일반적으로 전자기록은 기록관리 행위를 거치면서 변형이 불가피하게 발생하고 표현방식 등이 변화할 수 있기 때문에, 원본 자체의 보존은 원칙적으로 불가하고 진본성의 개념이 중요하다고 인식된다.

전자기록의 진본성은 기록이 원래 의도하였던 바대로 존재하고, 기록을 생산하거나 보냈던 바로 그 사람이 생산하거나 보냈는지, 기록에 명시된 시간에 생산되었거나 보내졌는지를 증명할 수 있는 상태를 말하고, KS X ISO 15489는 이를 진본 기록의 판단 기준으로 제시하였다.

진본 확인은 기록이 부당하게 위변조되지 않아서 진본이거나 원래 그대로임을 확인하거나 증명하는 행위나 과정을 가리키며, InterPARES는 기록의 정체성(생산주체, 생산시점 등) 및 무결성 등의 요건을 진본성 판정을 위한 지표로 제시하였다. 이와 같이 진본성과 무결성은 서로 밀접하게 관련되어 있고, 무결성을 확보함으로써 진본성을 보장할 수 있다. 따라서 전자기록에 변형이 없는 경우에 전자서명을 적용하는 것은 생산주체, 생산시점 및 변경 여부 등을 함께 확인할 수 있기 때문에 진본성 및 무결성 판단에 효과적인 방안이다.

전자기록의 무결성은 기록이 담고 있는 의미가 변하지 않는 한, 완전함과 변경되지 않았음을 의미하고, InterPARES는 전자기록의 내용과 형태의 요건이 동일하다면 디지털 정보를 구성하는 비트스트림 등의 물리적 무결성은 변경할 수 있다고 제시하였다. 전자기록이 변경되지 않았다는 것을 검증하는 방법에는 내용과 형태가 동일한지 직접 확인하거나 비트스트림 일치 검사 등이 있다. 비트스트림에 변경이 없다는 것은 내용과 형태가 변경되지 않았음을 의미한다. 전자는 모든 전자기록을 대상으로 생애주기 전반에 적용할 수 있지만, 내용을 비교할 진본⁴⁾이 필요하고 시간이 많이 소요된다. 후자는 비교대상 없이 빠르게 검사할 수 있지만, 내용과 형태가 동일한 상태에서 비트스트림이 변한 전자기록에는 적용할 수 없다. 따라서 전자기록의 생애주기 전반에 걸친 효율적인 무결성 검증을 위해서는 두 방법의 적절한 적용이 요구된다.

공공기록물법 및 동법 시행령에 따라 전자기록은 생산 후 기록관단계를 거쳐 영구보존단계로 이관하고, 진본성 및 무결성 등이 보장되도록 검수하고 오류 없는 전자기록에 전자서명을 포함하는 등 진본확인 절차를 거쳐 이관하도록 규정하고 있다. 따라서 비트스트림 변경이 없는 관리 행위(복사, 이관파일 전송 등)는 전자서명 적용을 통한 진본확인을 할 수 있고, 비트스트림이 변경되는 관리 행위(이관파일 생성, 포맷변환 등)는 변경 전후의 내용적 동일성 등을 직접 확인한 후 새로운 전자서명을 적용하여 향후 진본확인에 대비하여야 한다.

그러나 전자기록을 변경 없는 부분(내용정보)과 변경하는 부분(메타데이터)으로 구분하여 관리한다면 보다 효율적으로 진본확인을 수행할 수 있다. 우리나라의 전자기록관리체계에서 전자기록의 구성은 기록물철, 기록물건, 컴포넌트(전자파일) 등 3계층이고, 기록물철은 기록물건의 집합을 설명하는 메타데이터, 기록물건은 업무수행 관련 메타데이터와 전자파일(본문·첨부 파일)로 구성된다. 즉, 전자기록을 내용정보와 메타데이터로 구분할 수 있다. 한편, 행정 효율과 협업 촉진에 관한 규정(이하 행정협업규정)에 의하면, 전자문서는 본문(기안내용과 각종 항목⁵⁾이 일정한 서식에 포함)과 첨부 파일로 구성되고, 결재 이후에는 수정할 수 없다. 즉, 본문과 첨부 자체가 전자문서이고, 일종의 디지털 정보객체이며, 스토리지에 저장되고, 비트스트림 검사로 무결성을 확인할 수 있다. 반면 이들의 메타데이터는 DB에 저장·관리된다.

이를 종합하면 전자문서 이관은 전자문서 자체(전자파일)와 메타데이터(DB에서 추출)를 함께 전송하는 것이고, 이중 전자파일은 본문 및 첨부 파일을 의미하며, 수정할 수 없고, 비트스트림 검사로 생애주기 전반에 걸친 무결성을 검증할 수 있다는 것이다. 따라서 전자문서 자체의 생산·유통·보관·이관 과정에서 발생(발견)되는 인적 및 기술적 오류를 관리행위 전후의 비트스트림 검사를 통하여 사전에 예방하거나 신속하게 수정·보완할 수 있을 것이다. 메타데이터는 기록관리 행위에 따라 수정·변경되기 때문에 시스템적 진본유지 기능(데이터의 정합성, 접근통제, 감사추적, 변경이력 등)과 내용 동일성에 대한 인적 확인이 필요하지만, 본 연구에서는 논외로 한다.

IT분야에서 무결성은 정보시스템, 네트워크 및 데이터와 같은 정보기술이 각종 공격(접근, 수정, 거부, 부인 등)으로부터 보호되어 정확성과 일치성을 유지하는 것을 의미하고, 정보(데이터 포함)가 저장 혹은 전송 과정에서 인가되지 않은 방법으로 변경할 수 없도록 보호하는 것이다.⁶⁾ 무결성 유지를 위해서는 물리적 보안 통제, 정보의 접근 통제 및 위변조 탐지 등의 방법이 사용된다.⁷⁾ 이중 위변조를 탐지하는 비트스트림 검사는 무결성 검증을 위한 강력한 수단으로 광범위하게 사용되고 있다.

이는 기록분야의 무결성 개념 및 검증에 차이가 있어 보인다. 즉, 전자기록은 기록관리 과정에서 비트스트림이 변경될 수 있고, 이는 비트스트림 검사가 전자기록의 생애주기 전반에 무결성 검증을 위한 강력한 수단이 될 수 없다는 인식 때문이다. 그러나 전자기록을 내용정보와 메타데이터로 구분하고, 내용정보가 비트스트림 변경이 없는 디지털 정보객체라면, 내용정보에 대하여 IT분야의 무결성 개념이 적용될 수 있을 것이다. 전자기록이든, 정보든, 허가된 변경은 변경 전후에 대한 비트스트림 검사로 무결성을 검증할 수 없다. 따라서 불법적 변경이 없는지, 내용적 동일성이 유지되는지 등을 직접 확인하여야 한다.

일반적으로 전자기록은 정보시스템을 통하여 저장·관리되고, 네트워크를 통하여 전송된다. 즉, 전자기록도 정보시스템 내에서 하나의 정보나 데이터로 취급되고 있다. 그리고 전자기록을 생산 및 보존하는 대부분의 정보시스템은 전자기록의 내용정보(전자파일, 스토리지 저장)와 메타데이터(DB에 저장)를 분리하여 관리하고, 하나의 정보객체(장기보존포맷)로 관리하는 경우도 내용정보와 메타데이터를 구분할 수 있다. 따라서 전자기록의 내용정보에 대한 IT분야의 비트스트림 검사는 전자기록의 생애주기 전반에 대한 효율적인 무결성 검증 방안이 될 수 있다.

공공기록물법 및 행정협업규정 등 기록물의 생산·관리 관련 법령에 따른 전자기록물의 관리체계는 생산(처리과)단계, 기록관단계, 영구보존단계로 구분된다. 각 단계별로 전자기록생산시스템, 기록관리시스템, 영구기록관리시스템을 통하여 기록물을 전자적으로 생산 및 관리하고 무결성을 유지하도록 규정하고 있다. 〈표 2〉는 전자기록물의 관리 단계별 무결성 보장 기술에 대한 법령 내용을 정리한 것이다.

전자문서는 생산단계의 생산시점부터 문서의 변경 여부를 확인⁸⁾할 수 있는 행정전자서명으로 결재하고, 기록관으로 이관 시에 이관대상 전자문서를 검수한 후, 오류가 없는 전자문서에 대하여 행정전자서명⁹⁾을 포함하는 등 진본확인 절차를 거쳐 이관하도록 규정하고 있다.

기록관단계에서는 인수한 전자문서의 행정전자서명 확인 등 진본확인 절차와 품질검사를 실시하고, 오류 없이 인수완료한 전자문서는 1년 이내에 행정전자서명을 포함하는 등 진본확인 절차를 거쳐 보존포맷으로 변환하여 관리하도록 규정하고 있다. 그리고 영구기록물관리기관으로 이관 시에 보존기간 30년 이상의 전자문서를 검수하고, 오류 없는 전자문서에 행정전자서명을 포함하는 등 진본확인 절차를 거쳐 이관하도록 규정하고 있다.

영구보존단계에서도 기록관단계와 동일하게 인수한 전자문서의 진본확인 및 품질검사를 실시하고, 전자문서의 미비사항 또는 오류사항을 발견한 경우에는 해당 기록관으로부터 수정·보완한 후에 재이관 받도록 규정하고 있다.

이처럼 전자문서의 생산부터 영구보존까지 기록관리 관련 법령의 규정을 살펴보면, 전자문서의 무결성 보장을 위해서 짜임새 있게 규정된 것 같다. 그러나 현재 구축·운영 중인 전자기록생산시스템, 기록관리시스템, 영구기록관리시스템으로 이어지는 전자기록관리체계에서 생산단계와 기록관으로의 온라인 이관 과정에 몇 가지 문제점이 있음을 알 수 있다.

첫째, 생산단계의 생산(결재) 이후 전자문서의 변경 여부 확인이 불가능하다.

전자기록생산시스템(전자문서시스템 및 업무관리시스템)에는 전자문서 결재 시, 서명자(결재자 등)의 신원과 문서의 변경 여부까지 확인할 수 있는 행정전자서명이 적용되고 있지 않다. 단순히 서명자의 신원을 확인할 수 있는 전자이미지서명 또는 전자문자서명을 적용하고 있다. 따라서 전자문서의 생애주기 중 생산시점부터 무결성을 보장할 수 없는 문제가 있다.

전자기록생산시스템에 전자문서의 무결성 보장 기술이 적용되지 않은 사유는 명확히 확인할 수 없다. 다만, 관련 법제도의 변천 과정에서 그 사유를 유추해 보았다. 〈 그림 1〉은 공공기관의 전자문서에 대한 결재수단의 변경이력을 나타낸 것이다.

현재의 행정협업규정 및 전자정부법령에는 전자적인 결재(서명)수단으로 행정전자서명 이외에 전자이미지서명과 전자문자서명을 허용하고 있다. 그러나 전자문서와 전자서명 개념이 처음 도입된 1996년 구사무관리규정을 보면, 전자서명을 단순히 전자문서 상에 표시한 서명으로 규정하였다. 1999년에는 전자서명을 전자이미지서명(전자문서 상에 표시한 서명)으로 명칭을 개정하고, 전자서명은 전자문서의 작성기관 및 변경여부를 확인할 수 있는 고유한 정보로 정의하였다. 이는 1999년에 제정된 전자서명법에서 정의한 전자서명의 영향을 받아 개념¹⁰⁾을 명확히 한 것으로 보인다. 그리고 2001년에는 전자서명을 전자관인으로, 전자관인을 전자이미지관인으로 명칭을 변경하는데, 이것은 서명은 개인, 관인은 기관의 행위라는 의미에 맞게 명칭을 현행화한 것으로 보인다. 2002년에는 전자관인을 행정전자서명으로 수정하고, 전자인증 적용 범위를 기관에서 서명자(결재자 등) 또는 발신명의인으로 확대하였다. 즉, 전자관인을 행정전자서명으로 본 것이다. 이에 따라 전자문서의 결재 수단을 전자이미지서명 이외에 전자문자서명 및 행정전자서명으로 확대하였다.

행정안전부는 2001∼2002년에 문서업무의 생산·결재·유통뿐만 아니라 이관·보존까지의 문서처리 전 과정의 전자화 추진을 위해 업무재설계 및 정보화전략계획을 수립하였다. 이를 토대로 2002년에는 ‘구사무관리규정’ 및 ‘행정기관의 전자문서시스템 규격’ 등을 개정하였으나, 전자문서의 결재수단을 비교하면 차이가 있다. 즉, 구사무관리규정에는 전자문서의 결재수단으로 전자이미지서명·전자문자서명·행정전자서명 모두를 규정하고 있으나, 전자문서시스템 규격은 전자이미지서명·전자문자서명 기능을 제공하지만 행정전자서명은 적용하지 않는다고 명시하였다.¹¹⁾ 그리고 2008년에 제정된 ‘행정기관의 업무관리시스템 규격’에는 전자문서의 결재수단 관련 별도의 규정은 없다. 〈그림 2〉는 법제도 및 표준 등을 기반으로 기록관리 단계별 전자문서의 무결성 보장 및 검증을 위한 보안기술 적용 현황을 나타낸 것이다. 생산단계의 결재 및 진본확인 과정에서 행정전자서명이 적용되지 않는 것을 알 수 있다.

한편, 전자정부법은 2001년 제정 당시에는 전자서명 관련 정의 없이 전자문서 유통 시 전자관인(전자문서를 작성한 기관의 신원과 전자문서의 변경여부 확인할 수 있는 고유한 정보)만 사용할 수 있도록 제도를 도입하였다. 그러나 개별 공무원의 시스템 접근 및 전자결재 등을 위해서 전자서명 제도가 필요하게 되었고, 이를 위해 기관 및 개별 공무원까지 사용할 수 있는 행정전자서명 제도를 도입하였다(행정안전부, 2003). 이에 따라 2003년에 전자관인이 행정전자서명으로 명칭과 정의가 개정된 후 지금까지 유지되고 있다. 행정업무에 전자관인(행정전자서명)이 사용되기 시작한 것은 2000년 정부전자관인인증시스템을 구축·운영하면서 시작되었으나, 개별 공무원이 행정전자서명을 본격적으로 사용하기 시작한 것은 2003년부터였다.¹²⁾

지금까지의 전자서명 관련 법제도 변천을 종합해보면, 2002년까지는 전자서명에 대한 명확한 개념이 정립되지 못했고, 개별 공무원이 행정전자서명을 이용할 기반도 없었다는 것을 알 수 있다. 따라서 2002년 개발 후 2003년까지 인증 받은 초기의 신전자문서시스템은 행정전자서명을 이용한 결재 기능을 구현할 수 없었고, 이 내용을 2002년에 개정된 기능 규격에 명시한 것으로 보인다. 그러나 2003년 이후, 행정전자서명 사용이 일반화된 지금까지도 전자문서시스템과 업무관리시스템의 전자문서 결재수단은 고도화되지 않았다. 이는 문서업무 관련 담당자의 관심부족 또는 인식부족, 서명의 육안확인 관련 고정관념, 사용자의 요구 및 필요성 결여, 기능 고도화를 위한 기술적 제약 및 예산부족 등이 복합적으로 작용된 것으로 보인다. 한 가지 예로 전산기술 측면에서 전자이미지서명·전자문자서명은 행정전자서명보다 구현 및 유지·관리가 쉽고,¹³⁾ 기존 기능을 고도화하기 위해서는 업무 프로세스, DB, 연계 및 스토리지 등 시스템 전반을 개편해야하는 어려움이 있다.

어쨌든, 전자기록생산시스템은 신전자문서시스템 이후 2005년 업무관리(온나라)시스템, 2008년 통합온나라시스템, 2015년 클라우드 온나라시스템 등 여러 번의 고도화 기회가 있었다. 그러나 전자문서의 무결성 보장을 위한 결재 기능(행정전자서명 적용) 고도화는 없었다. 또한 전자문서의 결재수단 관련 법령과 표준 규격 사이의 불일치 문제도 해소하지 못했다. 따라서 전자문서가 생산된 시점부터 무결성을 확인하고 보장할 수 있도록 법제도의 일관성과 시스템 기능의 개선이 필요하다.

둘째, 생산단계의 이관준비 시, 이관대상 전자문서의 무결성 확인이 불가능하다.

공공기록물법 시행령은 생산단계에서 기록관단계로 이관 시, 전자문서의 무결성 등이 보장될 수 있도록 검수하도록 규정하고 있다. 그러나 앞에서 설명한 바와 같이 전자문서에는 내용변경 여부를 확인할 수 있는 행정전자서명은 적용되어 있지 않다. 또한 이관대상 전자문서를 육안검수를 하더라도 전자기록생산시스템 내에 저장되어 있는 전자문서 이외에 다른 비교·검증 대상이 없기 때문에 변경 여부를 확인할 방법도 없다.¹⁴⁾ 다만, 전자기록생산시스템이 출입통제 및 접근제어가 가능한 전산실 내에서, 신뢰할 수 있는 기관의 책임 있는 담당자가 안전하게 관리하고 있기 때문에 무결하고 신뢰할 수 있다고 선언할 수는 있다. 그러나 이런 선언만으로 전자문서의 무결성이 보장된다고 보기에는 무리가 있다. 따라서 전자문서 이관 시에 무결성을 검증할 수 있는 기술적 보완이 필요하다.

셋째, 생산단계에서 기록관단계로 이관 시, 전자문서에 포함할 전자서명 정보가 불명확하다.

현행 공공기록물법 및 시행령에 따르면, 전자문서는 생산시점부터 최대 3년까지¹⁵⁾ 생산단계에서 보관할 수 있고, 전자문서에 행정전자서명을 포함하여 이관하도록 규정하고 있다. 그러나 전자문서에 포함할 행정전자서명이 결재 시점에 적용한 서명인지, 이관을 위해 별도로 적용하는 서명인지 명확하지 않다. 결재 시점에 적용한 서명은 행정전자서명의 유효기간이 2년 3개월이기 때문에 일부 전자문서는 유효기간이 경과하여 무결성을 검증 할 수 없다. 이관 시점에 별도의 서명을 적용할 경우, 결재 시점부터 이관 시점까지의 기간 동안에 대한 무결성 확인·검증 절차가 추가로 필요하다. 따라서 전자문서에 포함할 전자서명이 어떤 것인지 명확히 하고, 모든 전자문서에 대하여 일관성 있게 무결성을 검증할 수 있도록 개선이 필요하다.

넷째, 기록관단계 인수 시, 전자문서에 대한 행정전자서명의 확인 등 진본확인을 할 수 없다.

현재 기록관단계에서 인수하는 전자문서에는 생산단계에서 부여한 행정전자서명이나 시점정보 등이 포함되어 있지 않다. 신전자문서시스템 및 업무관리시스템에는 전자문서 이관 시, 무결성을 검증하거나 전자문서에 행정전자서명 정보를 포함시키는 기능이 없기 때문이다. 따라서 기록관단계에서는 이관된 전자문서의 행정전자서명 등을 확인할 기능을 구현하지 못했고, 구현했어도 사용할 수 없다. 전자기록생산시스템과 기록관리시스템에 전자문서의 무결성 검증 기술 적용이 반드시 해결할 과제이다. 현재는 두 시스템 간 온라인 네트워크 전송 구간에서 송수신 프로그램 자체의 암복호화 및 무결성 체크 모듈이 이관파일¹⁶⁾ 단위의 무결성만 검증한다.

지금까지 전자문서의 무결성 관련 법제도 및 시스템 측면의 문제점들을 살펴보았다. 전자기록관리체계에서 생산단계와 기록관으로의 이관 과정에 무결성 보장 문제가 있음을 알 수 있었다. 이를 해결하기 위해, 디지털 업무환경에 맞게 법제도 및 시스템을 개선하고 전자문서 관련 관리·감독체계를 강화할 필요가 있다.

첫째, 행정협업규정 및 전자정부법령의 전자적 결재(서명)수단을 전자문서에 대한 무결성 검증 및 확인이 가능한 방식(행정전자서명)으로 제한할 것을 제안한다. 다만, 서명에 대한 인식 변화가 어려워 전자이미지서명이나 전자문자서명 사용을 유지할 경우에는 다른 무결성 검증 기술(전자지문¹⁷⁾ 등)을 함께 적용할 수 있도록 제도를 개선할 것을 제안한다. 전자문서에 적용 가능한 무결성 검증 기술은 ‘5.2.3’에 소개한다. 또한 공공기록물법 시행령에 결재 시점부터 영구보존까지 지속적이고 일관성 있게 전자문서의 무결성을 검증할 수 있도록 규정(행정전자서명 적용 등)할 것을 제안한다. 이를 위해 결재 시점에 적용한 행정전자서명 또는 전자지문 등을 전자문서를 보존 및 이관하는 과정에서 검증하고, 행정전자서명 적용 시 인증서 유효기간 범위 내에서 전자문서가 이관될 수 있도록 명시할 것을 제안한다.

둘째, 법제도에 맞게 전자기록생산시스템의 관련 기능을 구현하여야 한다. 현재의 전자기록생산시스템에는 전자문서의 무결성을 검증하거나 행정전자서명을 포함하여 이관하는 근거가 없고, 관련 기능도 구현되어 있지 않다. 따라서 전자문서의 무결성을 검증할 결재수단과 관련 기능을 ‘행정기관의 전자문서시스템 규격’ 및 ‘행정기관의 업무관리시스템 규격’에 명시할 필요가 있다. 그리고 이 규격에 따라 전자문서(본문·첨부 등 파일 단위)의 무결성을 지속적으로 보장 및 검증할 수 있도록 전자기록생산시스템의 결재·이관 기능을 고도화해야 한다. 또한 전자문서와 함께 이관된 행정전자서명 또는 전자지문 등을 자동으로 검수할 수 있도록 기록관리시스템의 인수 기능도 개선해야 한다. 그러면 이관 시 결재 시점의 전자문서와 동일한지 여부를 자동으로 신속하게 검수할 수 있을 것이다.

셋째, 생산단계의 법제도 및 전자기록생산시스템에 대하여 기록관리 영역의 지속적인 모니터링 및 통제가 필요하다. 생산단계는 전자정부 추진 등으로 전자문서 관련 법제도가 빠르게 변화되었고, 전자기록생산시스템도 디지털 업무환경 변화에 따라 수시로 수정·변경되어 왔다. 기록관리 영역도 기록관리 환경 변화에 따라 디지털 중심으로 공공기록물법령 및 기록관리시스템이 개선되어 왔다. 그러나 전자문서의 무결성과 관련된 법제도가 현실을 제대로 반영하지 못했고, 현행 법제도 또한 관련 시스템에 정확히 반영되지 않았으며, 시스템 간에도 기능 불일치가 발생하였다. 이것은 생산 따로 기록관리 따로, 법제도 따로 시스템 따로, 각자 필요에 의해 개선되었기 때문이다. 전자문서 관리의 첫 단추를 잘 꿸 수 있도록 무결성 보장 등 기록관리 관련 법제도 및 시스템 기능을 통제할 컨트롤 타워가 필요하다.

전자문서를 이관하는 과정에서 발견된 전자문서 자체(전자파일)에 대한 오류를 〈표 3〉, 〈표 4〉 및 〈표 5〉와 같이 정리하였다.

우리나라 전자기록생산시스템의 기능은 생산(기안+결재), 유통(발송+접수) 및 이관 등으로 구분되고 독립적으로 동작하도록 개발되었다. 이중 생산 및 유통 기능은 공공기관의 모든 사용자가 매일 사용하면서 신속하고 빠르게 개선이 이루어 졌다. 그러나 이관 기능은 사용자도 한정되어 있고 1년에 1회 정도 한시적으로 사용함에 따라, 거의 사용되지 않아 개발 당시의 오류가 아직까지 잔존하고 있다.¹⁸⁾

전자기록물 이관 과정에서 발견된 오류의 대부분이 생산단계에서 발생하는 것을 알 수 있었다. 기록관단계의 오류는 일부 기술적 제약사항을 제외하면, 생산단계 오류에 의한 2차적인 오류가 대부분이다. 생산단계의 오류를 줄이는 것이 필요한 이유다.