eIDAS 2 인증 서명 서비스 제공자 2026

eIDAS 2 인증이 서비스 제공자에게 미치는 영향

2024년 4월 11일 발효된 규정 (EU) 2024/1183 — 일반적으로 eIDAS 2라고 불림 — 이후, 유럽연합 내에서 운영하는 신뢰 서비스 제공자(PSC)는 대폭 재편된 규제 체계에 직면하고 있습니다. 2014년 원본 eIDAS 규정의 개정은 인정 서비스의 범위를 확대하는 것에 그치지 않으며, 인정 조건을 상당히 강화하고, 새로운 보증 수준을 도입하며, 국가 감시 기관의 감시 요구사항을 강화합니다. 유럽 시장에서 적격 전자 서명(QES) 또는 고급(AdES) 서비스를 제공하려는 모든 행위자에게 전자 서명 제공자를 위한 eIDAS 2 인증을 획득하는 방법을 이해하는 것은 더 이상 선택사항이 아니라 전략적 의무입니다.

본 문서는 인증 경로에 대한 포괄적인 개요를 제시합니다: 적용 가능한 규정, 준수해야 할 기술 표준, 적합성 평가 기관(CAB)의 역할, 현실적인 일정 및 운영상 주의사항입니다.

---

새로운 eIDAS 2 규제 환경: 변경 사항

규정 910/2014에서 규정 2024/1183으로: 주요 변화

원본 eIDAS 규정(910/2014)은 유럽에서 신뢰의 단일 디지털 시장의 기초를 마련했습니다. 이는 세 가지 서명 수준 — 단순, 고급, 적격 — 을 정의했으며, 적격 서비스 제공자가 국가 신뢰 목록(TSL, Trust Service Lists)에 포함되어야 합니다. eIDAS 2는 이 아키텍처를 유지하지만 여러 구조적 측면에서 이를 보강합니다:

• 적격 서비스의 확장: 적격 전자 보관, 전자 속성 증명서(AEA), 적격 서명 생성 장치(QSCD)의 원격 관리. 이러한 새로운 서비스는 이제 적격 서명과 동일한 인정 절차의 적용을 받습니다.
• 유럽 디지털 신원 지갑(EUDIW): 향후 신원 지갑과 상호 작용하려는 서비스 제공자는 유럽연합 집행위원회가 발행한 기술 사양(ARF — Architecture and Reference Framework, v1.4, 2024)에 대한 준수를 입증해야 합니다.
• 감시 강화: 국가 감시 기관(프랑스에서는 ANSSI)은 강화된 조사 및 명령 권한을 보유합니다. 적격 PSC는 예고 없는 감시를 받을 수 있습니다.
• 통지 기한 단축: 모든 주요 보안 사건은 24시간 이내에 관할 기관에 통지해야 합니다(이전 버전에서는 특정 사건에 대해 72시간).

규정의 전반적인 개요를 위해, Certyneo의 eIDAS 2.0 가이드는 모든 이러한 변화에 대한 교육적 요약을 제공합니다.

보증 수준과 인증에 대한 영향

고급 및 적격 전자 서명 간의 구별은 시스템의 중추로 남아 있습니다. 오직 QES만이 서명의 진정성 및 귀속성에 대한 법적 추정이 서명된 필기 서명과 동등함을 누립니다(eIDAS 2 제25조). 이 추정은 서비스 제공자의 인증에 직접 달려 있습니다.

| 수준 | 입증 가치 | 제공자 요구사항 | |---|---|---| | 단순(SES) | 제한적 | 없음 | | 고급(AdES) | 상당함 | 모범 사례 + ETSI 표준 | | 적격(QES) | 최대(법적 추정) | eIDAS 2 인증 의무 |

---

eIDAS 2 인증 프로세스 단계별

단계 1 — 조직 및 기술적 전제조건

인증 프로세스를 공식적으로 시작하기 전에, 서비스 제공자는 세 가지 축에서 성숙도 수준을 평가해야 합니다:

1. ETSI 표준 준수 EN 319 시리즈 표준은 필수 기술 토대를 구성합니다. 주요 표준은 다음과 같습니다:

• ETSI EN 319 401: 신뢰 서비스 제공자를 위한 일반 요구사항
• ETSI EN 319 411-1 및 411-2: 증명서를 발급하는 인증 기관을 위한 정책 및 요구사항(적격 증명서를 위한 PTC-QC 프로필)
• ETSI EN 319 421: 타임스탐프 서비스 제공자를 위한 정책 및 요구사항
• ETSI EN 319 132: XAdES(XML) 서명 형식, 및 관련 CAdES(CMS) 및 PAdES(PDF) 시리즈

이러한 표준에 대한 준수는 적격 서비스 제공자에게 선택사항이 아닙니다: 유럽연합 집행위원회의 실행 행위에서 명시적으로 요구됩니다.

2. 정보 시스템 보안 QSCD(적격 서명 생성 장치)는 Common Criteria(CC) EAL4+ 이상으로 인증되어야 합니다. 원격 서명 솔루션 — SaaS 지배적 모델 — 의 경우, 요구사항은 HSM(Hardware Security Module) 모듈 및 암호화 키 관리 절차(최소 FIPS 140-2 수준 3)에도 적용됩니다.

3. 보안 정책(PSSI) 및 위험 관리 인증 제출 파일은 ISO/IEC 27001에 맞춘 공식화된 PSSI를 요구하며(인증은 강력히 권장되며 때로는 CAB에서 요구함), NIS2 요구사항을 통합해야 하며, 이는 "중요" 또는 "필수" 기관으로 분류된 기관에 적용됩니다.

단계 2 — 적합성 평가 기관(CAB) 선택 및 참여

프랑스에서, 신뢰 서비스 제공자를 평가하기 위해 COFRAC(프랑스 인정 위원회)에 의해 인정된 CAB는 소수입니다. 예를 들어, LSTI(Laboratoire de Sécurité des Technologies de l'Information)와 Bureau Veritas Certification는 참조 행위자 중 하나입니다. 유럽 차원에서, 각 회원국은 인정된 CAB 목록을 발행합니다.

CAB의 역할은 두 단계로 나뉜 적합성 감시를 수행하는 것입니다:

1. 문서 검토(단계 1): 정책, 절차, 증명서 실무 명세서(CPS / Certification Practice Statement) 및 기술 증거 검토.
2. 현장 감시(단계 2): 운영 제어 검증, 침투 테스트, 팀과의 면담.

CAB 감시의 총 기간은 일반적으로 후보자의 사전 성숙도에 따라 4~8주입니다.

단계 3 — 국가 감시 기관에 의한 처리

프랑스에서는 ANSSI(국가 정보 시스템 보안 기관)이 국가 신뢰 목록(TSL FR)에 등록 요청을 처리합니다. CAB 감시 보고서를 토대로, ANSSI는 자체 분석을 수행하며 추가 정보 또는 시정 조치를 요청할 수 있습니다.

규정상 처리 기한은 완전한 제출 파일 수령 후 3개월입니다(eIDAS 2 제17조). 실제로, 초기 제출 파일이 불완전한 경우 실제 처리 기한은 종종 더 깁니다.

국가 TSL에 등록되면, 서비스 제공자는 자동으로 유럽연합 집행위원회에서 발행한 EUTL(EU Trusted List)에 참조되어, 27개 회원국 모두에서 즉각적인 국경 간 인정을 제공합니다.

단계 4 — 적격성 유지 및 갱신

eIDAS 2 인증은 확정적이지 않습니다. 적격 서비스 제공자는 다음에 소속됩니다:

• 연간 감시 감시: CAB에서 수행
• 완전한 갱신 감시: 24개월마다(이전 관행에 비해 단축된 주기)
• 예고 없는 제어: ANSSI의 이니셔티브로 가능

기반시설의 실질적인 변경(HSM 변경, PKI 진화, 새로운 적격 서비스)은 사전 통지 절차를 트리거하며 부분 감시를 부과할 수 있습니다.

---

비용, 일정 및 위험 요소: DSI가 예상해야 할 사항

예산 및 인적 자원

첫 번째 eIDAS 2 인증의 비용은 상당합니다. 지출 항목은 다음을 포함합니다:

• CAB 감시: 범위의 복잡성에 따라 40,000€ ~ 120,000€
• 기술 준수(HSM, PKI, CC 인증 QSCD): 자체 기반시설의 경우 80,000€ ~ 수십만 유로
• ISO 27001 인증(권장): 규모에 따라 15,000 ~ 50,000€
• 법률 자문 및 CPS 작성 비용: 10,000 ~ 30,000€
• 내부 비용: 12~18개월 동안 전담 팀(보안 책임자, DPO, 규정 준수 책임자) 동원

모든 이러한 항목을 합치면, 완전한 인증은 중간 규모 서비스 제공자의 경우 유지 비용을 제외하고 200,000 ~ 500,000€ 범위의 전체 투자를 나타냅니다.

운영상 위험 요소

인증 절차에서 실패 또는 지연의 가장 빈번한 원인은 다음과 같습니다:

1. 불충분한 증명서 실무 명세서: CPS는 때로 과소 평가되는 세분성으로 각 제어를 문서화해야 합니다.
2. 키 생명주기 관리의 격차: 폐기, 보관, 개인 키 파괴.
3. 불충분한 사건 거버넌스: SIEM 부재, 테스트된 위기 관리 절차 및 운영 매뉴얼 부재.
4. NIS2 과소 평가: 2024년 10월 이후, 적격 PSC는 자동으로 NIS2 지침의 의미에서 "중요" 기관으로 분류되며, 추가적인 보고 및 위험 관리 의무가 있습니다.

이미 인증된 서비스 제공자에게 이러한 제약을 위임하는 기업의 경우, Certyneo에서 제공하는 전자 서명 솔루션 비교는 이 build-vs-buy 결정을 객관화하는 데 도움이 됩니다.

---

eIDAS 2와 기업 전자 서명: 전환의 도전

기업 사용자 — 서비스 제공자와 대조적으로 — 의 경우, SaaS 서명 공급자의 eIDAS 2 인증은 이제 필수 선택 기준입니다. 국가 TSL에서의 존재를 요구하는 조항을 입찰 요청에 통합하는 것은 규제 부문(금융, 보건, 부동산)에서 표준 관행이 되었습니다.

기업에서의 전자 서명은 실제로 QES가 필요한 사용 사례를 명확히 구분해야 합니다 — 높은 이해관계의 개인 간 행위, 위임장, 전자 공증 행위 — 및 AdES가 충분한 경우. 이 사용 사례 지도는 계약상 서비스 제공자에게 요구할 수 있는 서비스 수준을 직접 조건으로 합니다.

인증된 eIDAS 2 서비스 제공자로 기존 솔루션을 마이그레이션하는 조직은 또한 증거 기록의 이전성을 예상해야 합니다. DocuSign 또는 YouSign에서 Certyneo로의 마이그레이션에 대한 가이드는 전환 중에 이미 서명된 문서의 입증 가치를 보존하기 위한 모범 사례를 상세히 설명합니다.

eIDAS 2 인증에 적용 가능한 법적 체계

기초 규정

신뢰 서비스 제공자의 인증은 전체에 걸쳐 마스터하기 위한 조밀한 규범적 쌓기에 기초합니다:

규정(EU) 2024/1183 2024년 4월 11일(eIDAS 2): 적격 서비스 제공자 지위의 획득 및 유지 조건, 국가 감시 의무, 새로운 서비스(EUDIW, AEA)에 대한 요구사항을 정의하는 참조 규정입니다.

규정(EU) 910/2014(eIDAS 1): 수정되지 않은 조항에 대해 여전히 부분적으로 적용 가능; 이 규정에 따라 채택된 실행 및 위임 행위는 공식 개정까지 유효하게 유지됩니다.

프랑스 민법, 제1366조 및 1367조: 제1366조는 신뢰할 수 있다는 조건 하에 전자 서명이 수기 서명과 동등하다는 원칙을 정합니다; 제1367조는 적격 서명이 사용될 때 신뢰성이 반대 증거가 있을 때까지 추정된다고 명시합니다. 이러한 국가 규정은 eIDAS 2 제25조의 법적 추정과 직접 연결됩니다.

지침(EU) 2022/2555(NIS2): 2024년 10월 15일 법률에 의해 프랑스 법으로 전환되었으며, 적격 신뢰 서비스 제공자를 자동으로 중요 기관으로 분류합니다. 의무: 모든 주요 사건에 대해 72시간 내에 ANSSI에 보고, 공식화된 사이버 위험 관리 구현, 주기적 보안 감시.

규정(EU) 2016/679(GDPR): 서명 서비스 제공자는 민감한 개인 정보(서명자 신원, 감시 로그)를 처리합니다. 최소화, 보관 제한 및 무결성 원칙을 준수하려면 각 서비스에 대한 구체적인 영향 평가(AIPD)가 필요합니다. 처리의 법적 기초는 각 서비스에 대해 문서화되어야 합니다.

규제 가치를 가진 기술 표준

유럽연합 집행위원회의 실행 행위(특히 시행결정(EU) 2015/1506 및 개정)는 ETSI 표준을 적합성의 추정적 표시로 지정합니다:

• ETSI EN 319 401: TSP 일반 요구사항
• ETSI EN 319 411-1 및 411-2: 증명서 정책
• ETSI EN 319 421: 적격 타임스탐프
• ETSI EN 319 132 / 122 / 102: AdES 형식(XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: 원격 서명 서비스

규정 미준수 시 법적 위험

적격 서비스 제공자 지위의 기만적 또는 부주의한 사용은 ANSSI(일시 중단, 신뢰 목록에서 제거)가 발표하는 행정 제재 및 형사 소추(개인 정보 보안 부재에 대한 형법 제226-17조)에 노출됩니다. 민사 측면에서, 규정 미준수 기간 동안 발행된 서명의 입증 가치에 이의가 제기되면 서비스 제공자의 클라이언트에 대한 계약 책임을 야기할 수 있습니다.

사용 사례: 실제 eIDAS 2 인증

사례 1 — QES 적격을 목표로 하는 중간 규모 SaaS 편집자

문서 디지털화 전문 회사로, 약 100명의 직원을 고용하고 은행 및 보험 부문 고객을 위해 매년 수백만 건의 서명 거래를 관리하며, 전자 서명 서비스에 대한 eIDAS 2 적격을 신청하기로 결정합니다. 지금까지 이 회사는 대부분의 클라이언트 계약에 충분한 적격 AdES 기반 고급 서명을 제안했지만, 최대 입증 가치가 필요한 행위(SEPA 위임장, 공증 증명 약정)에는 불충분했습니다.

3개월의 내부 감시 결과 ETSI EN 319 411-2 요구사항에 비해 약 15개의 주요 편차가 드러난 후, 회사는 14개월에 걸친 규정 준수 프로그램을 시작합니다. 주요 과제는 기존 HSM을 FIPS 140-2 수준 3 인증 모듈로 교체, 180페이지 규모의 CPS 작성, 감시 전 ISO 27001 인증 획득입니다. 총 투자액은 340,000€에 달합니다. 프로세스 완료 시, 프랑스 TSL 등록으로 회사는 체계적으로 제외되었던 입찰 기회에 접근할 수 있게 되며, 이는 수익 증가 잠재력 약 20%를 나타냅니다.

사례 2 — 의료 법률 행위를 위한 적격 서명을 통합하는 병원 그룹

약 1,200개 병상을 보유한 병원 그룹은 공개 동의, 의료 권한 위임 및 임상 연구 계약 프로세스를 디지털화하기를 원합니다. 이러한 문서는 HAS 기준 및 건강 데이터의 법적 틀(CSP 제L. 1110-4조)에 의해 QES가 요구되거나 강력히 권장되는 카테고리에 속합니다.

자체 기반시설을 인증하는 것이 너무 비용이 많이 들고 핵심 역량 외라고 판단되는 대신, 그룹은 이미 TSL에 등록된 제3자 서비스 제공자 통합을 선택합니다. IT 팀은 ETSI EN 319 401 체크리스트를 기반으로 공급자 규정 준수 감시를 수행하고 계약화 전 EUTL에서의 실제 존재를 확인합니다. 4개월에 걸친 배포로, 임상 연구 문서에서 서명 수집 기한이 65% 단축되고, 이전에 민감한 행위에 대해 단순 서명을 사용한 것과 관련된 법적 이의 위험이 제거됩니다.

사례 3 — 개인 간 행위를 보안하는 법무법인

약 30명의 파트너를 고용하며 연간 약 400건의 합병 및 사업 양도 거래를 관리하는 기업법 로펌은 복잡한 개인 간 행위의 서명 신뢰성을 높이기를 원합니다. 관리 거래의 단위 가치는 자주 100만 유로를 초과하며, 양식상의 결함은 로펌의 전문가 책임을 야기할 수 있습니다.

분석 후, IT 팀과 매니징 파트너는 100,000€를 초과하는 가치의 모든 행위에 대해 적격 eIDAS 2 서비스 제공자가 발행한 QES의 계약상 최소 요구사항에 동의합니다. 서비스 제공자 선택 기준은 국가 TSL 등록 확인 및 최근(12개월 미만) ETSI 규정 준수 인증서의 가용성을 필수적으로 포함합니다. 이 틀은 로펌이 향후 소송에서 서명 유효성에 대한 전문가 검토 요청을 80% 이상 줄일 수 있게 하며, 이는 부문 내 유사 구조에서 관찰된 피드백에 따릅니다.

결론

신뢰 서비스 제공자로서 eIDAS 2 인증을 획득하는 것은 요구, 비용 및 지속 시간이 많은 프로세스 — 하지만 유럽 시장에서 클라이언트에게 최대 법적 보장을 제공하기를 원하는 모든 행위자에게 필수적입니다. ETSI 표준에 대한 규정 준수, CAB 감시 통과, ANSSI 처리, 기간 동안 적격성 유지 사이에서 이 접근은 12~24개월에 걸친 실질적인 자원을 동원합니다.

기업 사용자의 경우 좋은 소식은 이 기반시설을 내부적으로 구축할 필요가 없다는 것입니다: 이미 eIDAS 2 인증되고 국가 신뢰 목록에 등록된 SaaS 서비스 제공자를 선택하면 QES와 관련된 법적 추정을 즉각 활용할 수 있으며, 인증 비용을 부담할 필요가 없습니다.

Certyneo는 법적 엄격함과 사용 용이성을 요구하는 B2B 기업을 위해 설계된 신뢰할 수 있는 서비스 제공자입니다. 오늘 요금 확인 및 무료 평가판 시작