Digital Signatures vs Electronic Signatures — pdf0.ai

2019년, 230만 달러 계약이 내 손에서 거의 무산된 날이 아직도 기억납니다. 나는 중소 금융 서비스 회사의 준법 감시관으로 일하고 있었고, 우리는 간단한 인수 거래를 마무리했어야 했습니다. 상대방의 법률 팀이 전자 서명에 서명했으며, 우리는 카운터 서명을 하였고 모두가 축하할 준비를 하고 있었습니다. 그러다가 상대방의 일반 고문이 전화했습니다: "그 서명에 대해 이야기할 필요가 있습니다." 그 후 3시간의 컨퍼런스 콜이 이어졌고, 그 과정에서 내가 법학 학위 내내 배운 것보다 디지털 서명과 전자 서명에 대한 더 많은 것을 배웠습니다. 그러한 대화와 그것이 방지한 근접 재난은 디지털 시대의 문서 인증 접근 방식을 근본적으로 변화시켰습니다.

나는 마커스 첸이며, 지난 14년간 법적 준수, 문서 보안, 디지털 혁신의 교차점을 탐색해왔습니다. 2019년의 근접 사고 이후, 나는 "온라인으로 문서에 서명하는 것"에 대해 대부분의 사람들이 간과하는 기술적 및 법적 차이를 이해하는 데 집착하게 되었습니다. 오늘날 Fortune 500 회사에서 디지털 준수 담당 이사로 일하며 여러 법률 기술 스타트업의 고문으로 활동하고 있으며, 47,000건 이상의 디지털 계약을 검토했으며, 디지털 서명과 전자 서명 간의 혼란이 매년 기업에 수백만 달러의 분쟁, 지연 및 보안 침해를 초래한다는 것을 직접 목격했습니다.

실제로 대부분의 사람들은 이 용어를 서로 바꿔 사용하며, 이는 문제입니다. 자전거와 포뮬러 1 경주차의 차이를 논할 때 모든 차량을 "차"라고 부르는 것과 같습니다. 둘 다 A 지점에서 B 지점으로 이동할 수 있지만, 엔지니어링, 기능 및 적절한 사용 사례는 매우 다릅니다. 수년간의 구현, 소송 지원 및 규제 감사의 경험을 통해 배운 내용을 설명하겠습니다.

기초: 전자 서명의 실제 의미

대부분의 사람들이 온라인으로 문서에 서명하는 것을 생각할 때, 그들은 전자 서명을 생각합니다. 전자 서명의 가장 넓은 법적 정의에서, 전자 서명은 기록에 부착되거나 논리적으로 연관된 전자 소리, 기호 또는 프로세스이며, 그 기록에 서명할 의도를 가진 사람에 의해 실행되거나 채택된 것입니다. 이는 2000년 미국의 전자 서명 및 글로벌 및 국내 상거래법(ESIGN Act)에서 가져온 언어이며, 의도적으로 폭넓은 정의입니다.

실질적으로, 나는 전자 서명이 다양한 형태를 취하는 것을 보았습니다. 가장 일반적인 것은 소프트웨어 설치 또는 온라인 서비스 이용 약관에 동의할 때 만나는 클릭하여 수락하는 체크박스입니다. 이메일 끝에 입력된 이름, PDF에 붙여넣은 손으로 쓴 서명의 스캔 이미지, 태블릿의 스타일러스 서명, 심지어 누군가가 구두로 동의하는 음성 녹음이 포함된 사례도 다뤄본 경험이 있습니다. 현재 미국 법률 하에서도 이러한 모든 서명은 전자 서명으로 인정되며, 대부분의 선진국에서도 유사한 프레임워크가 존재합니다.

전자 서명의 핵심 특성은 의도입니다. 내가 상담한 2021년 사건에서 한 회사는 "서명"이 이메일 바닥 글에 자동으로 들어간 수신자의 이름에 불과한 계약을 시행하려고 했습니다. 법원은 서명 의도를 입증할 명확한 증거가 없었기 때문에 시행이 불가능하다고 판결했습니다. 이는 기술보다 문서 내용을 인증하고 동의하려는 입증 가능한 의도가 더 중요하다는 중요한 점을 보여줍니다.

23개 다른 부서에 전자 서명 솔루션을 구현한 경험에서, 평균 전자 서명 시스템은 타임스탬프, IP 주소, 이메일 주소, 장치 유형, 때때로 지리적 위치 데이터 등 4~12개의 데이터 포인트를 수집합니다. 이러한 감사 추적은 간단한 입력 이름을 합법적으로 방어 가능한 전자 서명으로 변환하는 것입니다. 이것 없이는 단순히 문서에 텍스트를 입력하는 것에 불과합니다.

채택률은 놀라웠습니다. 내가 추적한 산업 보고서에 따르면, 2019년부터 2023년까지 전자 서명 사용은 347% 증가했습니다. 내 조직에서는 2018년 월 평균 1,200건의 전자 서명된 문서를 처리하던 것이 2023년에는 월 34,000건 이상으로 증가했습니다. 팬데믹은 이미 불가피한 전환을 가속화했고, 되돌릴 수 없습니다.

디지털 서명: 암호학적 차이

여기서부터는 기술적인 부분이 포함되며, 2019년 근접 재난이 내 경력의 가장 중요한 교훈을 가르쳐준 부분입니다. 디지털 서명은 암호학적 기술을 사용하여 진정성, 무결성 및 비부인(Non-repudiation)을 수학적으로 증명하는 전자 서명의 특정 하위 집합입니다. 이는 단순한 서명 방법이 아니라 근본적으로 다른 보안 아키텍처입니다.

디지털 서명은 단순히 마케팅이 더 나은 전자 서명이 아니라, 법적 조사를 통해 단순한 전자 서명보다 더 높은 수준의 신원과 의도를 암호학적으로 보증하는 증거입니다.

디지털 서명은 공인 키 인프라(PKI)를 통해 작동합니다. 내가 문서를 디지털 서명할 때, 내 서명 소프트웨어는 나만이 소유하는 개인 키를 사용하여 문서의 고유한 암호화된 해시를 생성합니다. 누구나 내가 생성한 개인 키를 사용하여 이 서명을 검증할 수 있지만, 오직 나만이 그 개인 키로 이를 만들 수 있습니다. 문서에 서명한 후 한 글자라도 변경되면 해시가 일치하지 않고 서명이 무효가 됩니다. 이는 감사 추적 증거가 아닌 암호학적 확실성을 제공합니다.

나는 세 개의 다른 조직에 디지털 서명 시스템을 구현했으며, 기술적 요구 사항은 전자 서명 플랫폼보다 훨씬 더 까다롭습니다. 디지털 인증서를 발급할 인증 기관(CA), 안전한 키 관리 시스템 및 종종 개인 키 보호를 위한 하드웨어 보안 모듈(HSM)이 필요합니다. 현재 역할에서는 초기 디지털 서명 인프라 구축에 약 34만 달러가 필요했고, 연간 유지 관리 비용은 약 8만 5천 달러입니다. 반면, 전자 서명 플랫폼은 연간 약 1만 2천 달러에 무제한 사용이 가능합니다.

보안 차이는 매우 큽니다. 2022년, 나는 누군가 그들의 전자 서명이 계약에서 위조되었다고 주장한 사건에서 전문가 증인으로 증언하라는 요청을 받았습니다. 이 사건은 IP 주소 기록 및 이메일 인증에 의존했으며, 상대방 변호인은 이를 정황 증거로 성공적으로 이의 제기했습니다. 만약 그 문서가 디지털 서명되었다면, 사건은 열려있었을 것입니다. 개인 키에 접근하지 않고서는 디지털 서명을 위조할 수 없고, 개인 키가 손상되면 그 손상이 발생한 시점을 증명할 수 있는 타임스탬프와 함께 인증서를 취소할 수 있습니다.

디지털 서명은 전자 서명이 제공할 수 없는 방식으로 비부인성을 제공합니다. 비부인성은 서명자가 나중에 자신이 문서에 서명했음을 부인할 수 없다는 의미입니다. 전자 서명에서는 서명자가 "다른 사람이 내 계정에 접근했어야 한다." 또는 "내가 서명하는 것에 대해 잘 몰랐다."고 주장하는 수많은 사례를 보았습니다. 디지털 서명의 경우, 암호학적 증거는 적절한 키 관리 관행이 따랐다는 가정 하에 이러한 주장을 사실상 불가능하게 만듭니다.

법적 인식: 지리적 요소가 매우 중요한 곳

내 일의 가장 frustrating한 측면 중 하나는 경영진에게 "법적 구속력"이 서명에 관련하여 보편적인 상수가 아니라는 것을 설명하는 것입니다. 법적 환경은 관할권, 문서 유형 및 산업 분야에 따라 극적으로 다릅니다. 나는 우리가 계획한 서명 방법이 특정 문서 유형에 대해 특정 관할권에서 인정되지 않은 이유로 14개국에서 거래를 중단해야 했습니다.