주요 콘텐츠로 이동
Certyneo

2026년 전자서명이 어떻게 작동하는지

전자서명의 작동 방식을 이해하는 것은 모든 법무 책임자 또는 정보보안(DSI) 책임자에게 필수적입니다. 전자서명의 법적 효력을 보장하는 암호화 및 규제 메커니즘을 알아봅시다.

읽는 시간 8분

Certyneo 팀

작성자 — Certyneo · Certyneo 소개

개요

전자서명은 오늘날 기업의 디지털 변환의 핵심입니다. 2025년에는 유럽의 대규모 조직 70% 이상이 최소 한 개의 계약 프로세스에 전자서명을 통합했습니다(출처: 가트너, 디지털 프로세스 자동화 설문조사 2025). 그럼에도 불구하고, 전자서명을 법적으로 유효하고 기술적으로 위조 불가능하게 만드는 메커니즘을 정확히 이해하는 의사결정자는 드뭅니다. 전자서명이 기술적으로 어떻게 작동하는지 이해하기 — 암호화, PKI, 인증서 — 는 올바른 솔루션을 선택하고, 법적 위험을 줄이고, 내부 채택을 가속화할 수 있게 합니다. 이 글은 2026년 전자서명을 규제하는 기술 아키텍처와 표준을 단계적으로 안내합니다.

---

전자서명의 암호화 기초

전자서명은 입증된 암호화 원시 기능에 기초합니다. 이 메커니즘을 이해하는 것은 왜 전자서명이 디지털화된 필기 서명보다 더 신뢰할 수 있는지 이해하는 것입니다.

비대칭 암호화: 공개키와 개인키

기본 원칙은 비대칭 암호화로, 1970년대에 발명되었고 RSA(Rivest–Shamir–Adleman) 또는 타원곡선(ECDSA)과 같은 알고리즘으로 표준화되었습니다. 각 서명자는 수학적으로 연결된 두 개의 키를 보유합니다:

  • 개인키: 서명자에 의해 비밀리에 보관되며, 보안 장치(스마트 카드, 토큰 HSM, 또는 보호된 소프트웨어 모듈)에 저장됩니다. 서명을 생성하는 데 사용됩니다.
  • 공개키: 자유롭게 배포되며, 디지털 인증서에 포함됩니다. 서명을 검증하는 데 사용됩니다.

보안 원칙은 계산 비대칭성에 기반합니다: 공개키로 서명을 검증하는 것은 수학적으로 간단하지만, 공개키로부터 개인키를 복원하는 것은 실질적으로 불가능합니다(이산 로그 또는 큰 정수 인수분해 문제).

해시 함수: 문서의 디지털 지문

서명하기 전에, 시스템은 해시 함수(2026년에는 SHA-256 또는 SHA-3)를 사용하여 문서의 암호 지문을 계산합니다. 이 지문은 해시 또는 응축(condensat)이라 불리며, 문서 내용을 고유하게 나타내는 고정 크기(SHA-256의 경우 256비트)의 문자열입니다.

필수적인 속성: 문서의 한 글자를 수정하면 완전히 다른 해시가 생성됩니다. 이는 서명된 문서의 무결성을 보장합니다: 서명 이후의 모든 변경은 즉시 감지됩니다.

따라서 실제 전자서명은 이 해시를 서명자의 개인키로 암호화한 것입니다. 검증 시 수령인은:

  1. 개인키로 서명을 해독하여 원본 해시를 복원합니다;
  2. 수신한 문서의 해시를 직접 다시 계산합니다;
  3. 두 해시를 비교합니다: 동일하면 서명이 유효합니다.

---

공개키 기반 구조(PKI): 신뢰 체인

암호화만으로는 충분하지 않습니다: 공개키가 실제로 자신이라고 주장하는 사람에게 속하는지 증명해야 합니다. 이것이 PKI(공개키 기반 구조) 또는 인프라 á Clés Publiques의 역할입니다.

인증 기관(CA)

인증 기관(AC 또는 CA)디지털 인증서를 발급하는 승인된 신뢰할 수 있는 제3자입니다. 디지털 인증서는 다음을 포함하는 표준화된 파일(X.509 형식)입니다:

  • 보유자의 신원(이름, 조직, 이메일);
  • 공개키;
  • 유효 기간;
  • AC 자체의 디지털 서명.

유럽에서 적격 AC는 eIDAS 규정에 따라 각 EU 회원국이 발행한 신뢰 목록(Trusted Lists)에 등재됩니다. 프랑스에서는 ANSSI가 이 목록을 발행하고 유지합니다. 적격 신뢰 서비스 제공자(QTSP) — CertSign, Certigna 또는 Universign과 같은 — 는 ETSI EN 319 401 표준에 따른 정기적인 감사를 받습니다.

인증서 체인과 폐지

PKI는 계층적 모델에서 작동합니다:

  • 자체 서명한 루트 CA(Root CA), 최대 물리적 보안 조건 하에서 오프라인으로 보관됨;
  • 최종 사용자의 인증서를 발급하는 중간 CA(Intermediate CA).

인증서 폐지는 중요한 메커니즘입니다: 개인키가 손상된 경우, AC는 CRL(인증서 폐지 목록) 또는 OCSP(온라인 인증서 상태 프로토콜)을 통해 무효화를 발표하여 실시간 검증을 가능하게 합니다.

eIDAS 의미의 적격 전자서명의 경우, 개인키는 QSCD(적격 서명 생성 장치) — CC EAL4+ 이상 인증된 하드웨어(스마트 카드 또는 HSM(하드웨어 보안 모듈))에서 생성되고 보관되어야 합니다.

---

eIDAS에 따른 서명의 세 가지 수준

유럽 규정 eIDAS n° 910/2014(및 2026년 진행 중인 eIDAS 2.0 진화)는 세 가지 서명 수준을 정의하며, 각각은 증가하는 기술적 보장에 기초합니다. 이 규제 프레임워크를 더 깊이 알려면 우리의 eIDAS 규정에 대한 완전한 가이드를 참고하세요.

단순 전자서명(SES)

단순 서명은 기술적으로 가장 제약이 적은 형태입니다. 체크박스, SMS로 전송된 OTP(일회성 비밀번호) 코드, 또는 필기 서명의 이미지만큼 기본적일 수 있습니다. 반드시 적격 인증서를 포함하지 않습니다.

전형적인 용도: 견적 검증, 마케팅 동의, 낮은 이해관계의 계약.

위험: 법적 분쟁의 경우 증거 가치가 제한됩니다. 서명을 주장하는 쪽이 입증 책임을 져야 합니다.

고급 전자서명(AdES)

고급 서명은 네 가지 정확한 기술 요구사항(eIDAS 제26조)을 충족합니다:

  1. 서명자에게 명확하게 연결되어 있습니다;
  2. 서명자를 식별할 수 있습니다;
  3. 서명자의 배타적 통제 하에 있는 데이터로부터 생성됩니다;
  4. 문서의 이후 수정을 감지할 수 있습니다.

구체적으로, 이것은 개인 디지털 인증서와 견고한 인증 메커니즘의 사용을 의미합니다. 표준 형식은 ETSI에 의해 정의됩니다: PAdES(PDF의 경우), XAdES(XML), CAdES(이진 데이터), JAdES(JSON), 모두 ETSI EN 319 100 시리즈에서 정규화됨.

적격 전자서명(QES)

적격 서명은 최고 수준입니다. 이를 위해서는:

  • 적격 인증서 (승인된 QTSP eIDAS에서 발급);
  • 서명 생성을 위한 QSCD.

이것은 신뢰성 법적 추정으로부터 이득을 보며, 전체 유럽연합에서 필기 서명과 법적으로 동등합니다(eIDAS 제25조). 이것은 전자 공증 문서, 특정 공증 행위, 또는 민감한 공공 계약에 필요한 수준입니다.

우리의 전자서명 솔루션 비교는 이 수준들 간의 실질적인 차이를 분석하여 선택을 돕습니다.

---

전자서명의 완전한 프로세스 단계별

다음은 Certyneo와 같은 SaaS 플랫폼에서 전자서명 트랜잭션이 실제로 어떻게 진행되는지입니다:

단계 1: 문서 준비 및 전송

서명 개시자는 문서(계약, 수정안, 주문서)를 플랫폼에 업로드합니다. 시스템은 즉시 원본 파일의 SHA-256 해시를 생성하며, 시간 표기와 불변 방식으로 보관됩니다. 이 지문은 향후 모든 검증의 참조로 사용됩니다.

단계 2: 서명자 인증

선택된 서명 수준에 따라 인증이 달라집니다:

  • SES: 이메일 + 서명 링크;
  • AdES: 강력한 인증(OTP SMS, FIDO2 모바일 앱);
  • QES: 사전 신원 검증(대면 또는 비디오 IDV), 일회용 또는 지속적인 적격 인증서 발급.

단계 3: 암호 서명 생성

서명자가 서명 행위를 시작합니다. 플랫폼(또는 QSCD)은:

  1. 문서의 해시를 계산합니다;
  2. 서명자의 개인키로 이 해시를 암호화합니다;
  3. 서명과 인증서를 문서에 통합합니다(장기 보존을 위해 PAdES-LTV 형식의 서명된 PDF).

단계 4: 적격 타임스탬핑

RFC 3161을 준수하는 적격 타임스탐핑 서비스(TSA)는 암호 타임스탬프를 부착하여 서명이 정확한 시간에 존재했음을 증명합니다. 이것은 날짜 위조로부터 보호하고 시간이 지나서도 증거 가치를 보장합니다 — 서명자의 인증서가 나중에 만료되더라도.

단계 5: 증거 보관

서명된 문서는 완전한 감사 추적과 함께 보관됩니다: 서명자의 신원, IP 주소, 타임스탬프, 문서 해시, 사용된 인증서. 이 증거 기록(audit trail)은 법적 분쟁의 경우 필수적입니다. eIDAS 준수 솔루션은 이 증거를 PAdES-LTV(장기 검증) 형식으로 유지하여 서명 이후 수년 동안 서명의 검증을 가능하게 합니다.

HR 흐름에 이 프로세스를 통합하는 방법을 이해하려면 우리의 HR용 전자서명 솔루션다운로드 가능한 계약 템플릿을 살펴보세요.

전자서명에 적용되는 법적 프레임워크

전자서명은 국가 민법과 조화로운 유럽 법률을 연결하는 다층 규범 프레임워크에 포함됩니다.

프랑스 민법

민법 제1366조는 기본 원칙을 설명합니다: "전자 문서는 그 출처를 적절히 식별할 수 있고 그 무결성을 보장하도록 하는 조건 하에서 작성되고 보관된 경우, 종이 지원 문서와 동일한 증거 효력을 갖습니다." 제1367조는 서명 전자서명이 "행위에 연결된 신뢰할 수 있는 식별 프로세스의 사용으로 구성된다"고 명확합니다.

2017년 9월 28일 령 제17-1416호는 eIDAS 준수 적격 및 고급 서명에 대한 신뢰성 추정을 정의합니다.

eIDAS 규정 n° 910/2014

신뢰 디지털의 유럽 법의 기초인, eIDAS(전자 신원, 인증 및 신뢰 서비스) 규정은 전자서명, 전자 봉인, 적격 타임스탐핑, 권장 송부 서비스, 웹사이트 인증 인증서에 대해 통일된 법적 프레임워크를 수립합니다. 제25조, 부칙 2는 적격 서명에 법적 동등성 추정을 전체 EU에서 필기 서명과 함께 부여합니다.

eIDAS 2.0 규정(2026년 1사분기까지 전환 예정)은 유럽 디지털 신원 지갑(EUDIW)으로 이러한 조항을 강화하고 금융 및 보건 서비스 시장에 의무를 확대합니다.

ETSI 표준

서명 형식은 ETSI에 의해 표준화됩니다:

  • ETSI EN 319 132(XAdES), EN 319 122(CAdES), EN 319 102(PAdES)는 고급 및 적격 서명의 기술 프로필을 정의합니다;
  • ETSI EN 319 421은 적격 타임스탐핑 서비스의 정책을 규정합니다.

GDPR 및 데이터 보호

전자서명 맥락에서 신원 데이터 처리(이름, 이메일, 신원 확인을 위한 생체 정보)는 GDPR n° 2016/679의 적용을 받습니다. 데이터 책임자는: 법적 기초(정당한 이익 또는 계약 이행)를 보유하고, 데이터 최소화 원칙을 적용하고, 기술 조치(암호화, 가명화)로 보안을 보장해야 합니다.

NIS2 지침

NIS2 지침(2022/2555/UE)은 2024년 10월 이후 프랑스 법으로 전환되었으며, 필수 서비스 운영자 및 디지털 서비스 제공자(전자서명 제공자 포함)에게 사이버 보안, 위험 관리, 24시간 내 사건 알림에 대한 강화된 의무를 부과합니다. 미준수는 1천만 유로 또는 세계 매출의 2%에 이르는 벌금에 노출됩니다.

전자서명의 구체적인 사용 시나리오

시나리오 1: 기업법 로펌이 위임장 서명 자동화

기업법 분야의 로펌으로 약 12명의 협력자가 월평균 120건의 위임장을 처리했습니다. 종이 절차는 인쇄, 우편 발송 또는 대면 전달, 반환된 문서의 스캔 — 각 파일당 평균 4.5 업무일의 지연과 약 8%의 문서 손실률을 초래했습니다.

인증(OTP)을 통한 고급 전자서명(AdES)을 배포함으로써, 로펌은 평균 서명 지연을 4시간 미만으로 단축했고, 문서 이상률을 1% 미만으로 줄였으며, 우편 및 인쇄 비용으로 연간 약 2,200€를 절약했습니다. 자동으로 생성된 감사 추적은 또한 두 건의 위임장 이의 절차를 단순화했으며, 반박할 수 없는 시간 표기된 증거를 제공했습니다. 법무 부서 솔루션에서 우리의 전용 솔루션을 발견하세요.

시나리오 2: 중소기업이 공급업체 계약을 디지털화

약 200개의 공급업체 계약(구매 일반 약관, 가격 수정안, NDA)을 관리하는 제조 중소기업은 국제 독일 및 스페인 파트너와의 계약에서 3주 이상을 초과하는 서명 지연을 겪었습니다. 법적 시스템의 차이와 상호 인정의 부재가 협상을 지연시켰습니다.

승인된 eIDAS QTSP에서 발급한 적격 서명(QES)을 채택함으로써 전체 EU에서 인정되는 중소기업은 세 국가에서 추가 법적 합인 없이 자동 법적 인정으로부터 이득을 얻었습니다. 국제 서명 평균 지연은 18일에서 2.5일로 감소했습니다. 기업의 전자서명은 조달 팀을 위한 이러한 이점을 자세히 설명합니다.

시나리오 3: 병원 그룹이 환자 서면 동의를 보호

약 800 침대의 병원 그룹은 임상 연구 프로토콜을 위해 환자의 서면 동의를 수집해야 했습니다. 종이 관리는 GDPR 준수 위험(잘못 보관된 문서, 추적 불가능한 날짜)을 생성했으며 의료 인력을 행정 작업에 사용했습니다.

SMS 코드로 신원 확인하는 단순 전자서명을 통합함으로써 — 적격 요구사항이 있는 행위에 충분 — 병원 그룹은 동의 수집, 보관 및 추적을 자동화했습니다. 환자당 행정 시간은 12분에서 2분 미만으로 감소했으며, 매년 약 800명의 의료 시간을 확보했습니다. 모든 문서는 적격 타임스탐핑을 통해 보관되어 CNIL 요구사항을 완전히 충족합니다. 의료용 서명 솔루션을 살펴보세요.

결론

전자서명이 기술적으로 어떻게 작동하는지 이해하기 — 비대칭 암호화부터 PKI, 적격 인증서부터 증거 타임스탐핑까지 — 준수 및 운영 효율성에서 정보 결정을 내리기 위해 필수적입니다. 세 가지 eIDAS 수준(단순, 고급, 적격)은 다양한 요구를 충족하며, 선택은 항상 법적 위험 분석 및 예상 증거 가치에 의해 안내되어야 합니다.

Certyneo는 eIDAS 준수 SaaS 플랫폼, 승인된 QTSP, 기존 프로세스의 단순화된 통합으로 이 전환을 동반합니다. 전자서명 ROI 계산기를 사용하여 조직의 잠재적 이득을 추정하거나 오퍼 및 요금을 직접 상담하여 시작하세요. 준수와 성능은 더 이상 절충안이 아닙니다.

Certyneo를 무료로 사용해 보세요

5분 안에 첫 서명 봉투를 전송하세요. 신용카드 없이 월 5건의 무료 봉투를 제공합니다.

무료로 시작하기요금제 보기
모든 게시물

주제 더 알아보기

이 주제와 관련된 참고 자료.

전자 서명은 어떻게 작동하나요?암호화 메커니즘, 인증, 타임스탬프, 감사 추적: 전자 서명의 기능을 단계별로 설명합니다.부동산 기술 방문: DPE 2026 표준전자 타임스탬프: 정의 및 사용전자 타임 스탬프의 정의, 작동 방식, 적격 시기, 서명을 보호하는 이유는 무엇입니까?프랑스 전자서명 법적 효력 2026전자서명이 정말 손으로 직접 쓴 서명과 같은 법적 효력을 갖나요? 2026년 프랑스에 적용되는 정확한 규칙을 알아보세요.

주제 더 알아보기

전자서명을 마스터하기 위한 우리의 완벽한 가이드.

추천 게시물

관련 주제의 게시물로 지식을 심화하세요.

기업 급여 관리 완벽 가이드: 2026년

급여 관리는 모든 기업의 전략적 기둥입니다. 2026년 의무 사항, 모범 사례 및 디지털화가 이 프로세스를 어떻게 변환하는지 알아보세요.

9 min

기업 급여 관리 완벽 가이드 2026

급여 관리는 모든 기업의 HR 의무의 핵심입니다. 모범 사례, 2026년 법적 요구사항, 그리고 업무 처리의 전자화가 어떻게 프로세스를 간소화하는지 알아보세요.

9 min

급여명세서 완전 관리: 2026년 가이드

급여명세서 관리는 디지털화 및 새로운 법적 의무와 함께 빠르게 진화하고 있습니다. 2026년 완전한 준수를 위한 모든 핵심 사항을 알아보세요.

9 min