전자서명은 안전한가요?

2021.12.03

네, 전자서명은 안전합니다.

이번 글에서는 왜 전자서명이 일반 문서서명보다 더 안전한지, 전자서명이 어떻게 작동하는지 알아보도록 하겠습니다.

왜 전자서명이 문서서명보다 더 안전할까요?

사람들이 전자서명에 대해 가장 많이 하는 질문은 “내 전자서명이 복제, 변조 또는 오용될 수 있지 않나요?” 입니다. 문서서명은 여러 방식으로 변조될 수 있지만, 전자서명은 여러 층의 보안이 적용되고 인증되도록 설계되어 있으며 법원에서 요구하는 서명 관계(누가 언제 서명 요청이 있었는지, 언제 받았는지, 언제 서명을 했는지 등)에 대해 증명할 자료들을 제공합니다.

전자 기록
문서서명과 달리 전자서명은 감사추적, 거래증명 역할을 할 수 있는 전자기록도 함께 제공합니다. 감사추적에는 문서를 열어보고, 서명한 세부 정보를 포함하여 문서에 대해 작업한 모든 내역들이 포함됩니다. 전자서명 제공자에 따라 서명자가 동의하면 서명 시 접속 위치 등도 기록할 수가 있으므로 문서서명보다 자세한 정보를 보유하게 됩니다. 서명자 중 한명이 서명에 대해 이의를 제기를 하거나 거래에 대한 질문이 있을 경우 이러한 기록들은 거래에 참가한 모든 사람들이 사용할 수 있으며, 추후 문제를 해결하기 위해 사용될 수 있습니다.

서명 완료 증명서
보다 자세한 서명 완료 증명서에는 서명자가 전자서명 사용에 동의했음을 나타내는 사용자, 서명 이미지, 키 이벤트, 시간 정보, 서명자의 IP 주소 및 기타 식별 정보를 포함하여 문서의 각 서명자에 대해 특정 세부 정보가 포함될 수 있습니다. 아래는 테스트용으로 작성한 전자서명의 완료 증명서 입니다.

변조 방지 봉인
서명 프로세스가 완료되면 모든 문서는 산업 표준 기술인 PKI (공개 키 인프라 구조)를 사용하여 디지털 봉인됩니다. 이 인감은 전자서명이 유효하며 서명일 이후 문서가 변조 또는 변경되지 않았음을 나타냅니다.

전자서명은 어떻게 동작하나요?

정확한 전자서명 프로세스는 전자서명 회사들마다 다르겠지만, 전반적인 전자서명 솔루션들은 비슷한 프로세스를 가집니다.

서명 보내기:
– 서명이 필요한 문서 업로드 (워드파일, PDF 파일)
– 필요한 정보 설정 (서명, 이니셜, 전화번호, 이름 등)
– 서명자를 어떻게 인증할지에 대해 설정
– 상대방의 이메일 주소로 서명 요청을 보냄

서명:
– 서명을 요청한 이메일 수신
– 사인하기 전에 개인에 대한 확인 절차 (서명 요청자가 정한 경우에)
– 서류 검토 후 다음 승인 절차 진행
– 문서 검토 후 필요한 정보들 입력하거나 첨부파일 추가
– 어떤 서명 스타일을 쓸지 결정 (처음 사용자의 경우 추가)
– 서명 완료
– 모든 서명자가 서명 완료 후 모든 사람들에게 완료되었다는 통보를 함 (필요시 다시 보거나 다운로드 할 수도 있음)

서명자 확인 절차

전자서명 기술은 서명자가 진짜 서명해야 할 사람이 맞는지에 대해 문서 확인 전에 다양한 확인 방법을 제공합니다.

– 이메일 주소: 서명자가 자신의 이메일 주소를 다시 한번 입력하여 수신자와 맞는지 비교
– 접속 코드: 서명 요청자가 별도의 임시번호를 제공하여 그 번호를 입력하게 함.
– 전화 확인: 서류에 접속을 시도하면 별도의 전화로 이름과 접속 코드를 확인
– SMS: 서명 요청자가 SMS로 보낸 문자를 입력
– 지식기반(Knowledge Base): 서명자가 별도의 질문을 하여 서명자 확인 (주소, 자동차 브랜드 등등)
– 신분증 확인(ID verification): 정부나 기관에서 제공한 사진이 포함된 신분증으로 확인하는 방법 (여권, 주민등록증, 면허증 등), 유렵의 경우 eID. 이 경우 별도의 추가 서비스를 이용하여야 하며, 현재 유럽 등 일부에서 특정 산업군에 대해서만 사용하도록 함. (더 자세한 정보는 eIDAS 확인)
– Advanced: 더 추가적인 보안이 요구되는 경우, 공인된 인증서를 통한 인증 후 서명 진행하는 방법
예) certificate-based digital ID (X.509 PKI)
– Qualified: ‘Advanced’ 보다 더 보안을 요구하는 경우, 별도의 보안 서명 재생장치를 사용하거나 직접 공인된 회사를 통해서 서명을 추가적으로 하는 방법. 유럽에서 요구되고 있으며, 초기 단계임.

전자서명에서 보안 우선 접근 방식의 중요성

전자서명 업체들마다 제공하는 보안 레벨은 다양합니다. 따라서 얼마나 다양한 보안 수준을 제공하는지가 업체를 선정하는 중요한 요소 중 하나입니다. 이는 여러분의 업무(HR, 물류, 법무, 세일즈 등), 산업군(제조, 헬스케어, 은행 등), 비지니스 범위 (국내, 국외)에 따라 다르므로 다양한 솔루션을 제공해주는가에 대해 충분한 검토를 해야합니다.

– 물리 보안 (Physical security): 해당 시스템이 있는 곳의 시스템들과 빌딩 등이 어떻게 보호되고 있는지의 여부
– 플랫폼 보안 (Platform security): 데이터와 프로세스가 시스템안에서 제대로 보호되고 저장되는지의 여부
– 보안 인증/프로세스(Security certifications/processes): 서비스 제공자, 직원, 파트너사가 보안 및 개인정보 관리에 대한 최고의 규정을 준수하는지에 대한 여부

도큐사인 기준으로 전자서명 보안 접근 방식을 살펴볼까요?

물리 보안

데이터 센터의 Active-Active 및 Active-Redundant 가 고려되었는지와 물리적/논리적 네트워크 분리 여부
DDoS 등의 분산 서비스 거부 공격을 막을 수 있는지 여부와 방화벽을 포함한 다양한 보안장치의 운용 여부
악성코드 대비 시스템
실시간에 가까운 데이터 복제
24시간 현장 보안
24시간 모니터링되는 비디오 보안장치를 통한 출입통제

플렛폼 보안

TLS 연결 및 AES 256 비트 암호화를 사용하여 전송중 또는 미사용 데이터 암호화
HTTPS 데이터 엑세스 및 전송
사용자에게 웹 기반 인증 및 권한 부여 및 SAML가능 여부
PKI 변조 방지 장치
서명 확인 인증서
서명 작업 및 완료된 문서의 변경 또는 복사가 불가능
서명자에 대한 여러가지 인증 옵션

보안 인증 및 프로세스

디지털 거래 및 전자서명을 관리하는 관련 법률, 규정 및 산업 표준 준수

– ISO 27001:2013: 현재 이용 가능한 세계 최고 수준의 글로벌 정보 보안 인증.
– SOC 1 Type 2 and SOC 2 Type 2: 내부 통제, 정책 및 절차를 평가하며, SOC 2는 서비스 조직의 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호와 직접 관련된 항목들에 초점을 맞춤
– Payment Card Industry Data Security Standard (PCI DSS): 신용카드 사용자에 대한 정보의 안전한 처리를 보장하는 규정.
– Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR) program: 투명성, 엄격한 감사 및 표준화의 핵심 원칙으로 구성되며, HIPAA, 21 CFR Part 11 and specified rules from the FTC, FHA, IRS and FINRA의 특정 규칙과 같은 전문산업 규정을 준수할 수 있는 능력.

비즈니스 연속성 및 재해 복구 계획, 직원 교육, 보안 코딩 사례, 공식 코드 검토 및 정기적인 코드 기반 보안 감사를 포함한 보안 관리 프로세스 및 개발 사례

자, 그래서 전자서명이 안전하냐는 질문에는, 네, 안전 합니다.

코로나19로 가속화된 디지털 전환에 잘 대응하고 계신가요?
돌이킬 수 없는 대세로 자리 잡은 업무의 비대면화에서 반드시 확인해야 하는 것이 보안 문제입니다.
보안의 중요성이 더욱 커지는 가운데, 여러분의 계약 프로세스는 현재 보안 우선 접근 방식이 잘 작동하고 있는지요?

지금까지 살펴본 바와 같이 독보적인 보안과 안전성을 자랑하는 도큐사인 전자서명 서비스에 대해 더 알고 싶으시다면 국내 공식 리셀러 블로코에게 문의주세요.

[문의하기]