프랑스 전자서명 서비스제공자 의무사항

소개

프랑스에서 전자서명 솔루션을 배포하는 것은 즉흥적으로 이루어질 수 없습니다. 모든 인증된 서명 또는 고급 서명 뒤에는 신뢰 서비스 제공자(PSCo)에게 부과되는 수십 가지 법적 의무가 숨어 있습니다. eIDAS 규정, RGPD, 일반 보안 참고사항, ETSI 표준... 규제 프레임워크는 광범위하고 진화하고 있습니다. 사용자 기업의 경우, 이러한 법적 의무사항을 이해하는 것은 적합한 파트너를 선택하고 모든 법적 위험을 피하기 위해 필수적입니다. 본 문서는 프랑스 영토에서 운영하는 PSCo에 적용되는 모든 요구사항을 섹션별로 상세히 설명합니다.

---

인증된 신뢰 서비스 제공자의 지위

eIDAS 의미의 PSCo란 무엇인가?

규정 eIDAS No 910/2014는 두 가지 범주의 제공자를 구분합니다: 비인증 신뢰 서비스 제공자와 인증된 제공자(PSCQ). 전자는 제3자 감사 의무 없이 단순 또는 고급 전자서명 서비스를 제공할 수 있습니다. 후자 — eIDAS 제3조(15)의 의미의 인증된 서명을 제공할 권한이 있는 유일한 제공자 — 는 상당히 더 엄격한 요구사항을 충족해야 합니다.

프랑스에서는 국가정보시스템보안청(ANSSI)이 eIDAS 제17조에서 규정한 감독 기관(「Supervisory Body」) 역할을 수행합니다. 이는 프랑스 신뢰 목록(TSL — Trust Service List)을 발행하고 관리하며, 이는 공식 웹사이트에서 액세스할 수 있으며 인증된 제공자 및 그들의 서비스를 기록합니다.

인증 절차: 감사 및 준수

인증된 지위를 얻기 위해 PSCo는 반드시 다음을 수행해야 합니다:

• 적합성 평가 기관(CAB)에 의한 감사 수행 — COFRAC에서 규범 EN ISO/IEC 17065에 따라 인증한 기관으로부터.

• 감사 보고서를 ANSSI에 제출 — 인증된 지위의 부여 여부를 결정합니다. 이 지위는 최소 24개월마다 재평가됩니다(eIDAS 제20조 §1).

• ANSSI에 알림 — 예정된 수정 3개월 전에 서비스의 실질적인 변경사항에 대해(eIDAS 제21조).

이러한 단계를 준수하지 않으면 제공자는 TSL에서 삭제 및 인증된 서명과 관련된 법적 추정의 상실에 노출됩니다. 고객 기업의 경우, TSL에 등재되지 않은 PSCo를 이용하는 것은 신뢰성에 대한 어떤 법적 추정도 받지 않는 것과 동일합니다.

> eIDAS 규정 2.0의 다양한 서명 수준 및 그들의 법적 효과에 대해 더 알아보려면, 당사의 eIDAS 규정 완전 가이드를 참조하세요.

---

PSCo에 부과되는 기술 및 보안 의무

ETSI 표준 준수

인증된 제공자는 유럽 통신 표준 협회(ETSI)에서 발행한 일련의 유럽 표준을 준수해야 합니다. 주요 표준은 다음과 같습니다:

• ETSI EN 319 401 — 모든 PSCo에 적용되는 일반 보안 요구사항.

• ETSI EN 319 411-1 및 411-2 — 인증된 서명 인증서를 발행하는 인증 기관의 정책 및 관행.

• ETSI EN 319 132 — 고급 전자서명 형식(XML용 XAdES, PDF용 PAdES, CMS용 CAdES).

• ETSI EN 319 122 — 인증된 서명용 CAdES 형식.

• ETSI TS 119 431 — 원격 서명 생성 서비스(원격 QSCD)에 대한 요구사항.

이러한 표준은 선택적이지 않습니다: eIDAS 규정(부속서 II, III 및 IV)은 인증된 인증서 및 서명 생성 장치의 최소 요구사항을 정의하기 위해 명시적으로 이를 참조합니다.

서명 생성 보안 장치(QSCD) 관리

인증된 서명의 핵심 중 하나는 eIDAS 부속서 II에 적합한 서명 생성 보안 장치(QSCD)의 사용입니다. 제공자는 다음을 보장해야 합니다:

• 서명자의 개인 키는 QSCD 외부에서 생성, 저장 또는 복사할 수 없습니다.

• 키 생성은 인증된 환경 내에서만 수행됩니다(Common Criteria EAL 4+ 인증 또는 동등).

• 서명자 인증은 서명 전 최소 두 가지 인증 요소에 기반합니다.

원격 서명 맥락 — SaaS 환경에서 점점 더 일반화되고 있음 — 에서 이러한 요구사항은 키를 호스팅하는 HSM(Hardware Security Module) 서버에 적용됩니다. ANSSI는 도달해야 할 보안 기준을 정의하는 특정 보호 프로필(PP-0075, PP-0076)을 발행했습니다.

연속성 정책 및 사건 알림

eIDAS 제19조는 모든 신뢰 서비스 제공자(인증 여부)에게 다음을 요구합니다:

• 감독 기관(ANSSI) 및 필요한 경우 데이터 보호 기관(CNIL)에 알림 — 서비스 신뢰성에 영향을 미칠 수 있는 보안 침해 감지 후 24시간 내에.

• 업무 연속성 계획 문서화 및 정기적 테스트.

• 정보 보안 정책 보유 — 위험 관리, 사건 관리 및 백업 정책을 포함합니다.

이러한 요구사항은 NIS2 지침(2022/2555/UE)의 일부와 겹치며, 2023년 8월 1일 법률 No 2023-703에 의해 프랑스 법에 통합되어 상당한 규모의 PSCo를 중요 또는 필수 엔터티 중 하나로 분류하여 강화된 사이버보안 의무에 복종합니다.

> 문서 워크플로우에 이러한 제약을 통합해야 하는 방법을 알아보려면, 당사의 법률 사무소를 위한 전자서명을 참조하세요.

---

PSCo에 특정한 RGPD 의무

PSCo, 처리 담당자 또는 처리자?

제공자의 RGPD 자격은 제공되는 서비스의 성격에 따라 달라집니다:

• PSCo가 서명자 이름으로 인증된 인증서를 직접 발행하고 개인 데이터(신원, 인증용 생체 데이터) 처리의 목적을 결정할 때, 이는 RGPD 제4조(7)의 의미의 처리 담당자로 행동합니다.

• B2B 클라이언트의 플랫폼에 API를 통합하고 이 클라이언트의 유일한 지시에 따라 개인 데이터를 처리할 때, 이는 RGPD 제4조(8)의 의미의 처리자 자격을 갖으며 RGPD 제28조를 준수하는 DPA(데이터 처리 계약)를 반드시 체결해야 합니다.

실제로, 대부분의 SaaS PSCo는 두 가지 자격을 동시에 가집니다: 자체 인증 기반 구조 관리를 위한 처리 담당자, 서명자 문서 및 메타데이터 처리를 위한 처리자.

생체 및 신원 데이터와 관련된 특정 의무

서명자의 식별 및 인증 — 인증된 인증서 발행을 위한 필수 단계 — 는 종종 민감한 데이터의 처리를 포함합니다: 신분증 스캔, 셀카 비디오, 얼굴 인식 생체 데이터. 이러한 데이터는 RGPD의 적용을 받는 개인 데이터를 구성하거나, RGPD 제9조(특정 범주)의 적용을 받는 생체 데이터를 구성합니다.

PSCo의 의무는 다음을 포함합니다:

• 법적 기초 — 명시적 동의(제9조§2a) 또는 특정 경우 생체 데이터 처리에 대한 법적 의무(제9조§2b).

• 보관 기간 제한 — CNIL 지침에 따르면, 신원 확인 데이터는 필요한 시간만 보관되어야 하며, 일반적으로 인증서 유효 기간 + 법적 증명 기간(개인 협약서의 경우 종종 10년, 민법전 2224조)에 따릅니다.

• 영향 평가(AIPD) 필수(RGPD 제35조) — 처리가 높은 위험을 초래할 수 있는 경우, 이는 생체 측정 데이터에 대해 체계적입니다.

• 처리 레지스터(RGPD 제30조) 최신 유지 및 각 처리 범주 문서화.

국제 데이터 전송

많은 PSCo가 인프라의 전부 또는 일부를 유럽경제지역(EEA) 외부에 호스팅합니다. 이 경우, RGPD 제V장에서 요구하는 적절한 보장이 적용됩니다: 적절성 결정, 유럽위원회의 표준 계약 조항(SCC) 또는 구속력 있는 기업 규칙(BCR). 판결 Schrems II(CJEU, C-311/18, 2020년 7월 16일)는 미국으로의 전송이 사전 국가 위험 분석을 요구함을 상기했습니다.

> 이러한 규칙이 귀사에 미치는 영향을 이해하려면, 당사의 기업 전자서명 가이드를 참조하세요.

---

사용자에 대한 투명성 및 정보 의무

인증 정책(PC) 및 인증 관행 선언(DPC)

인증서를 발행하는 모든 PSCo는 인증 정책(PC) 및 인증 관행 선언(DPC)을 발행해야 하며, 규범 ETSI EN 319 411을 준수합니다. 이러한 문서는 자유롭게 액세스 가능하며 다음을 상세히 설명합니다:

• 서명자의 식별 및 등록 절차.

• 배포되는 물리적 및 논리적 보안 조치.

• 인증서 폐지 조건 및 관련 기한.

• PSCo의 책임 및 보증 제한.

이러한 문서의 부재 또는 불완전성은 인증된 제공자의 감사 중에 발견될 수 있는 비준수를 구성합니다.

고객에 대한 계약 전 및 계약 정보

순수하게 기술적인 의무를 넘어, RGPD 제13조는 PSCo가 데이터가 수집되는 각 사람에게 다음에 대한 명확하고 액세스 가능한 정보를 제공해야 합니다:

• 처리 담당자의 신원 및 필요한 경우 DPO의 연락처(대규모 민감 데이터 처리 PSCo의 경우 필수, RGPD 제37조).

• 각 처리의 목적 및 법적 기초.

• 개인의 권리(액세스, 정정, 삭제, 이동성, 반대).

• 데이터의 수신자(처리자, 기관).

이 정보는 서비스의 개인정보 정책, 이용약관 및 필요한 경우 전문 고객과 체결된 DPA에 포함되어야 합니다.

인증된 타임스탬프 및 감사 추적

서명의 장기 증명 가치를 보장하기 위해 양심적인 PSCo는 체계적으로 인증된 전자 타임스탐프(eIDAS 제42조)를 각 서명된 행위에 연결합니다. 이 타임스탐프는 표시된 날짜에 데이터 존재의 법적으로 추정되는 증거를 구성합니다. 감사 추적(식별 로그, 문서 해시, 서명 데이터) 보존은 이후 모든 사법 검증을 허용하기 위한 사실상의 의무입니다.

> 이러한 기준에 따라 시장의 솔루션을 비교하려면, 당사의 전자서명 솔루션 비교를 참조하세요.

---

eIDAS 2.0: 2026-2027 지평의 새로운 의무

규정 eIDAS 2.0 (EU) 2024/1183

2024년 4월 30일 EU 공보에 발행된 규정 (EU) 2024/1183(「eIDAS 2.0」)은 세 가지 축을 중심으로 PSCo의 의무를 크게 강화합니다:

• 유럽 디지털 신원 지갑(EUDI Wallet) — 회원국은 2026년 11월 2일까지 인증된 디지털 신원 지갑을 제공해야 합니다. PSCo는 eIDAS 2.0 신원을 통해 인증된 서명을 제공하기 위해 이 지갑과 자신의 서비스를 통합해야 합니다.

• 속성 증명 관리 — eIDAS 2.0은 인증된 제공자가 발행한 인증된 속성 증명(QEAA)을 도입합니다. 새로운 감사 및 인증 절차가 적용됩니다.

• 감독 강화 — 국가 감독 기관(프랑스의 경우 ANSSI)의 권한은 확대되며, 특히 예고 없는 감사 및 단축된 기한 내에 강제 교정 조치를 부과할 능력이 있습니다.

현재 제공자에 대한 실질적 함의

eIDAS 1.0에서 이미 인증된 PSCo는 설정된 기한 전에 점진적 준수를 진행해야 합니다. 주요 조정은 다음을 포함합니다:

• 식별 인프라 개편 — EUDI 지갑을 인증 수단으로 지원합니다.

• PC/DPC 업데이트 — 새로운 인증서 및 증명 유형 통합.

• 원격 QSCD 보안 요구사항 강화 — 곧 발행될 새로운 보호 프로필 포함.

고객 기업의 경우, 이는 현재부터 제공자가 eIDAS 2.0 준수 로드맵 문서화 및 검증 가능함을 확인해야 함을 의미합니다.

전자서명 서비스제공자의 의무에 적용되는 법적 프레임워크

프랑스에서 운영하는 전자서명 서비스제공자에 적용되는 규범적 연쇄는 여러 상호 보완적인 계층 수준으로 구성됩니다.

프랑스 민법전 — 제1366조 및 1367조

민법전 제1366조는 전자 기록이 "그 출처 신원이 적절히 확인될 수 있고 그 무결성을 보장하는 방식으로 수립 및 보존되는" 조건 하에 종이 기록과 동등한 증거 방법으로 인정합니다. 제1367조는 전자서명이 "신원 식별의 신뢰할 수 있는 절차의 사용으로 구성되어 그것이 첨부되는 행위와의 연결을 보장합니다"를 규명합니다. 신뢰성 추정은 eIDAS의 의미의 인증된 서명에 도움이 되며, 서명자 유리로 입증 책임을 역전시킵니다.

규정 eIDAS No 910/2014/EU

이 규정은 모든 회원국에서 직접 적용되며 신뢰 서비스의 법적 프레임워크를 수립합니다. 제26조는 고급 전자서명의 조건을 정의합니다; 제28조는 인증된 인증서의 요구사항을; 부속서 I은 이러한 인증서의 필수 내용을 상세히 설명합니다. 인증된 PSCo는 규정의 기술적 및 법적 요구사항 준수에 대한 적합성 추정을 받으며(제19조§2), 이는 소송 시 주요 자산을 구성합니다.

규정 eIDAS 2.0 — (EU) 2024/1183

2024년 4월 30일에 발행되었으며, 이 수정 규정은 신뢰 서비스의 새로운 범주(인증된 속성 증명, 인증된 보관 서비스)를 도입하고 감독 의무를 강화합니다. 유럽위원회의 이행 법령에 따른 점진적 적용성으로 규정 910/2014을 부분적으로 폐지 및 교체합니다.

RGPD — 규정 (EU) 2016/679

RGPD는 전자서명 서비스의 프레임워크 내에서 수행되는 모든 개인 데이터 처리에 적용됩니다. 제5조(적법성 원칙), 제6조(법적 기초), 제9조(민감 데이터), 제13-14조(정보), 제28조(처리자), 제32조(보안), 제33-34조(위반 알림), 제35조(영향 평가) 및 제37조(DPO)는 가장 자주 적용되는 조항을 구성합니다. CNIL은 프랑스의 관할 감독 기관이며 2천만 유로 또는 연간 전 세계 회전율의 4%(RGPD 제83조§5)까지 벌금을 부과할 수 있습니다.

지침 NIS2 — (EU) 2022/2555

프랑스 법률 No 2023-703(2023년 8월 1일)에 의해 통합된 NIS2는 상당한 규모의 PSCo를 사이버 위험 관리 및 ANSSI에 대한 사건 알림 24시간(조기 경고) 후 72시간(완전 알림) 의무가 있는 중요 또는 필수 엔터티 중 하나로 분류합니다.

ETSI 표준

EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 및 TS 119 431의 모든 표준은 인증 감사를 위한 필수 기술 참고사항을 구성합니다. 준수하지 않으면 인증된 지위를 얻거나 유지할 수 없습니다.

비준수 시 법적 위험

비준수 제공자는 다음에 노출됩니다: TSL에서 삭제, 계약상 및 비계약상 책임 개입, CNIL 행정 제재, 중요 엔터티의 경우 천만 유로 또는 전 세계 CA의 2%, 필수 엔터티의 경우 2천만 또는 CA의 4%에 도달할 수 있는 NIS2 벌금, 그리고 유효하지 않은 서명으로 인해 손실을 입은 고객의 사법적 소송.

사용 사례: 기업이 PSCo 준수를 검증하는 방법

시나리오 1 — 연간 3,000개의 공급자 계약을 관리하는 산업 그룹

기계 장비 제조 분야에서 활동하는 중규모 산업 그룹(ETI)은 SaaS 전자서명 플랫폼을 통해 모든 공급자 계약을 탈물질화합니다. 규제 변화로 인한 내부 감사 후, 법무 부서는 처음 선택된 제공자가 — 가격 기준으로 선택됨 — 프랑스 TSL이나 유럽 TSL에 등재되지 않았음을 인식합니다. 제공되는 서명은 서명자의 강력한 신원 확인 메커니즘이 없는 "단순" 유형입니다.

법적 위험에 직면하여 — 모든 서명 계약의 증명 가치가 소송에서 이의를 제기할 수 있음 — 회사는 ANSSI 인증 PSCo로의 마이그레이션을 시작합니다. 새로운 솔루션은 인증된 인증서를 갖춘 고급 서명, 인증된 타임스탐프 및 내보낼 수 있는 감사 추적을 통합합니다. 8주 이내에 완료된 마이그레이션 프로젝트는 새로운 행위를 회고적으로 보호하고 준수하는 문서 정책을 수립할 수 있게 합니다. 법무 팀은 이의 없이 실행되었기 때문에 구 계약과 관련된 이의 위험이 미미하다고 평가하지만 모든 새로운 서명은 이제 보호됩니다.

관찰된 이득: 서명 진정성과 관련된 잠재적 소송의 60% 감소, 자동화된 검증 워크플로우 덕분에 복잡한 계약의 서명에서 평균 3.5일 기한 절감.

시나리오 2 — 상업법 전문 25명 협력자의 법률 사무소

법률 사무소는 위임장, 자문 및 절차 행위의 서명을 디지털화하기를 원하며 여러 제공자를 평가합니다. 분석 그리드는 다음 기준을 통합합니다: TSL 존재, 액세스 가능한 PC/DPC 발행, RGPD 준수 DPA 존재, 연락 가능한 DPO 존재 및 원격 QSCD 인증.

5개 제공자 중 2개만 모든 기준을 만족합니다. 사무소는 결국 원격 QSCD를 통한 인증된 서명을 본래 제공하는 PSCo를 선택합니다, 민법전 제1367조의 신뢰성 추정을 보장합니다. 교육 포함 구현은 3주를 소요합니다. 결과: 75%의 위임장은 이제 24시간 이내에 서명됨 — 이전에는 5-7일(우편 발송) — 이고, 사무소는 고객에게 제공되는 솔루션의 법적 보안 수준을 정당화할 수 있습니다 — 상업 제안에서 차별화 논점.

시나리오 3 — 약 1,200개 침대의 병원 그룹

병원 그룹은 근무 계약, 인턴십 협약 및 치료 기관과의 파트너십 협약을 탈물질화하기를 원합