적격 eIDAS 서비스 제공자: 2026년 공식 목록

eIDAS "적격" 상태가 귀사에 결정적인 이유는?

eIDAS 규정(910/2014)이 발효된 이후, 유럽의 전자 서명 시장은 세 가지 수준의 계층 구조로 깊이 재구성되었습니다: 단순 전자 서명(SES), 고급 전자 서명(AES) 및 적격 전자 서명(QES). 마지막 것만이 유럽 연합의 모든 회원국에서 수기 서명과의 법적 동등성에 대한 추정으로부터 혜택을 받습니다.

기업이 적격 서명을 제공하려면, 반드시 감시를 받았고 신뢰 목록(Trust List)에 등록되어야 합니다. 프랑스에서는 국가 정보 시스템 보안청(ANSSI)이 이 공식 등록부를 관리하며, 차례로 유럽 위원회에서 관리하는 중앙 집중식 유럽 목록에 재게시됩니다.

이 아키텍처를 이해하는 것은 민감한 상업 계약에 서명하기 전에 기본이 됩니다. 규제 기초에 대해 더 자세히 알아보려면, eIDAS 2.0 규정(EU 규정 2024/1183)에서 도입한 모든 의무 및 발전을 상세히 설명하는 우리의 eIDAS 규정 완전 가이드를 참고하세요.

---

적격 신뢰 서비스 제공자들은 어떻게 인증되는가?

적격 신뢰 서비스 제공자(PSCQ) 상태로의 경로는 엄격합니다. 이는 ETSI EN 319 401(일반 요구사항) 및 적격 인증서에 대한 ETSI EN 319 411-2에 따라 인정된 적합성 평가 기관(CAB, Conformity Assessment Body)에서 수행하는 감시를 포함합니다.

ANSSI 적격 단계

1. 적격 신청서 제출: 서비스 제공자가 기술, 보안 및 조직 문서를 ANSSI에 제출합니다.
2. 인정된 CAB에 의한 감시: Bureau Veritas, LSTI 또는 Apave Certification과 같은 제3자 기관이 현장 및 서류상의 준수를 확인합니다.
3. 적격 결정: ANSSI가 적격을 결정하고 서비스 제공자를 프랑스 신뢰 목록(TL-FR)에 등록합니다.
4. 정기적 갱신: 적격은 일반적으로 2년마다 재평가되어 요구사항 유지를 보장합니다.

감시는 구체적으로 무엇을 확인하는가?

감시자는 특히 다음을 검토합니다:

• 암호화 키를 호스팅하는 데이터 센터의 물리적 보안(CC EAL 4+ 또는 FIPS 140-2 Level 3 이상 인증 HSM 모듈);
• 서비스 제공자가 게시한 인증 정책(CP) 및 인증 관행 선언(CPS);
• 서명자의 신원 확인 절차(대면 또는 EN 419 241-1 규범 준수 원격 신원 확인);
• 해지 관리 및 OCSP/CRL 서비스 가용성.

이러한 기준들은 왜 프랑스에서 이 인증 수준에 도달하고 유지하는 소수의 주체만이 있는지를 설명합니다.

---

2026년 프랑스에 등록된 eIDAS 적격 서비스 제공자들

공식 적격 서비스 제공자 목록은 유럽 위원회의 공식 포털에서 언제든지 조회할 수 있습니다(eidas.ec.europa.eu/efts), "France"를 필터링하고 "QCertESig" 서비스(Qualified Certificate for Electronic Signature)를 선택합니다. 다음은 이 기사 작성 시점(2026년 6월) 등록부에 있던 주체들입니다:

신뢰 목록에 등록된 프랑스 주체들

| 서비스 제공자 | 적격 서비스 유형 | 특성 | |---|---|---| | Certigna (Dhimyotis) | 적격 인증서, 적격 타임스탬프 | La Poste 그룹, 2016년부터 eIDAS 인증 | | Certinomis | 적격 인증서 | La Poste 계열사, 공공 부문 지향 | | ChamberSign France | 적격 인증서 | CCI 네트워크, 강한 중소기업/소규모기업 기반 | | Keynectis / DocuSign France | 적격 인증서 | DocuSign이 인수, ANSSI 라벨 유지 | | Universign (Tessi) | 적격 인증서, 타임스탐프 | 시장 선도자, Tessi 그룹에 통합 | | Entrust (ex-Datacard) | 적격 인증서 | 국제 주체, 신뢰 목록 다중 회원국 | | Oodrive Sign | 적격 인증서 | 주권 프랑스 편집자, SecNumCloud 적격 |

> 경고: 이 목록은 참고 정보 목적으로 제공됩니다. 유럽 위원회의 공식 신뢰 목록만이 효력을 가집니다. 계약 체결 전에 항상 포털에서 현재 상태를 확인하세요.

eIDAS 규정 제25조에서 설정한 상호 인정 원칙에 따라, eIDAS 규정 제25조에서 설정한 상호 인정 원칙에 따라 신뢰 목록에 등록된 다른 회원국의 PSCQ가 발행한 적격 서명은 프랑스에서 동일한 법적 효과를 생산합니다. 자주 사용되는 프랑스가 아닌 주체들 중:

• Namirial (이탈리아): 원격 적격 서명(QES 원격 서명)에 강함;
• SwissSign (스위스): 주의, 스위스는 EU 회원이 아님; 인정이 제한적;
• Qualified.one / Asseco Data Systems (폴란드): 유럽 공공 주체, 국경 간 계약에서 자주 사용.

귀사의 비즈니스 요구에 따라 이러한 솔루션을 비교하려면, 가격, 준수 및 API 통합을 분석하는 전자 서명 솔루션 비교를 참고하세요.

---

조직을 위한 올바른 eIDAS 적격 서비스 제공자를 선택하는 방법

신뢰 목록에 등록되는 것은 필요한 조건이지만 충분하지 않습니다. PSCQ의 선택은 여러 추가 기준에 기초해야 합니다.

기술 및 통합 기준

• REST API 또는 SDK 사용 가능: 워크플로우 자동화에 필수(ERP, SIRH, CRM);
• 지원되는 서명 형식: PDF용 PAdES, XML용 XAdES, 이진 파일용 CAdES — 모두 ETSI EN 319 100에서 정규화됨;
• 서비스 가용성: 계약상 보장되는 99.9% 이상의 SLA, 영업 시간 외 정기 유지 보수 기간;
• 데이터 호스팅: 프랑스 또는 EU 내 호스팅을 선호하고, 민감한 데이터의 경우 이상적으로 SecNumCloud 적격.

법적 및 준수 기준

• 서비스 제공자가 최신 적격 보고서(24개월 이하)를 제공하는지 확인하세요;
• 공개적으로 접근 가능하고 감시된 정책 선언(CP)을 요청하세요;
• 일반 이용 약관이 명시적으로 eIDAS 규정 부록 I의 의미에 따른 적격 인증서 발행을 규정하는지 확인하세요.

운영 및 지원 기준

• 서명자 등록 절차: 지점에서의 대면, eIDAS 준수 비디오 신원 확인 또는 전자 신분증을 통한 NFC;
• 프랑스어 지원 계약상 대응 시간;
• 법무팀 및 IT팀을 위한 교육 및 문서.

조직이 중요한 인사 문서 흐름을 관리하는 경우, 인사팀을 위한 전자 서명에 대한 전용 페이지는 특정 사용 사례(근로 계약, 추가 계약, 온보딩) 및 문서 유형별 권장 서명 수준을 상세히 설명합니다.

---

eIDAS 2.0: 2026년 적격 서비스 제공자를 위한 변화는?

eIDAS 2.0 규정(EU 규정 2024/1183, 2024년 5월부터 점진적 적용)은 PSCQ 및 그들의 클라이언트에 직접 영향을 미치는 여러 구조적 진화를 도입합니다.

유럽 디지털 신원 지갑(EUDI Wallet)

개정 규정의 제6a조는 회원국에 2026년 9월까지 EU 전역에서 인정되는 디지털 신원 지갑(EUDI Wallet)을 제공할 의무를 부과합니다. 적격 서비스 제공자들에게 이는 다음을 의미합니다:

• 서명자 등록을 위한 신원 증명으로 지갑에서 출처한 신원 속성을 수락할 의무;
• 새로운 적격 서비스의 출현: 적격 속성 전자 증명서 발행(Qualified Electronic Attestation of Attributes, QEAA).

새로운 적격 서비스 및 범위 확장

eIDAS 2.0은 다음을 포함하기 위해 적격 신뢰 서비스 목록을 확대합니다:

• 적격 전자 보존 서비스(QPDS, 제45f조);
• 원격 서명 생성 장치 관리 서비스(QRCD).

이러한 발전은 기존 서비스 제공자들에게 준수 강화(빠른 기한)와 새로운 진입자들을 위해 ENISA 및 ETSI에서 게시한 기술 사양을 빠르게 통합할 수 있는 차별화 기회를 모두 나타냅니다.

기존 플랫폼에서 더 준수하는 솔루션으로의 마이그레이션을 고려하는 기업들을 위해, 우리의 DocuSign 또는 YouSign에서 Certyneo로의 마이그레이션 가이드는 구체적인 단계 및 규제 주의 사항을 제시합니다.

eIDAS 적격 서비스 제공자에게 적용되는 법적 틀

eIDAS 규정 및 유럽 법

법적 기초는 2014년 7월 23일 유럽의회 및 이사회의 규정(EU) 910/2014(내부 시장에서의 전자 거래를 위한 전자 신원 확인 및 신뢰 서비스에 관한 규정, "eIDAS 규정"이라 칭함)이며, 규정(EU) 2024/1183(eIDAS 2.0)에 의해 수정되었습니다. 이 규정은 국내 전치 없이 모든 회원국에 직접 적용됩니다.

적격 서비스 제공자들을 위한 핵심 규정:

• 제17조: 각 회원국이 감독 기관(프랑스에서는 ANSSI)을 지정할 의무;
• 제20조: 감독, 감시 및 신뢰 목록 등록 절차;
• 제25조: QES와 수기 서명 간의 동등성 추정, EU 전역에서 보장되는 법적 효과;
• 부록 I: 전자 서명용 적격 인증서 요구사항;
• 부록 II: 적격 서명 생성 장치(QSCD)에 대한 요구사항.

프랑스 법

국내법에서 전자 서명은 다음에 의해 규제됩니다:

• 민법 제1366및 1367조: 제1366조는 저자의 신원을 보장하고 문서의 무결성을 보장하는 조건 하에서 전자 서면의 증거 가치를 인정합니다. 제1367조는 적용 법령에 따라 작성된 신뢰할 수 있는 신원 확인 절차로 구성된 전자 서명이 신뢰성 추정으로부터 혜택을 받는다고 명시합니다;
• 2017년 9월 28일 법령 n° 2017-1416: 적격 전자 서명이 프랑스에서 신뢰할 수 있다고 추정되는 조건을 정의하며, eIDAS 규정을 명시적으로 참조합니다;
• 2005년 6월 16일 규칙 n° 2005-674: 전자 수단을 통한 특정 계약 형식 이행과 관련.

개인 정보 보호

등록 및 서명 프로세스는 개인 정보 처리(신원 데이터, 비디오 신원 확인을 위한 생체정보)를 포함합니다. 적격 서비스 제공자는 규정(EU) 2016/679(GDPR)의 대상이며 특히 다음을 수행해야 합니다:

• 대규모 처리인 경우 DPO 지정;
• CNIL 등록부에서 처리 문서화;
• EU 외 전송을 표준 계약 조항, 적정성 결정으로 규제.

사이버 보안 및 복원력

2024년 10월부터, NIS2 지침(2022/2555/EU)은 적격 신뢰 서비스 제공자에게 적용되며, 필수 개체로 분류됩니다. 그들은 사이버 위험 관리 조치를 이행하고, 24시간 내에 ANSSI에 중대 사건을 신고하며, 정기적인 감시를 받아야 합니다. 불준수는 1천만 유로 또는 연간 글로벌 매출의 2%에 도달할 수 있는 벌금을 노출시킵니다.

참고 기술 규범

• ETSI EN 319 401: 신뢰 서비스 제공자에 대한 일반 요구사항;
• ETSI EN 319 411-2: 적격 인증서 정책 프로필;
• ETSI EN 319 132: XAdES 서명 형식;
• ETSI EN 319 122: CAdES 서명 형식;
• ETSI EN 319 162: PAdES 서명 형식(PDF).

사용 시나리오: 언제 eIDAS 적격 서명이 필수인가?

시나리오 1 — 높은 증거 가치의 서명 문서를 관리하는 변호사 사무소

약 20명의 협력자를 가진 기업법 변호사 사무소는 매월 수십 개의 사회 지분 양도, 합의 프로토콜 및 자산/부채 보장 협약(GAP)을 처리합니다. 이 문서들은 종종 수십만 유로 이상의 합계를 포함하며 법원에서 분쟁의 대상이 될 수 있습니다.

eIDAS 적격 서비스 제공자로 마이그레이션하기 전에, 사무소는 고급 서명(AES)을 사용했으며, 이는 대부분의 일반 문서에 충분했습니다. 상대방이 소송 중 서명의 진정성에 이의를 제기한 사건 이후, 사무소는 높은 이해의 모든 문서에 대해 QES를 선택했습니다. 결과: QES에 부여된 반박 불가능한 법적 추정으로 인해 분쟁 절차 중 서명 증거를 제출하는 데 소요되는 시간 90% 감소. 단위 초과 비용(볼륨에 따라 약 2~5유로)은 소송 비용 감소로 완전히 흡수되었습니다.

시나리오 2 — 국경 간 공급자 계약을 관리하는 중견기업(ETI)

중견기업(ETI) 산업 장비 부문에서는 프랑스, 독일, 이탈리아 및 폴란드에 설립된 공급자를 두고 있으며, 지금까지 체계 계약을 우편으로 보내거나 현장 서명을 조직해야 했으므로 계약당 10~21 영업일의 지연이 발생했습니다.

유럽 신뢰 목록에 등록된 PSCQ에 연결된 솔루션을 배포함으로써, 기업은 서명 주기를 평균 48시간 미만으로 단축했습니다. 회원국 간 상호 인정은 추가 정당화 없이 법적 가치를 보장합니다. 연간 350개의 공급자 계약 포트폴리오에서, ACFE 및 APQC에서 발표한 부문별 연구와 일치하는 수치에 따라 예상 관리 및 로지스틱 비용 절감이 연간 40,000유로를 초과합니다.

시나리오 3 — 보건 부문 요구사항의 적용을 받는 병원 그룹

약 1,200개 병상의 병원 그룹은 공공 구매 규정에 따라 공개 계약, 임상 연구 협약 및 병원의사 계약을 전자 서명해야 합니다. 이 문서들은 공공 구매 규정에 따라 서명되어야 하며, 공공 구매 시장 전자화 이후 동등한 eIDAS 수준 또는 RGS(보안 일반 참고 기준) 수준 **을 요구합니다.

프랑스 신뢰 목록에 등록된 PSCQ에 의존하여, 병원 그룹은 공공 구매 규정 제R. 2132-7조 준수를 보장하면서 동시에 계약 서명 기한을 15일에서 72시간 미만으로 단축했습니다. 병원 정보 시스템(SIH)과의 API 통합은 문서 발송 및 추적을 자동화했으며, 계약 관련 행정 업무에 약 0.4 FTE를 해제했습니다.

결론

eIDAS 적격 서비스 제공자를 선택하는 것은 단순 소프트웨어 구매가 아닙니다: 이는 귀사의 법적 문서의 증거 가치, 조직의 규제 준수 및 상업 및 기관 파트너와의 신뢰를 약속하는 전략적 결정입니다. 2026년, eIDAS 2.0의 점진적 이행과 새로운 NIS2 의무로, 요구사항 수준은 계속 증가합니다.

기억해야 할 필수 사항: 공식 신뢰 목록에 항상 등록을 확인하고, 공개 인증 정책을 요청하고, 각 문서의 법적 이해에 서명 수준(QES, AES, SES)을 적응시키세요.

Certyneo는 PSCQ 참조를 통해 적격 인증서에 대한 접근을 제공하고, 강력한 API 통합 및 전담 법적 지원을 제공하여 이 프로세스에서 동반합니다. 적격 서명으로 전환할 준비가 되었나요? Certyneo에 데모를 요청하거나 계정을 생성하고 오늘 조직을 준수하게 하세요.