원확인, 본인인증)

3조 Q&A 문4에서 '실제 재판에서 전자서명법 제3조의 추정효가 인정되기 위해서는 전자문서 작성 명의인의 의사에 근거해 전자서명이 행해지고 있을 필요가 있기 때문에 전자계약서비스 이용자와 전자문서 작성 명의인의 동일성이 확인되는(이른바 이용자의 신원확인이 이루어진다) 것이 중요한 요소가 된다'고 표시되어 있는 대로, 그 문서에 전자서명한 인물이 문서 작성 명의인과 동일한지 여부를 확인해야 합니다. 예를 들어 전자계약서비스에 계정을 등록할 때, 신분증 등으로 신원확인을 실시하지 않은 경우에는 악의를 가진 인물이 다른 인물로 위장하여 등록할 수 있습니다. 경제산업성에서는 '온라인 서비스에서의 신원확인에 관한 연구회 10'에서 신원확인의 보증수준을 구분별로 정리하여 공표하고 있습니다. 전자서명한 인물이 문서 작성 명의인과 동일한지 여부의 신원확인 는 보증 레벨 2~3 상당의 신원 확인을 실시하는 것이 적절하다고 생각됩니다.신원확인의 보증수준은 전자계약서비스별로 다르며 행세할 위험이나 소송 시 증명의 난이도에 차이가 있으므로 이용자는 체결하는 계약 등의 중요성이나 금액에 비추어 전자계약서비스를 선택할 필요가 있습니다.

5. 재판에서의 입증

일본에서는 전자계약의 형식적 증거력이 재판에서 다툰 판례는 현재로서는 없습니다. 그렇지만 전자계약의 보급에 따라 향후 전자계약의 진정성에 대해 재판에서 다투는 장면을 상정하여 미리 대응을 검토해 두어야 합니다. 지금까지 기술해 온 전자적 기록의 진정한 설립 추정효가 전자계약에 적용되면 재판에서의 입증이 용이해지기 때문에 이용할 전자계약 서비스의 선택은 큰 포인트가 됩니다. 종이문서의 경우 최고재판소 판례에 의해 인영과 본인 즉 작성명의인의 인감이 일치하면 본인의 의사에 따라 날인된 것으로 추정되며(1단 추정), 민사소송법 228조 4항에 따라 그 날인된 문서는 진정으로 성립된 것으로 추정됩니다(2단 추정). 전자서명의 경우 전자서명법 제3조의 요건을 충족시키면 2단계 추정은 이루어지지만, 1단계 추정에 대해서는 문서의 경우와 같은 판례가 아직 존재하지 않습니다. 따라서 전자문서의 작성 명의인의 의사에 기초하여 전자서명이 행해졌음을 어떠한 방법으로 입증하여야 합니다.이 때 전자계약서비스에서 신원확인을 엄격히 하고 있으면 입증부담도 경감됩니다. 반대로 본인신고 수준의 간이 신원확인에서는 위장 등이 우려되므로, 확실히 본인이 전자서명을 했는지 여부를 입증하기 위해 다른 입증절차를 사용해야 합니다.이 경우, 전자계약 서비스 사업자로부터 각종 로그의 제공이나 지원을 받을 수 있는지까지 고려할 필요가 있습니다.또, 그 사업자가 폐업·도산한 후에 입증할 필요가 있을 가능성도 생각되어 중요한 계약에 대해서는 만일의 경우를 대비한 대책이 필요합니다. 3조 Q&A에서 제시된 전자서명법 3조의 추정에 관한 요건으로서는 사업자에 의한 신원확인까지는 필수적이지 않지만 소송에서의 이용자 특정에 대비하기 위해 신원확인 수준이 높은 전자서명을 사용하는 것은 중요합니다.

6. 사업자형 전자계약서비스와 당사자형 전자서명 간의 비교정리

사업자 서명형 전자계약 서비스와 당사자형 전자서명으로 전술한 전자서명법 제3조의 추정효를 얻을 수 있는 일반요건 1~4를 증명하는 구조를 비교하면 다음과 같이 정리할 수 있다고 생각됩니다.

요건
사업자 서명형 전자계약 서비스
당사자형 전자서명

이용자의 신원확인 수준

  • 신원확인 표준규정이나 제3자 감사에 관한 규정은 없지만, 사업자 본인이 규정문서를 작성하여 적절한 운영을 하고 있음을 증명. 또한 그것들의 규정, 감사 기록, 본인 확인 서류의 제출을 생각할 수 있다.

  • 인증국이 증명서 폴리시(CP)의 규정에 따라 신원 확인, 제3자의 준거성 감사나 전자서명법의 인정에 의해 증명.또한 그것들의 규정, 감사 기록, 본인 확인 서류의 제출을 생각할 수 있다.

당사자 인증 수준

  • 2요소 이상의 인증을 실시하고 있음을 증명

  • 서명키나 PIN을 이용자 본인이 적절하게 관리하고 있었음을 증명

  • 원격서명을 이용하고 있는 경우 해당 서비스가 2요소 이상의 인증을 하고 있음을 증명

전자 서명의 암호 강도

  • 전자서명법의 관련 법령 등이나 전자정부 권장암호 리스트(CRYPTREC)에서 지정

  • 전자서명법의 관련 법령 등이나 전자정부 권장암호 리스트(CRYPTREC)에서 지정

이용자별 개별성

  • 액세스나 조작 로그 등은 올바르게 적절히 기록되어, 그것이 조작이나 삭제를 할 수 없는 사양이 되어 있을 것

  • 운전담당자의 부정을 할 수 없도록 시스템 설계, 운용설계가 되어 있을 것

  • 올바르게 적절하게 운영되고 있음이 감사 등에서 체크되어 있을 것

  • 로그나 감사 등의 기록, 시스템 사양서 등은 증명이 필요할 때 제출할 수 있으며 있도록 필요한 기간 보존해 둘 것

  • PKI 기술표준에 따라 서명검증을 통해 전자서명의 유효성을 증명

Previous전자계약에 대한 정부의 견해Next전자계약 도입 시 유의점

Last updated