eIDAS 2: 2026년 새로운 유럽 규정 설명

소개: eIDAS 2가 유럽 기업에 미치는 모든 변화

2024년 5월 20일에 시행된 eIDAS 2 규정(공식 명칭 규정(EU) 2024/1183)은 유럽의 전자 신원 확인 및 신뢰 서비스 분야에서 추진된 가장 야심찬 개혁입니다. 2014년 초기 eIDAS 규정(제910/2014호)을 폐지 및 부분 대체하면서 기존 인프라와의 상향 호환성을 유지합니다. eIDAS 준수 전자 서명을 활용하는 기업의 경우, 이러한 개편은 새로운 의무, 전례 없는 기회, 2026년 이후까지의 촘촘한 규정 준수 일정을 도입합니다. 이 문서는 텍스트의 핵심 규정, 그 운영 상의 영향, 그리고 귀사가 이에 대비할 수 있는 방법을 심층적으로 설명합니다.

---

eIDAS 2 규정이 근본적으로 변경하는 것

2014년 규정에서 2024년 버전으로: 구조적 개편

2014년 초기 eIDAS 규정은 회원국 간 전자 신원 확인 스키마의 상호 인정 기반을 마련하고 신뢰 서비스(서명, 인장, 타임스탬프 등)에 대한 통일된 법적 틀을 수립했습니다. 하지만 10년이 지난 현재 한계는 분명합니다: 공시된 eID의 낮은 채택률, 국가별 솔루션의 단편화, 시민을 위한 범용 디지털 지갑 부재, 무엇보다 웹 사용(GAFAM 신뢰 틀에서 제외)에 대한 부적응입니다.

eIDAS 2는 세 가지 주요 측면에서 이러한 결함을 해결합니다:

1. 유럽 디지털 신원 지갑(EUDI Wallet) — 각 회원국은 2026년 11월 이전까지 모든 유럽 시민 또는 거주자가 신원 속성(신분증, 운전면허증, 학위증 등)을 안전하게 저장하고 제시할 수 있도록 하는 디지털 지갑 애플리케이션을 제공해야 합니다.
2. 인증된 신뢰 서비스 확대 — 이 텍스트는 새로운 인증 서비스를 추가합니다: 인증된 전자 보관 관리(QESAP), 인증된 신원 속성 보고(QEAA), 인증된 전자 장부(QLED) 및 원격 서명 생성 기기 관리(QRCD).
3. 대형 플랫폼에 대한 의무 — 대규모 온라인 서비스 제공자(소셜 미디어, 마켓플레이스)는 사용자 인증을 위해 EUDI 지갑을 수락해야 합니다.

EUDI 지갑: 아키텍처 및 기능

EUDI 지갑은 eIDAS 2의 핵심입니다. 구체적으로, 이는 각 회원국에서 전달 또는 인증한 소프트웨어 애플리케이션으로, 속성의 선택적 제시라는 분산형 모델을 기반으로 합니다. 사용자는 거래에 반드시 필요한 데이터만 전송합니다(최소화 원칙, GDPR 준수).

기술적 관점에서, 아키텍처는 유럽 위원회에서 발표하고 4개의 파일럿 컨소시엄(DC4EU, EWC, POTENTIAL, NOBID)을 모으는 대규모 파일럿(LSP)에서 정기적으로 업데이트한 아키텍처 참고 프레임워크(ARF)을 기반으로 합니다. 선택된 데이터 형식은 주로 ISO/IEC 18013-5(mDL/mDocs) 및 W3C 검증 가능 자격 증명으로, 국제 간 상호운용성을 보장합니다.

기업의 경우, 이는 고객 또는 파트너의 신원을 지갑을 통해 검증할 수 있다는 의미입니다. 기업 자체가 증명 서류 수집을 관리할 필요 없이 — 이를 통해 KYC(고객확인) 마찰을 크게 줄이고 문서 사기 위험을 감소시킵니다.

---

신뢰 수준 및 서명 계층: 무엇이 변경되는가

QES / AdES / SES 계층 유지

전자 서명 체계는 eIDAS 2의 제3조에서 정의한 세 가지 수준을 중심으로 구성되어 있습니다(2014년 용어를 재현하지만 기술 요구 사항을 명확히 함):

• 단순 전자 서명(SES): 최소 증거 가치, 통상적인 행위에 적합합니다.
• 고급 전자 서명(AdES): 서명자에 대한 배타적 연결, 이후 수정을 감지할 수 있는 가능성.
• 인증된 전자 서명(QES): EU 전역에서 필기 서명과 법적으로 동등(제25조§2), 인증된 서명 생성 기기(QSCD)를 통해 인증된 인증서를 기반으로 발급됩니다.

새로운 점은 QES가 이제 인증된 원격 서명 서비스(QRCD)를 통해 전달될 수 있다는 것입니다. 조건은 수정된 텍스트의 제29a조 및 제29b조에 명시되어 있습니다. 이는 가장 까다로운 행위(공증인 계약, 전자 공식 증서)에 대해 물리적 스마트카드 없이 100% 디지털 흐름을 열어줍니다.

인증된 신뢰 서비스 제공자(QTSP)에 대한 영향

Certyneo와 같은 인증된 QTSP를 기반으로 운영하는 제공자는 eIDAS 2에서 도입한 새로운 감사 요구 사항을 예상해야 합니다. 제24조는 이제 하청 체인에 대한 강화된 통제를 의무화하고, 보안 사건 통보 요구 사항은 NIS2 지침의 것과 명시적으로 일치합니다(초기 통보까지 24시간). B2B 컨텍스트에서 다양한 서명 수준의 기능에 대해 더 깊이 알아보려면, 우리의 기업의 전자 서명에 관한 완벽한 가이드를 참조하세요.

---

배포 일정 및 2025-2026년 기업 의무

배포의 주요 단계

규정(EU) 2024/1183은 2024년 4월 30일에 EU 공보에 발표되었고 2024년 5월 20일에 시행되었습니다. 기술 요구 사항을 명확히 하는 데 필수적인 실행 및 위임 행위는 점진적으로 발표됩니다:

| 기한 | 의무 | |---|---| | 2024년 5월 | 규정 시행 | | 2024년 말 | ARF v2.0 실행 행위 발표 | | 2025년 중반 | 첫 번째 EUDI 지갑 파일럿 인증 | | 2026년 11월 | 각 회원국에서 EUDI 지갑 의무 가용성 | | 2027년 | 대형 온라인 플랫폼의 의무 수락 |

기업이 지금 해야 할 일

전자 서명 솔루션을 활용하는 기업의 경우, 2025-2026년에 세 가지 우선순위가 있습니다:

1. 신뢰 체인 감사: 서명 제공자가 자신의 회원국의 QTSP(신뢰할 수 있는 목록) 목록에 제대로 나열되어 있고, 사용된 인증서가 수정된 ETSI EN 319 401 및 EN 319 411-1 사양을 준수하는지 확인합니다.

2. EUDI 지갑 통합 예상: 규제 부문(은행, 보험, 보건, 부동산)에서 운영하는 기업이 지갑을 통한 신원 확인 흐름 중 처음 영향을 받을 것입니다. 2025년부터 API 통합을 준비하는 것이 권장됩니다.

3. 보존 정책 검토: 새로운 인증된 전자 보관 서비스(QESAP)는 특정 부문(공개 조달, 의약품 부문)에서 부과될 수 있는 장기 보존 표준을 도입합니다. 우리의 전자 서명 ROI 계산기를 통해 문서 인프라 업그레이드의 재정적 영향을 평가할 수 있습니다.

---

상호운용성, GDPR 및 디지털 주권의 문제

eIDAS 2와 GDPR: 강화된 상호보완성

eIDAS 2의 주요 진전 중 하나는 EUDI 지갑 아키텍처에서 설계 단계부터의 데이터 보호 원칙의 명시적 통합입니다(설계에 의한 개인정보 보호). 제5a조§14에 따르면, 지갑은 거래 중 사용자의 행동을 추적하도록 제공자를 허용하지 않습니다. 인증된 신원 속성(QEAA) 발급자는 발급된 증명의 사용 방식에 대해 통보받지 않습니다 — 이는 현재 중앙집중식 모델과의 주요 단절입니다.

이 아키텍처는 연결 불가능성(unlinkability)로 불립니다: 같은 사용자가 수행한 두 개의 서로 다른 거래는 사용자의 동의 없이 연결될 수 없습니다. 이 보장은 GDPR의 최소 요구 사항을 능가하면서도 완벽하게 맞춰집니다.

지정학적 차원: 온라인 신원에 대한 통제 되찾기

eIDAS 2는 또한 주권의 문제에 대응합니다. 현재 온라인 인증은 "Google/Facebook/Apple로 로그인" 버튼에 크게 의존하고 있으며, 이는 미국 대형 기술 회사들에게 유럽의 디지털 신원 관리에서 지배적 위치를 부여합니다. 매우 큰 플랫폼(디지털 서비스법의 의미 내)을 강제하여 인증 수단으로 EUDI 지갑을 수락함으로써, eIDAS 2는 상호운용 가능하고 주권적인 대안을 만듭니다.

B2B 기업의 경우, 이는 또한 eIDAS 2 규정 준수가 공개 및 민간 발주의 공고에서 공급자 선택 기준이 될 수 있다는 의미입니다 — 오늘날 조달 프로세스에서 ISO 27001 인증이 나타내는 것과 같은 방식입니다. 귀사가 현재 솔루션 진화를 고려 중이라면, 우리의 DocuSign 또는 YouSign에서 Certyneo로의 마이그레이션 가이드는 관리된 전환의 단계를 자세히 설명합니다.

eIDAS 2 및 전자 서명에 적용되는 법적 틀

참고 텍스트

2024년 4월 11일 유럽 의회 및 이사회 규정(EU) 2024/1183, 디지털 신원과 관련하여 규정(EU) n°910/2014를 수정하는 유럽 디지털 신원 틀의 설정(eIDAS 2). 2024년 4월 30일 EU 공보에 발표, 2024년 5월 20일 시행.

규정(EU) n°910/2014(eIDAS 1): 공시된 신원 확인 스키마의 "약한", "상당한" 및 "높은" 신뢰 수준에 관한 조항을 포함하여 수정되지 않은 규정에 대해 효력을 유지합니다.

프랑스 민법 제1366조 및 제1367조: 전자 문서는 그 발신자가 적절하게 식별되고 문서가 그 무결성을 보장하는 조건에서 작성되는 경우 종이 문서와 동일한 증거력을 갖습니다. eIDAS 2의 의미에 있어서의 인증된 전자 서명(QES)은 이러한 요구 사항을 완전히 충족합니다.

규정(EU) 2016/679(GDPR): EUDI 지갑의 틀 내 신원 데이터의 처리는 최소화(제5조§1c), 목적 제한(제5조§1b) 및 설계에 의한 데이터 보호(제25조) 원칙의 적용을 받습니다. 인증된 제공자는 검증 작업에 대해 개별 책임자의 자격을 행사합니다.

지침(EU) 2022/2555(NIS2): 프랑스 법으로 2024년 6월 12일 칙령 n°2024-528으로 전치되었으며, 인증된 신뢰 서비스 제공자에게 사이버 위험 관리 및 24시간 이내 사건 통보 의무를 부과합니다.

ETSI 표준:

• EN 319 132(XAdES) 및 EN 319 122(CAdES): 고급 전자 서명 형식.
• EN 319 401: 신뢰 서비스 제공자에 대한 일반 요구 사항.
• EN 319 411-1 및 411-2: 인증된 인증서를 발급하는 CA에 대한 정책 및 보안 요구 사항.
• EN 319 521: 서명 보존(QESAP)의 인증된 서비스에 대한 요구 사항.

기업에 대한 의무 및 법적 위험

전자 서명을 계약 컨텍스트에서 사용하는 모든 기업은 선택된 서명 수준이 행위의 가치 및 성질에 맞는지 확인해야 합니다. 서명에 대한 법적 요구 사항이 적용되는 행위(판매 약속, 노동 계약, 특정 임계값을 초과하는 구매 주문)의 경우, eIDAS 2의 제26조에서 언급한 신뢰성 추정만 QES 또는 인증된 인증서 기반 AdES가 제공합니다.

분쟁의 경우, 입증 책임이 역전됩니다: 서명이 인증된 경우, 문서 변경을 입증하는 것은 이에 이의를 제기하는 당사자의 책임입니다; 인증된 인증서 없이 단순하거나 고급인 경우, 입증 책임은 이를 주장하는 서명자에게 있습니다. 추적 가능성 및 무결성 요구 사항 미준수는 행위의 무효성 또는 제3자에 대한 서명의 거부 불가능으로 이어질 수 있습니다.

시나리오: B2B 기업에 적용된 eIDAS 2

시나리오 1 — 디지털 변환 컨설팅 회사(약 80명의 컨설턴트)

여러 회원국(프랑스, 독일, 네덜란드)에 컨설턴트를 배치하는 컨설팅 구조가 매월 임무 지시, 계약 수정 및 인수 결과 보고서에 서명해야 합니다. eIDAS 2 이전에는 국제 간 신원 관리가 마찰을 일으켰습니다: 일부 독일 고객이 프랑스 QTSP에서 발급한 인증서를 인정하기 거부, 민감한 행위에 대해 이메일을 통한 이중 인증이 불충분합니다.

2026년 EUDI 지갑의 배포에 따라, 컨설턴트는 자신의 국가 지갑에서 서명할 수 있습니다 — 모든 회원국에서 완전히 인정되고 마찰 없습니다. 이 회사는 서명 이전 문서 확인 교환에 소비되는 시간을 60~70% 줄인다고 예상합니다. McKinsey Digital(2024)에서 발표한 부문별 벤치마크에 따르면, 컨설턴트당 월별 약 3~4시간이 절약됩니다.

시나리오 2 — 연 350개 공급자 계약을 관리하는 중소 산업 기업

유럽 및 아시아의 약 100개 공급자와 협력하는 산업 장비 부문의 중소 기업이 구매 주문, 기밀 유지 협약(NDA) 및 프레임워크 계약을 체결해야 합니다. 지금까지 이 문서의 30%가 유효한 서명 없이 반환되었거나 10 영업일 이상의 지연이 있었습니다.

eIDAS 2 규정을 준수하는 전자 서명 솔루션을 채택하고 인증된 속성(QEAA)을 통한 신원 확인으로 중소 기업은 공급자의 법적 대표자의 신원이 EUDI 지갑을 통해 자동으로 확인되는 서명 흐름을 강제할 수 있습니다. 결과: 평균 서명 시간이 10일에서 48시간 미만으로 단축되고 규정 비준수 서명으로 인한 분쟁이 40% 감소할 것으로 예상됩니다. ELENIUS 2025 B2B 디지털화 보고서에서 관찰한 범위를 기반으로 합니다.

시나리오 3 — 여러 국가에서 판매 약정을 관리하는 부동산 그룹

프랑스, 스페인 및 포르투갈에서 운영하는 부동산 중개소 네트워크가 다양한 국적의 판매자와 구매자 간 선계약에 정기적으로 서명해야 합니다. QES는 특정 맥락에서 필기 서명을 공증인 앞에서의 필기 서명과 동등하게 보장하기 위해 필요합니다.

eIDAS 2 및 EUDI 지갑의 상호운용성 덕분에, 포르투갈 구매자는 자신의 국가 지갑을 사용하여 프랑스 법에 적용되는 약정에 서명할 수 있으며, "높은" 신뢰 수준으로 서명 플랫폼에서 자동으로 인정됩니다. 이 그룹은 국제 간 이동 및 문서 공증 비용을 문서당 약 800~1,200유로 줄이고, 선계약 체결 시간을 평균 3주에서 5일로 단축합니다. 부문별 특정 사용 방법의 경우, 우리의 부동산 전자 서명 페이지는 적응된 워크플로우를 자세히 설명합니다.

결론

eIDAS 2는 단순한 규정 업데이트가 아닙니다: 유럽에서 디지털 신원과 전자 신뢰가 기능하는 방식의 근본적인 개편입니다. EUDI 지갑, 새로운 인증된 서비스, 상호운용성 의무 및 NIS2 및 GDPR과의 정렬은 2026년 말까지 기업의 계약 및 인증 프로세스를 변환할 일관된 생태계를 형성합니다.

규정 준수 및 경쟁력을 유지하기 위해, B2B 조직은 지금 행동해야 합니다: 신뢰 체인을 감사하고, 새로운 요구 사항에 맞춘 제공자를 선택하며, 유럽 디지털 지갑 통합을 위해 문서 흐름을 준비하세요.

Certyneo는 eIDAS 2 규정을 준수하고 2026년에 준비된 인증된 전자 서명 솔루션으로 이 전환을 지원합니다. Certyneo에서 데모를 요청하거나 계정을 만드세요 오늘부터 계약을 보안하세요.