법은 언제나 기술 뒤에서 쫓아온다. 법으로 스패머와 냅스터를 잡기 시작한 것은 전자우편함이 스팸으로 가득 차고 PC가 e-튠(e-tune)을 스와핑하기 시작한 지 한참이 지나서였다. 하지만 E-SIGN(Electronic Signaturs in Global and National Commerce Act)은 예외다. 4년 전 채택된 이 법안은 트랜잭션의 전자 계약서와 서명이 법적 구속력을 갖도록 해준다.

E-SIGN과 e-시그너처(e-signature) 기술이 있다고 하더라도 조직들은 전자 계약서를 선뜻 채택하지 않고 있는데, 이는 전자 트랜잭션과 계약서가 법정에서 유효하지 않을 것이기 때문이다.
E-SIGN은 전자 트랜잭션 기록과 서명이 있는 계약서에 법적 위력을 부여한다. E-SIGN에 따르면 전자 서명이란 한 사람이 계약서나 다른 기록에서 자신의 서명으로 사용하는 소리나 심볼, 혹은 프로세스를 말한다. 이것은 웹 형태의 ‘동의합니다(I Agree)’ 버튼처럼 단순한 것일 수도 있고 문서에 각인된 디지털 서명이나 지문, 혹은 망막 스캐닝처럼 복잡한 것일 수도 있다. 보통 감지되는 법적 위험이 클수록 전자적으로 계약서에 서명을 하는 프로세스도 복잡해진다.
e-시그너처가 여전히 불편하게 생각된다고 해도 충분히 이는 타당한 생각이다. 디지털 계약서가 법정에서 효력을 발휘할 수 없거나, 혹은 사기나 악용의 여지가 있는 것은 분명하기 때문이며, 특히 거래 금액이 높은 트랜잭션에서 더욱 그 가능성은 커진다. 원자재나 제조 상품, 혹은 신용 문서 교환에 대한 수백만 달러짜리 계약은 아마 소송의 가장 큰 타깃이 될 것이다.
그러나 계약서가 문제없이 통과되도록 보증을 할 수도 있다. 이를 위해서 온라인 프로세스는 양측 모두가 거기에 대해 승낙을 했는지와 고객이 제품이나 서비스를 받았는지를 검증해야 한다. 또한 고객이 제품이나 서비스에 대한 대금 지불과 같이 거래에 있어서의 고객 측 의무를 지킨다는 약속했는지도 확인해야 한다. 온라인 계약서에 대한 논쟁은 보통 두 가지 형태로 발생된다. 즉 고객이 계약서의 유효성을 부인하고 자기 서명이 없다고 주장하는 경우이거나, 혹은 ‘내 서명이 아니다’고 주장하며 계약을 부인하는 경우다.

부인할 수 없도록 만들어야
그렇다면 디지털 서명을 확실한 것으로 만들 수 있는 방법은 무엇일까? 계약서 끝에 e-시그너처를 첨부한다고 해서 이것을 이행할 수 있다고 보증하는 것은 아니지만, 이는 문서를 인증하고 서명자의 신원을 확인하는 수단이 된다. 또한 이것은 서명자가 계약서의 조항을 따를 것을 의무화하며(예를 들어 일정 가격에 당신의 회사로부터 물건 2천 개를 구입해야 한다는), 서명자가 자신의 서명을 부인하고 계약서 조항 이행을 거부할 수 있는 가능성을 줄여준다.
고객이 부인하는 사례를 피할 수 있는 최선의 방법은 트랜잭션이 진행되는 동안 그 사람을 인증하는 것이다. 예를 들어 소비자에게 주민등록번호와 출생지 등과 같은 신원 정보를 물어 보라.
인증에 도전을 받지 않도록 한 단계 더 질문을 심화시킬 수 있지만, 너무 많은 질문은 온라인 고객을 내쫓고 트랜잭션을 종료해 버리도록 만들 수도 있다는 사실을 명심해야 한다. 질문서를 이용할 경우에는 프라이버시 정책을 준비해야 하며, 트랜잭션이 진행되는 동안 고객에게 접근할 수 있어야 한다. E-SIGN은 이것을 필요로 하지는 않지만 GLBA (Gramm-Leach-Bliley Act)나 HIPAA(Health Infrma tion Portability and Accountability Act)와 같은 다른 프라이버시 및 비밀 관련 법률에 저촉될 수 있다.
기업 대 기업 트랜잭션이나 계약에서는 고유의 PIN이나 토큰, 혹은 스마트카드 데이터를 이용해 파트너를 인증할 수 있다. 보다 체계적인 방안에서는 PKI(Public Key Infrastructure) 시스템을 사용하는데, 여기서는 공중 및 개인 키와 디지털 증명서가 통합되어 전자 시그너처가 만들어진다. 기업 안에 있거나 혹은 베리사인(VeriSign)과 같은 신용인증기관의 CA(Certificate Authority)는 디지털 증명서를 만들어 준다.
스마트카드를 이용한 PKI는 별도의 보안을 추가해 준다. 이 카드의 토큰에는 개인 키에서 만들어진 디지털 서명과 함께 서명자만이 아는 통과문구(passphrase)가 포함돼 있다. 이것은 디지털 서명에 도전하기를 훨씬 더 어렵게 만들며, 블랙햇 공격자는 토큰을 손에 넣고 통과문구를 알아야 적법한 사용자인 체 할 수 있게 된다.
그러나 PKI를 셋업하고 토큰을 이행하기란 간단한 일이 아니다. 이런 시스템들은 네트워크 서비스에 대해 사용자를 인증하기 위해 신원증명서나 서명을 만들긴 하지만, 계약서를 비롯한 전자 기록용의 서명은 해싱 알고리즘과 암호화를 이용해 문서에 첨부된다. PKI를 이행할 만한 IT 자원이 없다면 도큐사인(DocuSign)이나 알파트러스트(AlphaTrust)와 같은 회사에 서명 프로세스를 아운소싱시킬 수도 있으며, 혹은 엔사이퍼(nCipher)나 사일래니스 테크놀로지(Silanis Technology)와 같은 회사로부터 설치할 패키지를 구입할 수 있다.

상세히 기록해야
인증의 전자적 프로세스는 면 대 면 미팅보다 더 뛰어나거나 동일한 수준이 될 수 있다. 그리고 계약서와 함께 인증 데이터를 저장하고 보관할 수 있으며, 시스템에는 트랜잭션의 상세한 로그파일이 보관된다.
부인, 즉 고객이나 파트너가 계약서를 거부하는 위험을 최소화하기 위해 밟을 수 있는 몇 가지 단계도 있다. 대부분의 트랜잭션들은 해싱이 되고 전자적으로 서명되며, 변경이나 배포를 막기 위해 잠금 처리된다. 민감한 트랜잭션들은 심지어 WORM(Write Once, Read Many) 포맷으로 기록될 수도 있다.
트랜잭션이 처리되는 동안과 그 후에는 반드시 계약서의 콘텐츠와 컨텍스트, 즉 날짜, 시간 및 송신자 위치, 문서가 어떻게 수신되고 수신 이후에 어떤 일이 행해졌는지 등을 캡처 및 보관해야 하며, 이것은 세부 로그 파일을 이용해 수행될 수 있다.
트랜잭션의 콘텐츠에는 여러 가지 문서나 양식이 포함될 수 있지만, 반드시 이들을 하나의 문서로 모아야 하며, 이것이 고객이 확인하고 송신할 최종 계약서가 된다. 이것을 고유 ID용 알고리즘으로 해싱되도록 함으로써, 다른 누군가가 문서가 변경되었다고 주장하거나 혹은 계약서나 트랜잭션에 관련된 이메일 첨부파일이나 코멘트 등과 같이 리뷰용의 전자적 노트를 첨부했노라고 주장하는 일을 방지할 수 있다.
한 고객이 같은 날 오후 다섯 시에 물건이 전달되도록 하고 그렇지 않을 경우 거래를 취소한다는 노트를 트랜잭션에 추가시켰다고 주장하고 있다. 하지만 당신은 그런 노트를 결코 받은 적이 없다. 이런 경우 당신은 법정에서 계약 과정에서 전체 커뮤니케이션이 캡처되었음을 보여줘야 할 것이다. 그리고 고객은 계약서에 첨부파일을 포함시켰음을 법정에서 확인시킬 필요가 있을 것이다.
계약이나 트랜잭션 프로세스는 또한 문서 송신이 곧 거래가 진짜 이루어졌음을 의미한다는 점을 증명해야 한다. 고객이 ‘송신’ 버튼을 너무 빨리 클릭했는가? 그렇다면 계약서 조항에 구속되지 않을 수도 있다. 프로세스에서는 전체 웹 양식이 완료가 되고 그런 다음 최종 리뷰를 위해 고객에게 제시되도록 요구해야 한다. 온라인 도우미나 수신자 부담 전화번호를 추가해서 질문이나 문제를 해결하도록 하라. 이것은 나아가 최종 트랜잭션이나 계약서의 유효성을 보증해 줄 것이다. 계약서 언어를 협의하거나 옵션용 언어를 결정을 필요로 하는 계약서의 초안을 잡고 있다면, 문서나 콘텐츠 관리 시스템을 이용한 버전 제어 작업이 필요할 것이다.

소비자 동의 절대적
E-SIGN은 종이 계약서와 전자 게약서를 법 아래 평등하게 만들어 주기도 하지만, 전자적 버전에서 별도의 부담을 지우는 것 또한 사실이다. 즉 조직에서는 고객들로부터 ‘선택(opt-in)’하고 전자 기록을 이용하는 데 대한 동의를 받아야 한다. 소비자들에게 이들의 동의가 개별 트랜잭션에 한정되는 것인지, 아니면 비즈니스 관계에 있어서의 모든 기록에 해당되는 것인지를 알리도록 하라.
동의 프로세스에는 얼마간의 시간과 노동력이 필요할 것이다. 법으로는 고객이나 비즈니스 클라이언트에게 비전자적 형태(하드 카피)로 된 기록으로 액세스할 수 있는 옵션에 대한 ‘분명하고 눈에 잘 뜨이는’ 문구를 제공하도록 돼 있다. 별도의 선택, 취소 및 전체 계약 프로세스를 설명하는 별도의 ‘약정 및 협약’이나 ‘사용된 용어’를 포함시키는 것을 고려해 보라. 언제나 여기에는 액세스가 가능해야 하며, 프라이버시 정책도 함께 해야 한다.
이러한 모든 준비를 마친 후에도 여전히 전자 계약서로 인해 법정에 서야 한다면, 전자 데이터에 대해 만연된 잘못된 인식에 대해서 민감하게 생각해야 한다. 많은 사람들이 전자적 형태로 도난당하는 정보는 공격자에게 쉬운 타깃이 된다고 믿고 있다. 이러한 인식을 바로잡기 위해서는 허가 받지 않은, 혹은 우연히 발생한 문서 변경이나 데이터 삭제를 막기 위해 수행한 프로시저들에 대해 설명을 해야 한다. 그리고 좋은 공격이 곧 최선의 방어라는 사실을 염두에 두라. 어떠한 분쟁이든 진압시키기 위해서는 검증과 인증 방안을 이용해 트랜잭션 프로세스를 설계해야 한다.

E-SIGN 요약 정리
정의 : Electronis Signatures in Golbal and National Commerace Act. 연방공중법안 106-229
효력 발휘 시기 : 2000년 10월 1일
사이트 : www.gpoaccess.gov/plaws/search.htmlE-SIGN은 연방 및 주 법규에 의해 책임이 있는 측(고객)에 의해 기록 및 서명되도록 요구되는 상용, 소비자 및 비즈니스 트랜잭션에 적용이 된다. 법률에 의하면 많은 계약서 약정이나 협정 및 법적 의무조항들이 기록돼야 하며, 500달러를 초과하는 상품 판매 계약서 등이 포함될 수 있다.
E-SIGN은 회사가 고객들에게 프라이버시 주의문과 투자자 설명서 등과 같은 전자 문서들을 줄 수 있도록 해주며, 데이터 보유용의 전자 기록을 이용할 수 있게도 해준다. E-SIGN은 법률상 협정이 기록될 필요가 없는 곳에는 적용되지 않으며, 입양, 이혼 및 유언장과 같은 것에도 적용되지 않는다.
무엇인가를 기록으로 남겨둔다는 것은 하나의 증거를 만들고 법적 관계를 증명해 주는 일이며 문제는 이것을 지원하는 온라인 프로세스를 만드는 것이다. 성공적으로 된 전자 기록이나 계약서는 법정에서도 효력을 발휘할 수 있을 가능성이 높다.
목적 : 국내 및 국제 상거래에서 전자 계약서 및 서명의 이용을 촉진시키기 위해
간단히 말해 : 전자 계약서와 서명을 법적인 효력이 있도록 만든다
주 : 주 법규에서 UETA(Uniform Electronic Transaction Act)를 채택한 주를 위한 e-시그너처 프로세스를 담당한다. 하지만 주 법규가 E-SIGN과 맞지 않을 경우에는 전자 트랜잭션을 약속한 소비자 동의를 어떻게 포함시켰는지 등에 대한 문제들을 E-SIGN이 다루게 된다.