[디지털투데이 백연식 기자] 카카오가 전자서명법 위반 논란 속에 과학기술정보통신부로부터 처분을 받게 될 예정인 것으로 확인됐다. 카카오는 과기정통부와 한국인터넷진흥원(KISA)으로부터 전자서명인증사업자로 지난해 11월 최종 인정받은 바 있다.

카카오의 경우 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 정보를 당사 홈페이지 또는 애플리케이션에 공고해야 하는데 이를 어긴 것으로 알려졌다. 하지만 카카오 측은 전자서명법을 위반한 것이 아니라는 입장이다. 

21일 과기정통부 및 IT업계에 따르면 정부와 KISA는 카카오가 전자서명법 위반을 했다고 판단하고, 조만간 처분을 내릴 계획인 것으로 파악됐다. 

전자서명인증 평가·인정제도는 지난 2020년 12월 공인전자서명인증제도 폐지 이후 전자서명인증 수단의 신뢰성과 안전성 확보를 위해 도입됐다. 카카오는 전자서명인증서비스 가입자·이용자 보호를 위해 사업자가 지켜야 할 물리적·관리적·기술적 보안, 개인정보보호 등 70개 심사 항목을 통과한 바 있다. 

카카오의 전자서명인증업무준칙에 따르면 전자서명인증체계는 인증서의 발급 및 인증 관련 기록의 관리, 인증서를 이용한 부가업무 등을 제공하기 위한 체계다. 카카오는 전자서명인증체계의 안전하고 신뢰성 있는 운영을 위한 정책의 수립·시행 및 감독하는 기관으로서 카카오 최상위 인증기관(KAKAO ROOT CA), 카카오 인증기관(KAKAO CA)으로 전자서명인증체계를 구성해 이를 관리하고 감독한다. 

카카오는 인증기관으로서 가입자에게 ▲안전한 전자서명 인증관리체계 구축 및 운영 ▲가입자의 신원 확인 ▲인증서비스의 제공 ▲인증서의 발급, 재발급, 폐지 업무 ▲인증서 유효성 확인 업무 ▲기타 인증기관으로서 수행해야 할 업무 등의 전자서명인증서비스를 제공해야 한다. 카카오는 정당한 사유 없이 전자서명인증서비스의 제공을 거부하거나, 가입자 또는 이용자를 부당하게 차별하지 않아야 한다. 또한 가입자 및 이용자에게 인증서의 신뢰성이나 유효성에 영향을 미칠 수 있는 정보를 당사 홈페이지 또는 애플리케이션에 공고해 그 사실을 확인할 수 있도록 해야 한다.

해당 사항은 ▲전자서명인증업무 운영기준 준수사실 인정 또는 취소 ▲ 전자서명인증업무 휴지·정지 또는 폐지 ▲전자서명인증업무의 양도·양수·합병 ▲인증업무준칙의 제·개정 ▲기타 전자서명인증업무 수행 관련 정보 등이 해당된다. 

카카오는 신뢰할 수 있는 소프트웨어나 하드웨어 등을 이용해 안전한 방법으로 전자서명생성정보를 생성하며 생성된 전자서명생성정보가 분실·훼손 또는 도난·유출되지 않도록 안전하게 관리해야 한다. 또한 카카오는 인증기관으로서 안전하게 생성한 전자서명생성정보로 발급한 가입자의 인증서에 대해 그 내용이 신청등록된 사실과 오차가 없다는 것을 확인해야 한다. 

카카오는 인증기관 자신의 전자서명생성정보의 분실·훼손 또는 도난·유출 등 인증서의 신뢰성이나 유효성에 영향을 미치는 사유가 발생한 사실을 인지하는 경우 해당 사실을 당사 홈페이지 또는 애플리케이션에 즉시 공고해야 한다. 또한 해당 전자서명생성정보로 발급한 가입자의 인증서를 폐지하고 이를 가입자에게 통보해야 한다. 전자서명인증업무의 신뢰성·유효성을 확보할 수 있는 대책 역시 찾아야 한다. 

과기정통부는 전자서명 인증업무 운영 기준을 고시하고, 인정기관을 지정하며, 평가기관을 선정 또는 취소하는 역할을 담당한다. KISA는 전자서명법 제9조에 따라 전자서명인증사업자의 운영기준 준수 사실의 인정에 관한 업무를 수행하는 기관이다. 전자서명인증사업자가 자격을 갖췄는지 여부를 확인해 운영기준 준수사실을 인정하는 경우 그 인정내용 및 유효기간이 기재된 증명서를 해당 전자서명인증사업자에게 발급한다. 

현재 카카오 인증서로 국세청 홈택스·위택스와 행정안전부 정부 24, 국민권익위원회 국민신문고, 관세청 개인통관 고유부호 조회, 보건복지부 복지로 등 다양한 공공서비스를 이용할 수 있다. 신종 코로나바이러스 감염증(코로나19) 잔여 백신 당일 예약과 질병관리청 코로나19 예방접종 사전예약 시스템에도 활용되고 있다.

카카오는 자사 인증서의 강점이 쉬운 발급 과정과 간편한 사용성이라고 강조해왔다. 카카오톡 이용자는 회원 가입이나 별도 앱 설치 과정 없이 약관 동의와 본인 확인을 거쳐 인증서를 발급받을 수 있다. 하지만 시행 초기에 전자서명법 위반 논란이 발생해 신뢰성 등 타격이 불가피할 것으로 보인다. 카카오는 금융 분야 마이데이터 통합 인증 사업 등 이용자 2800만명을 보유한 카카오 인증서의 활용 범위를 확장할 계획인 것으로 전해졌다. 

이와 관련 카카오 관계자는 “위반 여부에 대한 문의가 있어 관련 기관에 당사 입장을 충분히 설명했다”며 “필요한 조치 사항이 있다면 최대한 빠르게 진행할 예정”이라고 말했다.