사인 한 번에 수억 원이 오가는, QA 전자서명 및 계약 테스트

작성자:

은행에 가지 않고, 앱으로 대출 계약서에 서명합니다.

목차 숨기기
이 글에서 다루는 것
‘전자서명’, 정확히 무엇인가요?
‘전자계약’ 시스템, QA는 어떤 흐름을 테스트해야 하나요?
[핵심 1] ‘데이터 무결성’은 어떻게 검증하나요?
[핵심 2] ‘부인 방지’는 어떻게 검증하나요?
결론: 법적 효력을 검증하는 QA
부록: 전자서명 테스트 미니 체크리스트 ✅
참고 자료 (References)

보험사 창구 대신, 태블릿으로 보험 계약에 동의합니다.

이처럼 오늘날 대부분의 금융 계약은 ‘전자서명’을 통해 비대면으로 이루어집니다.

만약 이 서명 과정에 오류가 있다면, 혹은 서명된 계약서의 내용이 중간에 위변조된다면 어떻게 될까요?

이는 돌이킬 수 없는 법적 분쟁과 금전적 손실로 이어질 수 있습니다.

이번 글에서는 금융 QA가 이처럼 중요한 전자서명전자계약 시스템을 어떻게 테스트해야 하는지 알아보겠습니다.

이 글에서 다루는 것

  • 전자서명의 개념과 법적 효력
  • 전자계약 시스템의 테스트 플로우
  • 데이터 무결성 및 부인 방지 테스트
  • QA를 위한 실무 꿀팁

‘전자서명’, 정확히 무엇인가요?

전자서명은 전자문서에 첨부되거나 논리적으로 결합되어, 서명한 사람의 신원을 확인하고 해당 문서에 대한 서명을 증명하는 기술입니다.

단순히 사인 이미지를 첨부하는 것을 넘어, 암호화 기술을 사용하여 서명한 사람이 ‘누구’인지, 그리고 서명된 문서가 ‘위변조되지 않았음’을 보증하는 역할을 합니다.

대한민국 ‘전자서명법’에 따라, 법적 요건을 갖춘 전자서명은 실제 인감이나 자필 서명과 동일한 법적 효력을 가집니다.

‘전자계약’ 시스템, QA는 어떤 흐름을 테스트해야 하나요?

QA는 전체 계약 프로세스가 끊김 없이, 그리고 안전하게 진행되는지 E2E(End-to-End) 관점에서 검증해야 합니다.

  • 1. 계약 동의 단계:
    • 고객이 계약 내용(약관, 상품설명서 등)을 명확히 인지하고, 모든 필수 항목에 ‘동의’했는지 확인합니다.
    • 동의하지 않았을 경우, 다음 단계로 진행되지 않는지 검증합니다.
  • 2. 본인 인증 단계:
    • 서명을 하기 전, 서명하는 사람이 ‘계약자 본인’임을 다시 한번 확인하는 절차입니다.
    • 휴대폰, 공동인증서(구 공인인증서), 신용카드 등 다양한 인증 수단이 오류 없이 동작하는지 테스트합니다.
  • 3. 전자서명 생성 및 제출 단계:
    • 사용자가 비밀번호를 입력하거나, 패턴을 그리거나, 생체 인증을 통해 서명을 생성하고 제출하는 과정이 원활한지 확인합니다.
    • 이 과정에서 생성된 서명 데이터가 안전하게 서버로 전송되는지 검증합니다.
  • 4. 계약서 생성 및 교부 단계:
    • 서명이 완료된 후, 최종적인 전자계약서(PDF 등)가 생성되는 것을 확인합니다.
    • 생성된 계약서의 내용(금액, 날짜, 고객 정보 등)이 이전 단계에서 동의한 내용과 100% 일치하는지 데이터 무결성을 검증합니다.
    • 완성된 계약서가 고객에게 이메일이나 앱 내 메시지 등으로 안전하게 교부되는지 확인합니다.

[핵심 1] ‘데이터 무결성’은 어떻게 검증하나요?

‘무결성(Integrity)’이란 데이터가 전송되거나 저장되는 과정에서, 위조되거나 변조되지 않았음을 의미합니다. 전자서명 테스트의 가장 중요한 부분입니다.

  • 테스트 방법:
    • 1. 서명 전 데이터 확인:
      • 고객이 서명하기 직전, 화면에 표시되는 계약서의 핵심 내용(금액, 이율, 기간 등)을 캡처하거나 기록해 둡니다.
    • 2. 서명 후 데이터 확인:
      • 서명이 완료된 후, 최종적으로 생성된 PDF 계약서의 내용을 확인합니다.
    • 3. 비교 검증:
      • 서명 전 데이터와, 서명 후 최종 계약서의 내용이 글자 하나, 숫자 하나 틀리지 않고 완벽하게 동일한지 비교 검증합니다.
    • 4. 타임스탬프 확인:
      • 공인된 시점 확인(TSA, Time Stamping Authority) 기관을 통해, 이 계약서가 ‘언제’ 서명되었는지에 대한 시점 정보가 정확히 기록되었는지 확인합니다.

[핵심 2] ‘부인 방지’는 어떻게 검증하나요?

‘부인 방지(Non-repudiation)’는 서명한 사람이 나중에 “나는 이 계약에 서명한 적이 없다”고 발뺌할 수 없도록, 서명했다는 사실을 객관적으로 증명하는 것입니다.

  • QA의 역할:
    • QA는 서명 과정의 모든 행위가 감사 추적(Audit Trail)을 위해 서버 로그에 상세히 기록되는지 확인해야 합니다.
    • 기록되어야 할 정보 예시:
      • 누가 (로그인 정보, IP 주소, 기기 정보)
      • 언제 (정확한 시간)
      • 어떤 문서에 (문서의 고유 해시값)
      • 어떤 방식으로 (인증서 정보)
      • 서명했는지에 대한 모든 기록

결론: 법적 효력을 검증하는 QA

전자서명 및 전자계약 시스템 테스트는 단순한 기능 테스트가 아닙니다.

이는 법적 효력을 갖는 ‘계약’이라는 행위의 신뢰성을 기술적으로 보증하는, 매우 높은 수준의 책임감이 요구되는 활동입니다.

QA는 사용자의 편리함을 넘어, 계약의 안정성, 데이터의 무결성, 그리고 법적 증거 능력까지 꼼꼼하게 검증함으로써, 비대면 금융 시대의 가장 중요한 신뢰 기반을 만들어나가는 역할을 합니다.

부록: 전자서명 테스트 미니 체크리스트 ✅

  • 서명 과정 중 네트워크가 끊겼다가 다시 연결되어도, 세션이 유지되거나 안전하게 종료되는가?
  • 유효기간이 만료된 인증서나, 폐기된 인증서로는 서명이 불가능한가?
  • 서명이 완료된 최종 계약서는 수정이 불가능한 읽기 전용 형태(예: PDF)로 생성되는가?
  • 서명 과정의 모든 중요 행위는 감사 추적을 위해 로그로 기록되는가?
  • 생성된 전자계약서의 타임스탬프(시점 확인) 정보가 정확한가?

참고 자료 (References)

  • 한국인터넷진흥원(KISA) 전자서명인증관리센터 (국내 전자서명 관련 법규 및 기술 표준)
  • DocuSign – What is a Digital Signature? (글로벌 전자서명 솔루션 기업의 기술 설명)

댓글 남기기