적격 eIDAS 타임스탬프: 확실한 날짜의 증명

전자 타임스탬프는 종종 부차적인 기술 세부 사항으로 인식됩니다. 실제로 전자 서명된 문서의 입증력의 기둥 중 하나를 구성합니다. 이것이 없으면 디지털 서명은 그것이 언제 첨부되었는지에 대해 아무것도 말하지 않습니다. 이는 분쟁이 발생할 경우 치명적일 수 있는 결함입니다. eIDAS 규정 제910/2014호는 정확히 적격 타임스탬프 개념을 도입했으며, 이는 유럽연합의 모든 회원국에서 인정하는 가장 높은 수준의 날짜 인증입니다. 이 글은 이 메커니즘, 그 기술 요건, 법적 범위, 그리고 이것이 필수불가결한 구체적 상황들을 해독합니다.

eIDAS 의미의 적격 타임스탬프란 무엇인가?

정의 및 타임스탬프 수준

eIDAS 규정은 두 가지 범주의 전자 타임스탬프를 구분합니다:

• 단순 전자 타임스탬프: 다른 데이터와 날짜 및 시간을 연결하는 모든 전자 형식의 데이터입니다. 이는 반박 가능한 신뢰성의 추정(eIDAS 제41조)을 얻습니다.
• 적격 타임스탬프: 더 높은 수준으로, 감시를 받는 국가 신뢰 목록에 등재된 적격 신뢰 서비스 제공자(PSCQ)에 의해 발행됩니다. 이는 날짜 및 시간의 정확성의 법적 추정 및 타임스탬프된 데이터의 무결성의 법적 추정(eIDAS 제42조)을 얻습니다.

이 구분은 기본적입니다: 적격 타임스탬프는 반대 증거가 있을 때까지 정확한 것으로 추정되며, 이는 분쟁 발생 시 입증 책임을 역전시킵니다. 이 텍스트에서 규정한 다양한 신뢰 수준에 대해 자세히 알아보려면 우리의 eIDAS 2.0 규정에 대한 완전한 가이드를 참조하세요.

적격 타임스탬프의 기술 요건

eIDAS 의미에서 적격이 되려면 타임스탐프는 규정 제42조에 정의된 엄격한 기준을 충족해야 합니다:

1. 데이터에 날짜와 시간 연결: 탐지 불가능한 수정의 합리적 가능성을 배제하는 방식으로.
2. 정확한 시간 소스에 기초: 협정 세계시(UTC)에 연결되고 추적 가능하며 ETSI EN 319 421 및 EN 319 422 표준을 준수합니다.
3. 적격 PSCQ의 고급 전자 서명 또는 고급 전자 봉인으로 서명됨: 또는 동등한 방법을 통해.

실제로, 제공자는 문서의 암호화 지문(해시)을 받아 서명된 타임스탬프를 첨부하고 RFC 3161 프로토콜을 준수하는 타임스탬프 토큰(TST)을 반환합니다. 이 프로세스는 문서의 내용을 제공자에게 전송하지 않습니다. 오직 그 지문만 — 이는 데이터 기밀성을 보장합니다.

신뢰 목록 및 국가 감시

프랑스에서 ANSSI(국가 정보 시스템 보안 청)는 적격 제공자 목록을 유지하는 감시 기관입니다. 이 목록은 서명된 XML 형식으로 발행되고 유럽위원회의 eIDAS 포털을 통해 액세스 가능한 EU 신뢰 목록에 통합됩니다. 이 목록에 있는 모든 제공자는 ETSI EN 319 401(일반 요건) 및 ETSI EN 319 421(적격 TSA에 대한 정책 프로필) 표준에 따른 엄격한 준수 감사를 받았습니다.

귀사의 기업을 위해 전자 서명 솔루션을 평가할 때, 제공자가 단순한 내부 타임스탐프가 아닌 적격 타임스탐프를 통합하는지 확인하는 것은 결정적인 선택 기준입니다.

왜 적격 타임스탬프가 날짜 증명에 결정적인가?

디지털 증거 사슬의 날짜

적격 전자 서명은 누가 서명했고 문서가 수정되지 않았음을 증명합니다. 하지만 적격 타임스탐프가 연결되지 않으면 서명이 언제 첨부되었는지는 증명하지 않습니다. 이 구분은 여러 시나리오에서 중요하게 작용합니다:

• 발명의 우선권: 특허 또는 노하우가 특정 날짜 전에 존재했음을 입증하기 위해.
• 계약상 기한 준수: 계약이 제안의 만료 기한 전에 서명되었음을 증명하기 위해.
• 장기 입증 보관: 서명의 암호화 유효성은 알고리즘 폐기로 인해 만료될 수 있습니다(서명 노화 현상). 적격 타임스탐프를 사용하면 문서를 "재-타임스탐프"할 수 있고 그 입증력을 연장할 수 있습니다.

서명의 노화 및 재-타임스탬프

암호화 알고리즘은 진화합니다. 2015년 안전하다고 간주되던 RSA-2048 기반 인증서는 양자 컴퓨팅의 발전으로 2030년경에는 불충분하다고 판단될 수 있습니다. 입증 가치 있는 보관은 재-타임스탬프 관행에 기초합니다: 알고리즘의 견고성이 추정적으로 만료되기 전에, 전체(문서 + 서명 + 이전 타임스탐프)에 새로운 적격 타임스탐프를 적용하여 중단 없는 신뢰 사슬을 만듭니다.

이 접근 방식은 ETSI EN 319 102-2(고급 및 적격 서명의 확인 절차)에서 규범화되었고 10년 이상 보관해야 하는 모든 문서 — 공증 행위, 장기 상업 계약, 의료 기록 또는 규제 문서 — 에 권장됩니다.

유럽 상호 운용성 및 상호 인정

적격 eIDAS 타임스탐프의 주요 강점 중 하나는 모든 27개 회원국에서의 자동 인정(eIDAS 제41조 3항)입니다. 프랑스 PSCQ에서 발행한 적격 타임스탐프는 독일, 스페인 또는 폴란드에서 동일한 법적 효과를 갖습니다. 이 법적 이동성은 유럽 시장에서 운영하고 여러 국가의 파트너와 계약에 서명하는 기업에 특히 가치가 있습니다. 시장에서 이용 가능한 다양한 접근 방식을 비교하려면, 우리의 전자 서명 솔루션 비교는 자세한 분석을 제공합니다.

전자 서명 흐름에서 적격 타임스탐프 통합

준수한 기술 아키텍처

적격 전자 서명(QES) 프로세스에서, 타임스탐프는 ETSI가 장기 서명 형식으로 정의한 서명된 문서의 여러 수준에서 통합됩니다:

• XAdES-LTA 형식(XML 고급 전자 서명 — 장기 보관): XML 문서용.
• PAdES-LTA 형식(PDF 고급 전자 서명 — 장기 보관): PDF용, 기업에서 가장 일반적인 형식.
• CAdES-LTA 형식(CMS 고급 전자 서명 — 장기 보관): 일반 바이너리 파일용.

LTA(장기 보관) 접미사는 정확히 적격 타임스탐프 및 인증서 만료 후에도 미래 확인을 위해 필요한 폐지 데이터를 통합하는 수준을 지정합니다.

SaaS 서명 플랫폼의 역할

Certyneo와 같은 SaaS 솔루션에서, 적격 타임스탐프의 통합은 최종 사용자에게 투명합니다. 플랫폼은:

1. 최종 문서의 암호화 지문을 생성합니다.
2. 이 지문을 보안 연결을 통해 파트너 적격 TSA(타임스탐핑 기관)로 전송합니다.
3. 서명된 타임스탐프 토큰(TST)을 수신합니다.
4. TST를 PAdES-LTA 형식에 따라 PDF 파일에 통합합니다.
5. 전체를 감사 가능한 보안 보관 환경에 저장합니다.

사용자는 따라서 그 서명 완료의 날짜가 인증되고 어떤 제삼자에 의해서도 검증 가능한 문서를 소유합니다, 서명을 수행한 플랫폼의 인프라에 대한 의존 없이. 이 검증의 자율성은 입찰 절차 중에 자주 과소평가되는 우수성의 기준입니다. DocuSign 또는 YouSign에서 Certyneo로의 마이그레이션을 고려하고 있다면, 우리의 DocuSign 또는 YouSign에서 Certyneo로의 마이그레이션 가이드는 미리 예상해야 할 기술 주의사항을 자세히 설명합니다.

검증 및 감시 가능성

적격 타임스탐프 PAdES-LTA를 통합하는 모든 문서는 무료 오픈 소스 도구(유럽위원회의 DSS 라이브러리) 또는 eIDAS를 준수하는 온라인 검증자를 통해 검증할 수 있습니다. 검증은 다음을 확인합니다:

• 서명자의 신원(적격 인증서).
• 문서의 무결성(서명 후 수정 없음).
• 인증된 날짜 및 시간(유효한 TST 토큰, 신뢰 목록의 TSA).
• 서명 당시 인증서의 비폐지.

이 완전한 추적성은 정기적으로 분쟁 또는 규제 감시의 맥락에서 문서 증거를 제출해야 하는 법무팀에게 결정적인 이점을 구성합니다.

적격 타임스탐프에 적용되는 법적 체계

eIDAS 규정 제910/2014호

2014년 7월 23일 유럽 의회 및 이사회의 규정(EU) 제910/2014호, 즉 eIDAS 규정은 유럽의 적격 타임스탐프의 법적 기초를 구성합니다. 그 핵심 조항은:

• 제3(34)조: 전자 타임스탐프를 "다른 전자 데이터를 특정 순간과 연결하고 이러한 데이터가 그 순간에 존재했다는 증명을 수립하는 전자 형식의 데이터"로 정의합니다.
• 제41조: 단순 전자 타임스탐프에 반박 가능한 정확성의 추정을 부여합니다.
• 제42조: 타임스탐프의 적격 조건을 규정합니다(추적 가능한 UTC 소스, 적격 PSCQ의 서명, 데이터와의 암호 연결).
• 제42(2)조: 적격 타임스탐프에 날짜 및 시간의 정확성의 법적 추정 및 연관 데이터의 무결성의 법적 추정을 부여합니다. 이 추정은 추가 증거 필요 없이 EU의 모든 법원 앞에서 작용합니다.

eIDAS 2.0 규정(유럽 규정 2024/1183, 2024년부터 단계적으로 적용됨)은 유럽 디지털 신원 지갑(EUDIW)으로 범위를 확대함으로써 이 조항들을 강화하며, 적격 타임스탐프의 기초를 훼손하지 않습니다.

프랑스 민법 — 제1366조 및 제1367조

프랑스 법에서, 민법 제1366조는 "전자 형식의 문서는 그 출처가 정당하게 확인될 수 있고 그것이 무결성을 보장하는 조건에서 수립되고 보관되는 한, 종이 문서와 동일한 입증력을 갖습니다"라고 규정합니다. 제1367조는 신뢰할 수 있는 전자 서명의 조건을 명확히 합니다. 적격 타임스탐프는 이 텍스트들이 요구하는 무결성 및 확실한 날짜 표기 조건의 만족에 직접 기여합니다.

게다가, 2017년 9월 28일 규정 제2017-1416호는 전자 서명에 관련되어 eIDAS 규정을 참조하여 프랑스 법원 앞에서 수용 가능한 서명 수준을 정의합니다.

보관 의무 및 GDPR

규정(EU) 2016/679(GDPR), 모든 개인 데이터 처리에 적용 가능하며, 적절한 기술적 보안 조치(제32조)를 부과합니다. 적격 타임스탐프는 처리된 데이터의 무결성과 날짜 표기를 보장함으로써 개인 데이터를 포함하는 문서 흐름의 GDPR 준수에 기여합니다.

특정 부문은 특정 법적 보관 기간을 부과합니다: 상업 계약의 경우 5년(상법 제L.110-4조), 민사 행위의 경우 10년, 특정 의료 문서의 경우 20년. 이러한 장기 보관의 경우, 적격 타임스탐프 및 주기적 재-타임스탐프의 부재는 주요 법적 위험을 구성합니다: 문서는 법적 보관 기한 만료 전에 그 입증력을 잃을 수 있습니다.

ETSI 참고 표준

• ETSI EN 319 421: 적격 TSA(타임스탐핑 기관)에 대한 정책 및 보안 요건.
• ETSI EN 319 422: 타임스탐프 토큰 프로필.
• ETSI EN 319 102-1/2: 타임스탐프를 통합한 고급 및 적격 서명의 생성 및 검증 절차.
• ETSI EN 319 132(XAdES) 및 EN 319 122(CAdES): 장기 서명 형식.

사용 시나리오: 적격 타임스탐프가 결정적인 경우

시나리오 1 — 분쟁 소송을 관리하는 기업 법률 사무소

약 15명의 협력자로 구성되고 B2B 계약 분쟁에 특화한 기업 법률 사무소는 절차 행위, 보수 계약 및 민감한 서신에 적격 전자 서명을 사용합니다. 계약 수용 날짜에 대한 소송의 맥락에서, 상대방은 그 클라이언트의 서명이 제안에서 규정한 기한 만료 전이었다는 것을 부인합니다.

PAdES-LTA 문서에 통합된 적격 타임스탐프 덕분에, 사무소는 프랑스 신뢰 목록에 등재된 PSCQ에서 발행한 타임스탐프 토큰을 제출합니다. 인증된 날짜 — 초 단위로 정확함 — 는 판사와 전문가에 의해 독립적으로 검증 가능합니다. eIDAS 제42조의 법적 추정이 적용됩니다: 반대 증거의 책임은 이제 상대방에게 있습니다. 사건은 비용이 많이 드는 모순 전문가 없이 해결되어 일반적인 추정에 따라 이러한 유형의 절차에서 약 15~25일의 소송 기한을 절약합니다.

시나리오 2 — 공급자 계약 포트폴리오를 관리하는 중소 산업 기업

약 연 300개의 공급자 계약 — 기밀 유지 계약, 일반 구매 조건, 가격 조정안 — 을 관리하는 중소 산업 기업은 ERP 개편의 맥락에서 문서 보관을 보호하려고 합니다. 기업은 법적 의무 및 보험자의 요구사항에 따라 최소 10년 동안 계약의 입증력을 보관하려고 합니다.

적격 타임스탐프 및 PAdES-LTA 형식을 통합하는 전자 서명 솔루션을 배포함으로써, 중소 기업은 자동으로 장기 입증 가치 보관을 구성합니다. 배포 18개월 후 수행된 내부 감사는 공급자 감시 중 문서 검색 및 재구성에 소비된 시간의 40% 감소를 보여주며, 가격 조정안 발효 날짜에 대한 불일치로 인한 분쟁의 거의 전적인 제거를 보여줍니다. 인사 자원 팀은 근로 계약 및 수정안에 대해 동일한 이점을 얻으며, 직업 검사 시 강화된 준수를 달성합니다.

시나리오 3 — 건강 관리 시설 및 환자 동의의 보관

약 600개 병상의 중간 규모 병원 그룹이 외과 수술 및 임상 시험에 대한 정보 동의 양식을 전자화합니다. 적용 가능한 규정(프랑스 공중 보건 법전 제L.1111-4조, 임상 시험에 관한 규정(EU) 536/2014)은 동의의 추적성뿐만 아니라 의료 행위 이전의 동의 날짜의 확실성을 요구합니다.

동의 서명 흐름에 적격 타임스탐프를 통합하면 동의 날짜가 인증되고 보건 당국(HAS, ANSM)의 검사 또는 의료 분쟁의 경우에도 의심의 여지가 없습니다. 이 부문의 경우, 보건에 맞춤한 전자 서명 솔루션은 특정 규제 의무를 충족하기 위해 반드시 이 적격 타임스탐프를 통합해야 합니다. 이러한 유형의 솔루션을 배포한 의료 기관은 일반적으로 보건 기관 이사 협회가 발행한 벤치마크에 따라 종이 프로세스에 비해 동의 관리 행정 시간의 60~70% 감소를 관찰합니다.

결론

적격 eIDAS 타임스탐프는 단순한 디지털 인장이 아닙니다: 이는 유럽연합 전역에서 인정되는 강력한 법적 추정으로, 전자 서명된 문서의 날짜를 어떤 법원에도 대항 가능한 증거로 전환합니다. 감시를 받는 PSCQ, 엄격한 ETSI 표준, 장기 보관 형식(PAdES-LTA)에 의존함으로써, 이는 내부 서버 타임스탐프나 단순한 파일 메타데이터가 결코 같을 수 없는 법적 보안을 제공합니다.

계약에 서명하고, 민감한 파일을 관리하거나, 여러 해에 걸쳐 문서 증거를 보관해야 하는 기업의 경우, 그들의 서명 흐름에 적격 타임스탐프를 통합하는 것은 더 이상 선택지가 아닙니다 — 이것은 좋은 법적 관행의 요구사항입니다.

Certyneo는 본 플랫폼에서 발행된 모든 적격 전자 서명에 적격 타임스탐프를 기본 통합합니다. 무료 시험을 시작하거나 투명한 가격을 참조하여 귀하의 문서 증거를 보호하는 방법을 알아보세요.