eIDAS 2 디지털 신원 지갑 : 2026 가이드

eIDAS 2 규정의 시행은 유럽의 디지털 신원 관리에 있어 역사적인 전환점을 의미합니다. European Digital Identity Wallet(EUDI Wallet)을 통해 모든 시민과 기업은 곧 27개 회원국에서 인정받는 주권적이고 상호운용 가능한 디지털 지갑을 갖게 됩니다. 법무, 인사, 준법감시 및 IT 담당 부서에게 이 규제 프로젝트는 운영 과제만큼이나 많은 기회를 제공합니다. 본 글은 EUDI 지갑의 기술 및 법적 작동 방식, 기업을 위한 실질적 영향 및 이미 구축된 공인 전자서명 솔루션과의 연계 방식을 해석합니다.

eIDAS 2와 EUDI 지갑이란 무엇인가?

eIDAS 1.0 규정에서 eIDAS 2.0 규정으로: 구조적 진화

2014년에 채택된 eIDAS 규정 No. 910/2014는 유럽의 디지털 신뢰의 기초를 마련했습니다: 공인 전자서명, 봉인, 타임스탬프 및 인증 서비스. 하지만 10년이 지난 현재, 그 한계가 드러났습니다: 회원국 간 상호운용성 부족, 국가 디지털 신원 채택의 불균등, 통합 지갑 부재. eIDAS 2라고 불리는 규정 (EU) 2024/1183은 2024년 4월 11일 EU 관보에 공식적으로 채택되었으며, 주권적 디지털 신원의 공통 프레임워크를 의무화하여 이러한 결함을 보완합니다.

전체 신규 규제 프레임워크에 대해 더 자세히 알아보려면 eIDAS 2.0 규정에 대한 완전한 가이드를 참고하세요.

EUDI 지갑: 아키텍처 및 기본 원칙

EUDI 지갑 (European Digital Identity Wallet)은 개정된 규정 제5a조에 따라 2026년 말까지 각 회원국이 시민 및 주민에게 제공해야 하는 모바일 및/또는 소프트웨어 애플리케이션입니다. 구체적으로, 이 디지털 지갑은 다음을 가능하게 합니다:

• 검증된 신원 속성 저장 및 제시: 신분증, 운전면허증, 학위, 직업 자격증, 법인의 부가가치세 등록 번호.
• 사용자 인증: 공공 및 민간 서비스에 높은 보증 수준(규정 부록 I의 LoA High)에서 인증합니다.
• 전자 서명: 공인 전자서명 생성 기기(QSCD)를 바탕으로 한 전자서명으로 서명합니다.
• 선택적 공유: RGPD 준수를 위한 주요 개선사항으로 필요한 정보보다 더 이상 공개하지 않으면서 데이터를 선택적으로 공유합니다.

아키텍처는 Commission유럽 위원회가 Architecture and Reference Framework(ARF) 를 통해 발표한 기술 사양을 기반으로 하며, 유럽 디지털 신원 지갑 컨소시엄(EUDIW)에서 유지관리합니다. 채택된 프레젠테이션 형식에는 ISO/IEC 18013-5 (mDL — mobile Driver's Licence) 및 SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), 이동성을 보장하는 두 가지 개방형 표준이 포함됩니다.

누가 대상인가? 신뢰당사자(Relying Parties)

eIDAS 2 규정은 신뢰당사자(Relying Party) 개념을 도입합니다. EUDI 지갑에서 나온 신원 속성을 수락하는 모든 조직(민간 기업, 행정 기관, 온라인 플랫폼)은 자신의 회원국에 등록하고 기술 및 보안 의무 집합을 준수해야 합니다. 규정 제5b조는 대형 플랫폼(DSA 의미상)과 특정 부문(은행, 보건, 에너지)이 국내 운영 진입 시 EUDI 지갑 수락의 의무를 갖는다고 명시합니다.

기업을 위한 EUDI 지갑의 기술적 작동 방식

단계별 인증 및 서명 흐름

기술 흐름을 이해하는 것은 정보 시스템에 통합하기 위해 필수적입니다. EUDI 지갑을 통한 계약 서명의 일반적인 시나리오는 다음과 같이 진행됩니다:

1. 초기화: 신뢰당사자(예: 귀사의 SaaS 플랫폼)가 OpenID4VP(Verifiable Presentations을 위한 OpenID) 프로토콜에 부합하는 프레젠테이션 요청을 생성합니다.
2. 알림: 사용자는 EUDI 지갑 모바일에서 알림을 받습니다.
3. 동의 및 선택: 사용자는 선택적 공시 인터페이스를 통해 공유할 속성(이름, 성, 생년월일)을 선택합니다.
4. 검증 가능한 프레젠테이션: 지갑이 신뢰할 수 있는 발급자(회원국 또는 공인된 공급자)가 서명한 암호화 증명을 생성합니다.
5. 확인: 신뢰당사자가 불필요한 데이터를 저장하지 않으면서 유럽 신뢰 레지스트리(Trust Framework)를 통해 증명을 확인합니다.
6. 공인된 서명: 서명이 필요한 경우, 지갑에 탑재되거나 클라우드에서 호스팅되는(QSign) QSCD가 ETSI EN 319 132에 부합하는 공인된 서명을 생성합니다.

이 흐름은 규정에서 규정한 가장 높은 수준인 LoA High의 보증 수준을 보장하며, 대면 검증과 동등합니다.

기존 전자 서명 플랫폼과의 통합

전자 서명 솔루션 편집자는 EUDI 에코시스템에 연결하기 위해 OpenID4VCI (발급) 및 OpenID4VP (프레젠테이션) 프로토콜을 통합해야 합니다. eIDAS 1.0을 준수하는 플랫폼을 이미 사용 중인 기업의 경우, eIDAS 2로의 전환은 기술 버전 업그레이드를 의미하지만, 이미 실시된 서명의 법적 가치를 유지합니다. 따라서 현재 공급자의 로드맵을 평가하는 것이 전략적이며, 특히 DocuSign 또는 YouSign에서 더 준수적인 솔루션으로 마이그레이션하는 것을 고려 중이라면 그러합니다.

법인의 디지털 신원: 기업 과제

eIDAS 2는 자연인에만 국한되지 않습니다. 제5a조 3항은 명시적으로 법인을 위한 지갑을 규정하여 기업이 다음을 가능하게 합니다:

• 법적 존재 증명(검증 가능한 디지털 회사 등본과 동등).
• 감시되고 철회 가능한 방식으로 협력자에게 서명 권한 위임.
• B2B 계약 프로세스에서 KYB(Business 파악) 검증 자동화.

이 측면은 특히 기업의 전자 서명 프로세스를 변화시키며, 특히 인사, 법률 및 재무 부문에서 주목할 만합니다.

배포 일정 및 규제 의무 2024-2026

규정에 따른 구현 단계

규정 (EU) 2024/1183은 엄격한 일정을 정합니다:

• 2024년 4월: 관보에 공개, 공개 20일 후 발효.
• 2024년 말: 필수 기술 사양을 정의하는 구현 조치(Implementing Acts) 공개.
• 2025년: 국가 지갑 파일럿 배포(EU 디지털 신원 지갑 대규모 파일럿 프로젝트, 유럽 위원회로부터 4,600만 유로 자금 지원).
• 2026년 말: 모든 회원국이 최소 하나의 운영 가능한 EUDI 지갑 제공 의무. 대형 플랫폼과 규제 부문은 이를 수락해야 합니다.

프랑스 기업의 경우, 배포는 La Poste 디지털 신원 및 국가 신뢰할 수 있는 발급자 인증과 관련된 ANSSI의 작업을 기반으로 합니다.

신뢰당사자를 위한 의무

EUDI 지갑을 수락하기를 원하거나 해야 하는 기업은 여러 의무에 종속됩니다:

1. 등록: 권한 있는 국가 기관(프랑스의 경우, 경우에 따라 ANSSI 및 CNIL)에 등록합니다.
2. 기술 준수: ARF v2.x 사양 준수는 유럽 위원회가 GitHub에 게시합니다.
3. 투명성: 요청된 속성과 처리 목적을 공개 레지스트리에 게시합니다.
4. 데이터 최소화: 필수적으로 필요한 속성만 요청합니다 — RGPD로 강화된 의무입니다.
5. 로깅: 원본 신원 데이터를 저장하지 않으면서 감시를 위해 검증 가능한 프레젠테이션의 로그를 유지합니다.

법률 사무소용 전자 서명 흐름 또는 인사 관리에서 EUDI 지갑을 통합하는 기업은 2026년부터 상당한 경쟁 이점을 얻습니다.

기업을 위한 전략적 문제 및 기회

KYC/KYB 프로세스에서의 마찰 감소

EUDI 지갑의 가장 즉각적인 이점 중 하나는 수동 신원 확인 제거입니다. 현재, 새로운 고객 또는 파트너 온보딩은 이메일을 통한 정당성 서류 제출, 법률 조수에 의한 수동 확인 및 처리 지연을 포함합니다. EUDI 지갑을 통해, 고객은 지갑에서 디지털 신분증을 90초 이내에 제시합니다. 공인된 서명은 추가 마찰 없이 뒤따릅니다. 2023년에서 2025년 사이에 수행된 대규모 파일럿에서 관찰된 피드백에 따르면, 이 유형의 흐름은 온보딩 고객 처리 시간을 60~75% 감소시키고 입력 오류나 만료된 서류의 위험을 제거합니다. 법무부는 또한 신원 속성이 회원국에 의해 암호화 인증되므로 AML/CFT 준수에서도 이득을 봅니다. 부동산 전자 서명 부문은 특히 영향을 받으며, 신원 확인 프로세스가 현재 행정 시간의 최대 40%를 차지합니다.

디지털 주권 및 GAFAM 의존성 감소

EUDI 지갑은 강력한 정치적 야망에 대응합니다: 유럽인이 비-유럽 행위자(Google, Apple, Meta)가 운영하는 신원 시스템에 의존하는 것을 줄입니다. 기업의 경우, 이는 상호운용 가능하고 개방되며 독점적이지 않은 인증 인프라가 독점 SDK보다 ISO 및 W3C 표준에 기반한다는 의미입니다. 이 주권은 지역화 절차에 점점 더 민감한 공개 입찰에서도 상업적 차별화 주장입니다.

공인된 전자 서명 및 QTSP에 대한 영향

공인된 신뢰 서비스 공급자(QTSP — Qualified Trust Service Providers)는 역할 진화를 봅니다. EUDI 지갑으로, QSCD는 지갑에 직접 호스팅되거나 클라우드 공인 서명(Remote Qualified Signature)의 QTSP로 위임될 수 있습니다. 기업의 경우, 공인된 서명이 복잡성으로 인해 가장 비판적인 경우로 제한되었다는 의미에서 접근 가능하고 확장 가능해집니다. 우리 전자 서명 솔루션 비교는 현재 분석에서 EUDI 지갑 호환성 이 기준을 통합합니다.

EUDI 지갑 및 기업에 적용되는 법적 틀

eIDAS 2 규정: (EU) 2024/1183

설립 문서는 규정 (EU) 2024/1183 (유럽 의회 및 이사회, 2024년 4월 11일) 은 eIDAS No. 910/2014 규정을 수정합니다. 국가 입법 전환 없이 모든 회원국에서 직접 적용되므로 유럽 법적 균일성을 보장합니다. 제5a~5c조는 EUDI 지갑, 보증 수준 및 사용자 권리에 관한 의무를 정의합니다. 제46f조는 규제 부문의 신뢰당사자에 대한 특정 의무를 도입합니다.

프랑스 민법: 제1366조 및 1367조

프랑스 법에서, EUDI 지갑을 통해 생성된 공인된 전자 서명은 민법 제1367조에서 규정한 신뢰성 추정의 이점을 갖습니다: "전자 서명은 신원을 신뢰할 수 있게 식별하고 적용되는 행위와의 연계를 보장하는 절차 사용으로 구성됩니다." eIDAS 의미상 서명이 공인될 때 신뢰성이 추정됩니다. 제1366조는 전자 서명이 저자가 식별되고 무결성이 보장되는 경우 제지 서명과 전자 서명을 동일시합니다 — EUDI 지갑이 기본적으로 충족하는 두 가지 조건입니다.

GDPR No. 2016/679: 데이터 최소화와의 조화

규정 (EU) 2016/679 (GDPR) 는 EUDI 지갑에서 생성된 신원 속성을 처리하는 신뢰당사자에게 완전히 적용됩니다. 데이터 최소화 (제5조 1항c), 목적 제한 (제5조 1항b) 및 설계 기반 개인정보보호 (제25조)의 원칙은 기술 통합 설계 초기부터 통합되어야 합니다. EUDI 지갑의 기본 선택적 공시는 기술적 준수를 용이하게 하지만, 기업은 처리 법적 기초를 문서화할 책임(제24조)이 있습니다.

ETSI 표준 및 기술 표준

EUDI 지갑을 통해 생성된 공인된 서명은 고급 및 공인된 전자 서명 형식에 대해 ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) 및 ETSI EN 319 162 (PAdES) 표준을 준수해야 합니다. 인증 정책은 ETSI EN 319 401 (신뢰 서비스 공급자의 일반 정책 요구사항)에 정의됩니다. 유럽 위원회의 구현 조치는 신뢰할 수 있는 발급자 인증 요구사항(표준 ISO/IEC 27001 및 Common Criteria EAL 4+)을 명시합니다.

지시문 NIS2: (EU) 2022/2555

EUDI 지갑 인프라 운영자(회원국, 신뢰할 수 있는 발급자, QTSP)는 지시문 NIS2 (EU) 2022/2555의 의무를 준수해야 하며, 프랑스에서 법률 No. 2023-703으로 전환되었습니다. 기업 사용자의 경우, NIS2는 제3자 공급자(EUDI 지갑을 통합하는 솔루션 공급자 포함) 관련 위험 관리 의무(제21조 2항d)를 부과합니다. 따라서 배포 전에 디지털 공급망 위험 영향 분석을 권장합니다.

기업의 EUDI 지갑 사용 시나리오

시나리오 1: 법률 사무소 — 신원 확인 및 위임장 서명

약 20명의 협력자를 두고 있는 법률 회사는 매달 수백 개의 위임장, 참여 편지 및 위임장을 처리합니다. 현재, 고객 신원 확인은 이메일을 통한 증거 서류 제출, 법률 조수에 의한 수동 확인 및 평균 48시간의 처리 지연을 포함합니다. EUDI 지갑을 인증 메커니즘으로 통합하면, 고객은 90초 이내에 지갑에서 디지털 신분증을 제시합니다. 공인된 서명은 추가 마찰 없이 뒤따릅니다. 2023년과 2025년 사이에 수행된 대규모 파일럿에서 관찰된 피드백에 따르면, 이러한 유형의 흐름은 고객 온보딩 처리 시간을 60~75% 감소시키고 입력 오류 또는 만료된 서류의 위험을 제거합니다. 법무부는 또한 신원 속성이 회원국에 의해 암호화 인증되므로 AML/CFT 준수 측면에서도 이득을 봅니다.

시나리오 2: 중소 산업 기업 — 공급자 계약 관리 및 서명 위임

약 100명의 직원을 두고 있는 중소 산업 기업은 연간 약 300개의 공급자 계약을 관리하며, 세 곳의 부지에 분산된 구매 담당자가 관여합니다. 서명 위임 관리는 현재 종이 기반으로 진행되며 감시하기 어렵습니다. EUDI 지갑 기업(법인)을 통해, 경영진은 각 구매 담당자에게 검증 가능한 위임 속성: 참여 상한, 지리적 범위, 유효성 기간을 할당할 수 있습니다. 이러한 속성은 협력자의 지갑에 저장되고 모든 서명 행위 시 자동으로 제시됩니다. 퇴사 또는 직책 변경 시 철회는 즉각적이고 감시됩니다. 이 메커니즘은 비인가 서명과 관련된 계약 분쟁의 위험을 감소시키고 내부 감사를 위한 추적 가능성을 향상시킵니다. 재정 부서는 일반적으로 서명 권한 관리 및 검증에 소비되는 시간을 30~40% 감소시킵니다.

시나리오 3: 병원 그룹 — 환자 동의 및 의료 데이터 접근

여러 시설과 약 1,500명의 의료 직원을 그룹으로 하는 병원 그룹은 특히 Mon Espace Santé를 통한 공유 의료 기록 접근과 관련하여 점점 더 복잡해지는 환자 동의 문제에 직면합니다. EUDI 지갑을 동의 메커니즘으로 통합하면 환자는 스마트폰에서 의료 전문가에게 자신의 데이터 접근을 확인할 수 있으며, 기간 및 접근 범위를 지정합니다. 선택적 공시는 관련 의료 속성만 공유되도록 보장합니다. 의료 직원의 경우, 지갑은 검증 가능한 속성으로 RPPS 번호(보건 전문가 공유 레지스트리)를 제공하여 현재 수동 검증 프로세스를 제거합니다. 유럽 보건 데이터 공간(EHDS) 프레임워크와 일치하는 이러한 유형의 배포는 인가된 의료 데이터에 대한 접근 지연을 여러 시간에서 몇 초로 감소시킬 수 있습니다. 부문 특정 과제에 대해 자세히 알아보려면, 의료 분야의 전자 서명 가이드에서 적용되는 규제 제약을 자세히 설명합니다.

결론

EUDI 지갑과 eIDAS 2 규정은 10년 만에 유럽 디지털 신원의 가장 중요한 변화를 구성합니다. 기업의 경우, 과제는 단순히 새로운 규제를 준수하는 것이 아니라 서명, 온보딩 및 위임 관리 프로세스를 근본적으로 현대화할 기회를 잡는 것입니다. 법률, 인사, 보건 및 산업 부문이 최전선에 있습니다. 성공의 핵심은 예상입니다: 현재 도구의 호환성을 평가하고, 팀을 교육하며, 로드맵이 eIDAS 2와 일치하는 파트너를 선택합니다.

Certyneo는 2026년 배포 시 EUDI 지갑 호환성을 위해 설계된 전자 서명 플랫폼으로 기업이 이 전환에서 전진하도록 동반합니다. 우리의 오퍼를 발견하고 무료로 시작하여 마음의 평온 속에서 2026년을 예상합니다.