eIDAS 2 vs eIDAS 1: 중소기업을 위한 주요 변경사항

소개: 중소기업을 위해 eIDAS 2가 변화의 전환점이 되는 이유

2024년 5월 20일 이후 규정(EU) 2024/1183 — 일반적으로 eIDAS 2라고 불림 — 이 발효되어 규정(EU) n° 910/2014(eIDAS 1)를 점진적으로 폐지하고 대체합니다. 프랑스 중소기업에게 이러한 전환은 단순한 행정적 업데이트가 아닙니다. 디지털 신뢰 수준을 재정의하고, 유럽 디지털 신원 지갑(EUDIW)을 도입하며, 신뢰 서비스 제공자의 요구사항을 강화하고, 인정된 서비스의 범위를 확대합니다. 이 문서는 eIDAS 1과 eIDAS 2를 항목별로 비교하고, 소규모 및 중규모 기업에 대한 구체적인 운영 영향을 파악하며, 2026년에 규정을 준수하기 위한 행동 계획을 제시합니다.

---

1. 상기: eIDAS 1(2014-2024)의 기초

1.1 초기 규정의 기반

2014년 7월에 채택되고 2016년 9월부터 적용 가능한 eIDAS 1은 유럽 디지털 신뢰 공간의 첫 번째 초석을 놓았습니다. 이는 세 가지 주요 범주의 전자서명 — 단순(SES), 고급(AdES) 및 정규(QES) — 을 도입했으며, 신뢰할 수 있는 서비스 제공자 목록(Trusted List)을 만들었습니다. 이는 유럽연합 집행위원회의 포털에서 조회할 수 있습니다.

중소기업의 경우 eIDAS 1의 주요 이점은 정규 서명의 국경 간 인정이었습니다. 프랑스 QES로 서명된 계약은 독일, 스페인 또는 이탈리아에서 추가 공증이나 공식 절차 없이 법적으로 인정받았습니다. 이 원칙 — "비차별" 원칙이라고 함 — 은 Certyneo 같은 SaaS 오퍼가 자신의 서비스를 구축한 기초였습니다.

1.2 파악된 한계

그 발전에도 불구하고 eIDAS 1은 유럽연합 집행위원회의 2021년 평가 보고서에서 여러 부족함을 지적했습니다:

• 신원 스키마의 분화: FranceConnect+ 실질 수준과 같이 자신의 스키마를 공시한 회원국만 상호 인정의 이점을 얻었습니다. 2023년 27개 회원국 중 14개만이 규정을 준수하는 스키마를 공시했습니다.
• 기본 모바일 지원 부재: 정규 서명 생성 장치(QSCD)는 종종 스마트카드 또는 물리적 토큰이 필요하여 모바일 채택을 방해했습니다.
• 제한된 신뢰 서비스: eIDAS 1은 9가지 유형의 정규 서비스를 나열했습니다. 새로운 사용 사례(정규 전자 보존, 속성 관리)는 규제되지 않았습니다.
• 통합 신원 지갑 부재: 각 시민이나 기업은 상호 운용성 보장 없이 독립적으로 자신의 식별자를 관리했습니다.

이러한 한계는 유럽연합 집행위원회가 2020년에 검토를 시작하게 했고, 3년간의 삼자협의 후 eIDAS 2 규정으로 이어졌습니다.

---

2. 중소기업을 위한 eIDAS 2의 다섯 가지 주요 혁신

2.1 유럽 디지털 신원 지갑(EU Digital Identity Wallet — EUDIW)

이는 규정의 가장 눈에 띄는 혁신입니다. 2026년 11월(제5a조에서 정한 이행 기한)까지 각 회원국은 자신의 시민과 주민에게 적어도 하나의 인증된 디지털 신원 지갑을 제공해야 합니다. 중소기업의 경우 이러한 발전은 두 가지 직접적인 결과를 가져옵니다:

1. 고객 및 파트너 인증 간소화: 지갑은 검증된 속성(나이, 부가가치세 번호, 상업 등기부, 인증된 은행 데이터)을 마찰 없이 공유할 수 있게 해줍니다. 독일 파트너와의 프레임워크 계약은 EUDIW에서 검증된 전문가 속성을 즉시 확인한 후 서명할 수 있습니다.
2. 특정 부문의 승인 의무: 대규모 플랫폼(제45bis조)의 온라인 서비스와 특정 공공 서비스는 EUDIW를 인증 수단으로 받아들여야 합니다. B2B 포털을 제공하는 중소기업은 인증 API를 조정해야 합니다.

2.2 정규 신뢰 서비스 목록 확장

eIDAS 2는 정규 신뢰 서비스 카탈로그를 9개에서 14개 범주로 확장합니다. 중소기업에 직접 영향을 미치는 새 항목은:

• 정규 전자 보존(제45septies조): 장기 보존 및 강화된 증거 가치. 지금까지 증거 가치 보존은 국가 참조 프레임(프랑스에서는 SIAF/ANSSI 참조)에 의존했습니다. eIDAS 2는 유럽 프레임워크를 조화시킵니다.
• 정규 서명 생성 장치의 원격 관리(RQSCD): 이제 명시적으로 규제되어 정규 서명 솔루션의 클라우드에 대한 모호함을 제거합니다. 50명의 직원을 가진 중소기업의 경우 이는 물리적 토큰 없이 모든 장치에서 정규 서명에 액세스하는 것을 의미합니다.
• 정규 전자 레지스트리 서비스: 블록체인 또는 분산 원장 기술을 기반으로 한 레지스트리는 이제 정규 상태를 얻을 수 있으므로 새로운 계약 관리 모델을 엽니다.

전자서명의 수준과 법적 가치에 대해 더 알아보려면 전자서명 완전 가이드를 참조하세요.

2.3 정규 신뢰 서비스 제공자(QTSP)의 보안 요구사항 강화

eIDAS 2는 정규 신뢰 서비스 제공자(QTSP)의 의무를 강화합니다. 수정된 제24조는 특히 다음을 부과합니다:

• 사이버보안 인증: 유럽 프레임워크(EU 사이버보안 법, 규정 2019/881)를 준수하며, ENISA에 의해 개발 중인 부문별 스키마.
• 운영 복원력에 대한 강화된 요구사항: QTSP는 이제 비즈니스 연속성 계획을 문서화하고 자신의 국가 감독 기관(프랑스의 경우 정규 제공자를 위한 ANSSI)에 제출해야 합니다.
• 보안 사건의 24시간 내 알림 의무(NIS 2와의 조율).

사용자 중소기업의 경우 이는 제공자 선택에 대한 높아진 실사 의무로 해석됩니다. 서명 솔루션이 업데이트된 유럽 Trusted List에 실제로 나열되어 있는지 확인하는 것은 이제 구매 프로세스의 중요한 단계입니다. 우리의 전자서명 솔루션 비교는 이 분석에 도움이 될 수 있습니다.

2.4 신원 스키마의 강제 상호 운용성

eIDAS 1이 회원국에게 자신의 스키마를 공시할(또는 공시하지 않을) 자유를 남겨둔 곳, eIDAS 2는 공공 온라인 서비스(제5조)에 사용되는 신원 스키마의 강제 공시 및 상호 운용성을 만듭니다. France Identité — 내무부가 주도하는 국가 스키마 — 은 유럽연합 집행위원회가 규정(EU) 2024/2977에 발행한 EUDIW 기술 사양과의 규정 준수로 진행 중입니다.

정기적으로 공공 행정 기관과 상호작용하는 중소기업(공공 입찰, 세무 신고, 세관 절차)의 경우 이러한 발전은 온라인 절차가 점진적으로 전체 EU에서 인정되는 단일 디지털 식별자 주위에 통합됨을 의미합니다.

2.5 책임 및 감독의 새로운 규칙

eIDAS 2는 제공자 책임(수정된 제13조)의 정권을 명확히 하고 확대합니다. QTSP는 이제 의무 위반으로 인해 자신의 의무 위반을 기소하여 물질적 또는 법인에게 발생한 손해에 대해 당연히 책임이 있습니다. 이 책임의 추정, eIDAS 1에 비해 강화되었으므로 중소기업이 다음을 권장합니다:

• 제공자의 약속을 계약으로 정식화(SLA, 가용성 보장, 배상).
• QTSP 전문 책임 보험 커버리지 확인.
• 서명된 트랜잭션의 감시 증거 보존(타임스탬프 로그, 서명 검증 보고서).

우리 팀은 기업의 전자서명에 관한 상세한 가이드를 작성했으며 이러한 계약 측면을 다룹니다.

---

3. 비교 테이블 eIDAS 1 vs eIDAS 2: 구체적으로 무엇이 변하는가

3.1 주요 진화의 요약

| 기준 | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | 신원 지갑 | 없음 | EUDIW 강제(회원국) | | 정규 서비스 | 9개 범주 | 14개 범주(보존, RQSCD, 레지스트리…) | | 스키마 공시 | 선택적 | 공공 서비스를 위해 강제 | | QTSP 보안 | Common Criteria | 사이버보안 법 + ENISA 스키마 | | QTSP 책임 | 부분적 | 강화된 책임 추정 | | 사건 알림 기한 | 지정되지 않음 | 24시간(NIS 2 조율) | | QSCD 모바일 | 법적 모호성 | RQSCD 명시적 규제 |

3.2 2026년을 위해 기억할 주요 기한

• 2024년 5월: 규정(EU) 2024/1183 발효.
• 2026년 11월: 각 회원국이 적어도 하나의 인증된 EUDIW 솔루션을 제공해야 하는 기한.
• 2027년: 대규모 플랫폼(제45bis조)이 EUDIW를 인증 수단으로 받아들이도록 강제.
• 2028년: EUDIW 기술 사양에 관한 규정 위임 행위(위임 규정)의 검토 예정.

중소기업이 보다 규정을 준수하는 솔루션으로의 이동을 고려하는 경우 Certyneo로의 마이그레이션 오퍼는 제공된 무료 eIDAS 2 규정 준수 감시를 포함합니다.

---

4. 중소기업을 eIDAS 2 규정에 맞추기 위한 실용적 행동 계획

4.1 기존 문서 흐름 감시

현재 전자서명 또는 디지털 신원을 사용하는 모든 프로세스를 매핑하기 시작합니다: 공급자 계약, 전자 급여, SEPA 위임장, 기밀 유지 계약, 인사 행위. 각 흐름에 대해 다음을 파악합니다:

• 현재 사용되는 서명 수준(SES, AdES, QES).
• 현재 제공자 및 Trusted List의 상태.
• 분쟁 발생 시 법적 위험 수준.

이 감시는 ANSSI가 2025년 3월 발행한 규정 준수 가이드에서 권장되는 시작점입니다.

4.2 서명 솔루션 업그레이드

현재 제공자가 eIDAS 2 Trusted List에 없거나 아직 RQSCD를 제공하지 않는 경우 시장 오퍼를 비교할 시간입니다. Certyneo는 인증된 QTSP로 세 가지 서명 수준(SES, AdES, QES)을 지원하며 정규 보존 및 장치의 원격 관리를 포함한 새로운 eIDAS 2 요구사항을 네이티브로 통합합니다.

4.3 팀 교육 및 계약 업데이트

eIDAS 2는 정규 서명의 증거 가치를 강화하지만 또한 좋은 문서 관행을 부과합니다. 법률 및 행정 팀이 다음을 확인합니다:

• 세 가지 서명 수준을 구별하고 각각의 법적 가치.
• 공급자 계약에 eIDAS 규정 준수 감시 조항 통합.
• 서명 검증 증거(검증 보고서, 정규 타임스탐프)를 적용 가능한 법적 보관 기간(행위의 특성에 따라 3년에서 10년)동안 보존.

이 접근을 구조화하기 위해 우리의 전자서명 ROI 계산기는 업그레이드와 관련된 운영상 이득을 정량화할 수 있게 합니다.

적용 가능한 법적 프레임워크

참조 텍스트

프랑스 중소기업에 대한 eIDAS 2 규정 준수는 마스터하기 필수적인 규범 스택에 적합합니다.

규정(EU) 2024/1183 유럽 의회 및 이사회("eIDAS 2"라고 함): 이는 2024년 4월 30일 EU 공식 저널에 게시된 기초 텍스트입니다. 2027년까지 점진적 배포 일정에 따라 규정(EU) n° 910/2014를 폐지하고 대체합니다. eIDAS 2의 주요 조항에 대해 국가 입법 이행이 필요하지 않으므로 모든 회원국에서 직접 적용됩니다.

규정(EU) n° 910/2014 (eIDAS 1): eIDAS 2에서 정한 이행 기간 동안 그 일부 조항은 계속 적용됩니다. 특히 2024년 5월 이전에 자신의 정규화를 획득한 정규 제공자들에게 재인증 기한이 주어졌습니다.

프랑스 민법 제1366, 1367조: 제1366조는 전자 문서와 종이 문서 간의 동등성 원칙을 제시합니다. "문서를 발행한 사람을 올바르게 식별할 수 있고 이것이 무결성을 보장하도록 설정되고 보존되는 조건에서". 제1367조는 전자서명을 증명 방법으로 인정하며 국무원의 칙령(2017년 9월 28일 칙령 제2017-1416호, 민법 제R. 1369-1에서 R. 1369-10 조에 규정)에 설정된 조건을 참조합니다.

규정(EU) 2016/679 (GDPR): EUDIW의 배포 및 전자서명 흐름에서 신원 속성의 처리는 GDPR의 의미에서 개인 데이터의 처리를 구성합니다. 중소기업은 자신의 QTSP가 GDPR 제28조의 의미에서 서브 프로세서로 작동하도록 보장해야 하며, 규정을 준수하는 DPA(데이터 처리 계약)가 있어야 합니다. CNIL은 2026년 1월 EUDIW-GDPR 통합에 관한 특정 권고안을 발행했습니다.

지침(EU) 2022/2555 (NIS 2): eIDAS 2는 명시적으로 사건 알림 의무(eIDAS 2 제24조 §2, NIS 2 조항 참조)에 대해 NIS 2에 맞춥니다. QTSP는 크기에 따라 NIS 2의 의미에서 "필수" 또는 "중요한" 기관으로 간주되며 따라서 정기적 보안 감시의 대상입니다.

ETSI 표준: 정규 전자서명은 ETSI EN 319 132-1(XAdES), ETSI EN 319 122-1(CAdES), ETSI EN 319 162-1(ASiC) 및 ETSI EN 319 102-1(검증 절차) 표준을 준수해야 합니다. ETSI TS 119 461 표준은 원격 신원 검증(IDV)을 규제하며, RQSCD에 특히 적절합니다.

비규정 준수 시의 법적 위험

eIDAS 2를 준수하지 않는 전자서명 솔루션을 사용하면 중소기업은 여러 위험에 노출됩니다:

• 법원에서 불수용성: 판사는 서명 수준이 서명된 행위에 해당하지 않는 전자서명을 배제할 수 있습니다(예: 고급 또는 정규 수준이 필요한 행위에 대한 단순 서명).
• 계약 책임: 서명의 무효를 이유로 파트너가 계약을 이의 제기하면 중소기업은 배상 청구에 노출될 수 있습니다.
• GDPR 제재: 제공자의 보안 결함으로 인한 데이터 위반 시 중소기업(공동 책임자 또는 책임자)은 CNIL에 의해 글로벌 연간 수익의 4%까지 제재받을 수 있습니다(GDPR 제83조 §4).

구체적 사용 시나리오

시나리오 1: 연간 약 400건의 공급자 계약을 관리하는 80명의 직원 산업 중소기업

금속 가공 부문의 중소기업은 연간 약 400건의 공급자 계약을 처리하며 2024년까지 단순 전자서명(SES)을 사용했습니다. 모든 약정의 경우 — 50,000€를 초과하는 프레임워크 계약 포함. eIDAS 2 규정 준수 감시 후 35%의 계약이 법정 이의에 저항하기 위해 고급 또는 정규 서명이 필요함을 알았습니다. 특히 EU의 다른 회원국에 소재한 공급자와의 계약입니다.

고급 서명(AdES)을 표준 계약에, 정규 서명(QES)을 프레임워크 계약에 결합하는 솔루션으로 마이그레이션하고, 정규 전자 보존(새로운 eIDAS 2 서비스)을 활성화함으로써 이 중소기업은 서명 후 문서 관리(분류, 검색, 공증 사본 발송)에 소비된 시간을 70% 감소시켰습니다. 그리고 서명 이의 관련 분쟁을 0으로 줄였습니다. 이는 이전 18개월 동안 2건의 사건과 대조됩니다.

시나리오 2: 연간 약 1,200개의 서명된 행위를 발행하는 15명의 협력자를 가진 법률 자문 사무실

전문 법사무실은 평균 연간 1,200개의 서명된 행위(위임장, 위임장, 기밀 유지 계약)를 발행하여 기업 고객들의 전체 EU에서 인정 가능한 정규 서명에 대한 증가하는 수요에 직면했습니다. eIDAS 1에서 정규 인증서 획득은 대면 또는 긴 화상 검증(사용자 당 45분에서 90분)이 필요했습니다.

eIDAS 2에 의해 규제되는 RQSCD(원격 정규 서명 생성 장치) 덕분에 사무실은 ETSI TS 119 461 표준을 준수하는 100% 원격 등록 절차를 통해 2주 미만의 시간 내에 모든 협력자에게 정규 서명을 배포할 수 있었습니다. 내부 채택률은 40%에서 95%로 3개월 내에 증가했으며 서명된 행위의 평균 회신 시간은 사무실의 내부 측정에 따라 4.2일에서 6시간 미만으로 감소했습니다.

시나리오 3: EU의 3개국에서 운영하는 35명 직원의 전자상거래 중소기업

온라인 판매 회사는 3개의 EU 국가(프랑스, 벨기에, 네덜란드)에서 운영하며 3가지 유형의 전자 계약을 관리해야 했습니다: 지역 직원을 위한 고용 계약, 수송 회사와의 파트너십 계약, 전문 고객을 위한 SEPA 위임장. eIDAS 1의 국가별 요구사항 단편화는 3개의 별개 서명 워크플로우를 유지하도록 했으며 연간 약 12,000€의 관리 비용으로 추정됩니다.

eIDAS 2를 준수하는 단일 솔루션 채택 — 3개국에서 정규 서명의 상호 인정을 통합 — 워크플로우를 통합할 수 있었고 관리 비용을 연간 약 4,500€로 감소시켰습니다(62%의 절감). 외국 서명의 수동 검증과 관련된 지연을 제거했습니다.

결론

eIDAS 2는 규제 프레임워크의 단순한 화장품 수정이 아닙니다: 이는 유럽 전역의 디지털 신뢰 규칙을 근본적으로 재정의합니다. 프랑스 중소기업의 경우 5가지 주요 진화 — EUDIW 지갑, 정규 서비스 확장, RQSCD, 강제 상호 운용성 및 강화된 책임 — 규정 준수의 제약과 문서 변환을 가속화할 기회를 나타냅니다.

오늘 이 변경을 예상하는 중소기업은 실질적인 경쟁 우위를 얻을 것입니다: EU 전역에서 인정되는 계약 — 마찰 없이, 통합된 증거 가치 보존, 그리고 완전히 전자화되고 보안된 서명 프로세스.

Certyneo는 이러한 전환을 지원하기 위해 설계되었습니다. certyneo.com에서 무료 시험을 시작하세요 그리고 기존 문서 흐름에 대