프랑스 전자서명 서비스 제공자의 법적 의무

소개

프랑스에서 전자서명 솔루션을 구축하는 것은 즉흥적으로 할 수 없습니다. 모든 인정 서명 또는 고급 서명 뒤에는 신뢰 서비스 제공자(PSCo)에게 부여되는 수십 가지의 법적 의무가 숨어 있습니다. eIDAS 규정, RGPD, 일반 보안 규준, ETSI 표준... 규제 체계는 복잡하고 지속적으로 진화합니다. 사용자 기업의 입장에서 프랑스의 전자서명 서비스 제공자 법적 의무 eIDAS RGPD를 이해하는 것은 준수하는 파트너를 선택하고 모든 법적 위험을 피하기 위해 필수적입니다. 이 문서는 프랑스 영토에서 운영하는 PSCo에 적용되는 모든 요구사항을 섹션별로 상세히 설명합니다.

---

인정 신뢰 서비스 제공자의 지위

eIDAS의 PSCo란 무엇인가?

eIDAS 규정 제910/2014호는 두 가지 범주의 서비스 제공자를 구분합니다: 인정받지 않은 신뢰 서비스 제공자와 인정 제공자(PSCQ). 전자는 제3자 감사 없이 단순 또는 고급 전자서명 서비스를 제공할 수 있습니다. 후자는 eIDAS 제3(15)조의 의미 내에서 인정 서명을 발급할 수 있는 유일한 서비스 제공자이며, 현저하게 더 엄격한 요구사항을 충족해야 합니다.

프랑스에서는 국가정보시스템보안청(ANSSI)이 eIDAS 제17조에 규정된 감독 기관("Supervisory Body") 역할을 수행합니다. ANSSI는 공식 웹사이트에서 접근 가능한 프랑스 신뢰 목록(TSL — Trust Service List)을 발행하고 유지하며, 인정 서비스 제공자와 그들의 서비스를 나열합니다.

인정 절차: 감사 및 준수

PSCo가 인정 지위를 얻으려면 반드시 다음을 수행해야 합니다:

• COFRAC에 의해 EN ISO/IEC 17065 표준에 따라 인증된 적합성 평가 기관(CAB — Conformity Assessment Body)에 의한 서비스 감사를 받습니다.

• 감사 보고서를 ANSSI에 제출하며, ANSSI는 인정 지위 부여 여부를 결정합니다. 이 지위는 최소 24개월마다 재평가됩니다(eIDAS 제20(1)조).

• 계획된 수정 3개월 전에 서비스의 실질적인 변경 사항을 ANSSI에 통지합니다(eIDAS 제21조).

이러한 단계를 준수하지 않으면 서비스 제공자는 TSL에서 삭제되고 인정 서명과 관련된 법적 추정을 잃게 됩니다. 고객 기업의 입장에서 TSL에 나열되지 않은 PSCo를 이용하는 것은 신뢰성의 법적 추정을 받지 않는 것과 같습니다.

> 다양한 수준의 서명과 그 법적 효과에 대해 자세히 알아보려면 우리의 문서를 참고하세요.

---

PSCo에 부과되는 기술 및 보안 의무

ETSI 표준 준수

인정 서비스 제공자는 유럽통신표준화기구(ETSI)에서 발행한 유럽 표준 집합을 준수해야 합니다. 주요 표준은 다음과 같습니다:

• ETSI EN 319 401: 모든 PSCo에 적용되는 일반 보안 요구사항.

• ETSI EN 319 411-1 및 411-2: 인정 서명 인증서를 발급하는 인증 기관의 정책 및 관행.

• ETSI EN 319 132: 고급 전자서명 형식(XML용 XAdES, PDF용 PAdES, CMS용 CAdES).

• ETSI EN 319 122: 인정 서명용 CAdES 형식.

• ETSI TS 119 431: 원격 서명 생성 서비스(원격 QSCD) 요구사항.

이러한 표준은 선택사항이 아닙니다: eIDAS 규정(부록 II, III 및 IV)은 인정 인증서 및 서명 생성 장치의 최소 요구사항을 정의하기 위해 명시적으로 참조합니다.

인정 서명 생성 장치(QSCD)의 관리

인정 서명의 주요 기둥 중 하나는 eIDAS 부록 II와 일치하는 인정 서명 생성 장치(QSCD — Qualified Signature Creation Device) 사용입니다. 서비스 제공자는 다음을 보장해야 합니다:

• 서명자의 개인 키는 QSCD 외부에서 생성, 저장 또는 복사될 수 없습니다.

• 키 생성은 인증된 환경(Common Criteria EAL 4+ 인증 또는 동등 수준)에서만 수행됩니다.

• 서명 행위 전 서명자의 인증은 최소 두 가지 인증 요소에 기반합니다.

원격 서명의 맥락에서 — 점점 더 SaaS 환경에서 확산되고 있습니다 — 이러한 요구사항은 키를 호스팅하는 서버 HSM(하드웨어 보안 모듈)에 적용됩니다. ANSSI는 충족해야 할 보안 기준을 정의하는 특정 보호 프로필(PP-0075, PP-0076)을 발행했습니다.

연속성 및 사건 알림 정책

eIDAS 제19조는 모든 신뢰 서비스 제공자(인정 여부와 관계없이)에게 다음을 요구합니다:

• 서비스의 신뢰성에 영향을 미칠 수 있는 보안 위반 감지 후 24시간 이내에 감독 기관(ANSSI) 및 필요한 경우 데이터 보호 기관(CNIL)에 통지합니다.

• 정기적으로 테스트되는 문서화된 사업 연속성 계획을 보유합니다.

• 위험 관리, 사건 관리 및 백업 정책을 포함하여 형식화된 정보 보안 정책을 갖춰야 합니다.

이러한 요구사항은 지침 NIS2(2022/2555/EU)와 부분적으로 겹치며, 이는 2023년 8월 1일의 법률 제2023-703호로 프랑스 법으로 전환되었으며, PSCo를 중요하거나 필수적인 실체로 분류하여 강화된 사이버보안 의무를 받습니다.

> 이러한 제약을 문서 워크플로우에 통합해야 하는 방식을 알아보세요.

---

PSCo에 특화된 RGPD 의무

PSCo, 처리 책임자 또는 처리자?

서비스 제공자의 RGPD 자격은 제공되는 서비스의 성질에 따라 달라집니다:

• PSCo가 서명자 이름으로 직접 인정 인증서를 발급하고 개인정보 처리의 목적을 결정할 때(신원, 인증 생체 데이터), RGPD 제4(7)조의 의미에서 처리 책임자로 행동합니다.

• PSCo가 자신의 API를 B2B 클라이언트의 플랫폼에 통합하고 그 클라이언트의 명령에만 따라 개인정보를 처리할 때, RGPD 제4(8)조에 따라 처리자 자격을 가지며 RGPD 제28조에 준하는 DPA(데이터 처리 계약)를 반드시 체결해야 합니다.

실제로 대부분의 SaaS PSCo는 두 가지 자격을 모두 가집니다: 자신의 인증 인프라 관리에 대해서는 책임자, 서명자의 문서 및 메타데이터 처리에 대해서는 처리자입니다.

생체 데이터 및 신원 데이터와 관련된 특정 의무

서명자의 신원 확인 및 인증 — 인정 인증서 발급을 위한 필수 단계 — 종종 민감한 데이터의 처리를 포함합니다: 신원증 스캔, 셀카 동영상, 얼굴 인식 생체 데이터. 이 데이터는 RGPD에 따른 개인정보이며, RGPD 제9조에 해당하는 생체 데이터입니다(특수 범주).

PSCo의 의무는 다음을 포함합니다:

• 법적 근거: 명시적인 동의(제9(2)a) 또는 경우에 따라 법적 의무(제9(2)b) 생체 데이터 처리.

• 보관 기간 제한: CNIL 지침에 따르면, 신원 데이터는 필요한 최소한의 기간 동안 보관되어야 하며, 일반적으로 인증서 유효 기간 + 법적 증명 기간(비공식 행위의 경우 민법 제2224조에 따라 종종 10년)과 일치합니다.

• 영향 평가(AIPD) 필수(제35조 RGPD) 처리가 높은 위험을 초래할 가능성이 있을 때 — 생체 데이터의 경우 항상 그렇습니다.

• 처리 등록부(제30조 RGPD)를 최신 상태로 유지하고 각 처리 범주를 문서화합니다.

국제 데이터 전송

많은 PSCo들이 전체 또는 일부 인프라를 유럽경제지역(EEE) 외부에 호스팅합니다. 이 경우 RGPD 제5장에서 요구하는 적절한 보장이 적용됩니다: 적합성 결정, 유럽 위원회의 표준 계약 조항(SCC) 또는 구속력 있는 기업 규칙(BCR). Schrems II 판결(CJEU, C-311/18, 2020년 7월 16일)은 미국으로의 전송이 사전 국가 위험 분석을 요구함을 상기시켰습니다.

> 이러한 규칙이 귀사에 미치는 영향을 이해하려면 우리의 문서를 참고하세요.

---

사용자에 대한 투명성 및 정보 공개 의무

인증 정책(PC) 및 인증 관행 선언(DPC)

인증서를 발급하는 모든 PSCo는 ETSI EN 319 411 표준에 따라 인증 정책(PC)과 인증 관행 선언(DPC)을 공개해야 합니다. 자유롭게 접근 가능한 이 문서들은 다음을 상세히 설명합니다:

• 서명자의 신원 확인 및 등록 절차.

• 배포된 물리적 및 논리적 보안 조치.

• 인증서 취소 조건 및 관련 기한.

• PSCo의 책임 및 보증 한계.

이 문서의 부재 또는 미완성은 인정 재평가 감사 중에 발견될 수 있는 비준수입니다.

클라이언트에 대한 계약 전 및 계약 정보

순수하게 기술적인 의무 외에도, RGPD 제13조는 PSCo가 데이터가 수집되는 각 사람에게 다음에 대한 명확하고 접근 가능한 정보를 제공할 것을 요구합니다:

• 처리 책임자의 신원 및 데이터 보호 담당자(DPO)의 연락처(민감한 데이터를 대규모로 처리하는 PSCo의 경우 필수, RGPD 제37조).

• 각 처리의 목적 및 법적 근거.

• 사람들의 권리(액세스, 정정, 삭제, 이동성, 반대).

• 가능한 데이터 수취인(처리자, 기관).

이 정보는 서비스의 개인정보보호정책, 이용약관 및 필요한 경우 클라이언트와 체결된 DPA에 포함되어야 합니다.

인정 타임스탬프 및 감사 추적

서명의 장기 증명 가치를 보장하기 위해 신뢰할 수 있는 PSCo는 항상 인정 전자 타임스탬프(eIDAS 제42조)를 각 서명 행위와 연결합니다. 이 타임스탬프는 표시된 날짜에 데이터가 존재했다는 법적으로 추정되는 증거입니다. 감사 추적(신원 확인 로그, 문서 해시, 서명 데이터) 보관은 향후 사법 검증을 가능하게 하기 위한 실질적인 의무입니다.

> 이러한 기준에 따라 시장 솔루션을 비교하세요.

---

eIDAS 2.0: 2026-2027년 지평선에서의 새로운 의무

규정 eIDAS 2.0 (EU) 2024/1183

2024년 4월 30일 EU 관보에 게재된 규정(EU) 2024/1183 "eIDAS 2.0"은 세 가지 축 주변에서 PSCo의 의무를 크게 강화합니다:

• 유럽 디지털 신원 지갑(EUDI Wallet): 회원국은 2026년 11월 2일까지 인정 디지털 신원 지갑을 제공해야 합니다. PSCo는 이 지갑과 통합되어 eIDAS 2.0 신원을 통해 인정 서명을 제공해야 합니다.

• 속성 증명서 관리: eIDAS 2.0은 인정 속성 증명서(QEAA)를 도입하며, 이는 인정 증명 제공자가 발급합니다. 새로운 감시 및 인정 절차가 적용됩니다.

• 감독 강화: 국가 감독 기관(프랑스의 경우 ANSSI)의 권한이 확대되며, 특히 예고 없는 감사를 수행하고 단축된 기한 내에 구속력 있는 시정 조치를 부과할 능력이 있습니다.

기존 서비스 제공자에 대한 실제 영향

eIDAS 1.0에서 이미 인정된 PSCo는 위원회에서 설정한 기한 전에 점진적인 준수 조치를 수행해야 합니다(발행되었거나 발행 중인 시행 행위). 주요 적응은 다음에 관한 것입니다:

• EUDI Wallet을 인증 수단으로 지원하기 위한 신원 확인 인프라의 재구성.

• 새로운 유형의 인증서 및 증명서를 통합하기 위한 PC/DPC 업데이트.

• 원격 QSCD 보안 요구사항 강화, 새로운 보호 프로필 발표 예정.

고객 기업의 입장에서 이는 서비스 제공자가 문서화되고 검증 가능한 eIDAS 2.0 준수 로드맵을 가지고 있는지 오늘 확인하는 것을 의미합니다.

전자서명 서비스 제공자의 의무에 적용되는 법적 체계

프랑스에서 운영하는 전자서명 서비스 제공자에게 적용되는 규범적 체계는 여러 상호 보완적인 계층 수준으로 구성됩니다.

프랑스 민법 — 제1366 및 1367조

민법 제1366조는 전자 문서가 "그 출처를 적절히 식별할 수 있고 그 무결성을 보장하는 조건에서 설정되고 보존되는" 경우 서면의 동등한 증명 방법으로 인정됩니다. 제1367조는 전자서명이 "신원 식별의 신뢰할 수 있는 방법을 사용하고 그것이 첨부된 행위와의 연결을 보장"하는 것으로 명시합니다. eIDAS의 의미 내에서 인정 서명에 대한 신뢰성 추정은 서명자에게 유리하게 입증 책임을 전환합니다.

규정 eIDAS 제910/2014/EU

이 규정은 모든 회원국에서 직접 적용되며 신뢰 서비스의 법적 체계를 확립합니다. 제26조는 고급 전자서명의 조건을 정의합니다; 제28조는 인정 인증서의 요구사항을 정의합니다; 부록 I은 이 인증서의 필수 내용을 상세히 설명합니다. 인정 PSCo는 규정의 기술적 및 법적 요구사항을 준수하는 것으로 추정되며(제19(2)조), 이는 분쟁의 경우 주요 이점을 구성합니다.

규정 eIDAS 2.0 — (EU) 2024/1183

2024년 4월 30일 게재된 이 수정 규정은 새로운 신뢰 서비스 범주(인정 속성 증명서, 인정 아카이빙 서비스)를 도입하고 감독 의무를 강화합니다. 이는 규정 910/2014를 부분적으로 폐기 및 교체하며, 유럽 위원회의 시행 행위에 따라 점진적 적용성을 가집니다.

RGPD — 규정 (EU) 2016/679

RGPD는 전자서명 서비스 범위 내에서 수행되는 모든 개인정보 처리에 적용됩니다. 제5조(합법성 원칙), 제6조(법적 근거), 제9조(민감 데이터), 제13-14조(정보), 제28조(처리자), 제32조(보안), 제33-34조(위반 통지), 제35조(영향 평가) 및 제37조(DPO)은 가장 자주 적용되는 규정입니다. CNIL은 프랑스의 담당 감독 기관이며 최대 2천만 유로 또는 연간 전 세계 매출의 4%에 해당하는 벌금을 부과할 수 있습니다(RGPD 제83(5)조).

지침 NIS2 — (EU) 2022/2555

NIS2는 2023년 8월 1일의 법률 제2023-703호로 프랑스 법으로 전환되었으며, 중요하거나 필수적인 실체로 분류된 PSCo를 사이버 위험 관리 및 24시간 이내(조기 경보) 및 72시간(완전 통지)의 ANSSI 사건 통지 의무의 대상으로 분류합니다.

ETSI 표준

표준 EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 및 TS 119 431의 전체는 인정 감사를 위한 필수 기술 참조입니다. 이들을 준수하지 않으면 인정 지위를 획득하거나 유지할 수 없습니다.

비준수 시 법적 위험

비준수 서비스 제공자는 다음에 노출됩니다: 프랑스 TSL에서 삭제, 계약적 및 불법 행위 책임 참여, CNIL 행정 제재, 중요 실체의 경우 최대 1천만 유로 또는 전 세계 CA 2% 및 필수 실체의 경우 2천만 유로 또는 CA 4%에 달하는 NIS2 벌금, 그리고 서명의 법적 유효성 결여로 인해 손실을 입은 클라이언트의 사법 소송.

사용 사례: 기업이 자신의 PSCo 준수를 확인하는 방법

사례 1 — 연간 3,000개의 공급자 계약을 관리하는 산업 그룹

기계 장비 제조에 종사하는 중규모 산업 그룹(ETI)은 SaaS 전자서명 플랫폼을 통해 모든 공급자 계약을 디지털화합니다. 규제 변화 이후 수행된 내부 감사 중에 법무팀은 선택된 서비스 제공자(처음에 가격 기준으로 선택됨)가 프랑스 TSL이나 어떤 유럽 TSL에도 나열되지 않았음을 확인합니다. 발급된 서명은 "단순" 유형이며 서명자의 강력한 신원 확인 메커니즘이 없습니다.

법적 위험에 직면하여 — 서명된 모든 계약의 증명 가치가 분쟁의 경우 이의를 제기할 수 있음 — 기업은 ANSSI 인정 PSCo로의 마이그레이션을 시작합니다. 새로운 솔루션은 인정 인증서, 인정 타임스탐프 및 내보낼 수 있는 감사 추적을 포함한 고급 서명을 통합합니다. 8주 이내에 완료된 마이그레이션 프로젝트는 새 행위를 소급 적용하여 보안하고 준수하는 문서 정책을 수립할 수 있도록 합니다. 법무팀은 이의 없이 실행된 사실상 오래된 계약과 관련된 분쟁 위험이 미미하지만 새로운 서명은 이제 적용된다고 추정합니다.

관찰된 이득: 서명 진정성과 관련된 잠재적 분쟁이 60% 감소하였으며, 검증 워크플로우 자동화 덕분에 복잡한 계약의 평균 서명 기한이 3.5일 단축되었습니다.

사례 2 — 사업법 전문 25명 협력자의 변호사 사무실

변호사 사무실은 위임장, 자문 및 소송 행위의 서명을 디지털화하기를 원하며 여러 서비스 제공자를 평가합니다. 분석 기준은 다음을 포함합니다: TSL 존재, 공개 접근 가능한 PC/DPC 게시, RGPD 준수 DPA 존재, 연락 가능한 DPO 가용성 및 원격 QSCD 인증.

평가된 5개 서비스 제공자 중 2개만 모든 기준을 충족합니다. 사무실은 궁극적으로 원격 QSCD를 통해 기본적으로 인정 서명을 제공하는 PSCo를 선택하여 민법 제1367조의 신뢰성 추정을 보장합니다. 설정은 교육을 포함하여 3주가 걸립니다. 결과: 위임장의 75%는 이제 24시간 이내에 서명되며(이전에는 우편 발송으로 5-7일), 사무실은 클라이언트에게 솔루션이 제공하는 법적 보안 수준을 정당화할 수 있습니다 — 상업적 제안에서 차별화하는 논거입니다.

사례 3 — 약 1,200개 침대를 가진 병원 그룹

병원 그룹은 근로 계약, 실습 협약 및 파트너 의료 기관과의 협력 협약을 디지털화하기를 원합니다. 처리된 데이터의 민감성(의료 전문가 건강 데이터, HR 데이터)은 PSCo의 RGPD 의무에 대한 특별한 주의를 요구합니다.

DSI 및 기관의 DPO는 다음을 요구합니다: 인정 건강 데이터 호스팅 제공자(HDS — Hébergeur de Données de Santé, 공중보건법 L.1111-8조에서 규정된 인증)에서