전자 서명된 문서 보안: 2026년 가이드

소개

전자 서명은 유럽 B2B 거래에서 표준으로 자리잡았습니다. 그러나 문서에 서명하는 것만으로는 충분하지 않습니다. 현행 법적 프레임워크에 따라 전자 서명된 문서를 보안하고, 보관하며, 보존해야 합니다. 프랑스와 유럽에서 eIDAS 규정, GDPR 및 민법에서 비롯된 의무는 무결성, 추적 가능성 및 보존 기간과 관련하여 정확한 요구사항을 부과합니다. 이 가이드는 전자 서명된 문서에 대한 강력한 보관 전략을 단계별로 구현하는 방법을 설명합니다. 또한 이 접근 방식이 진지한 전자 서명 정책과 불가분의 관계임을 명시합니다.

---

서명된 문서의 보안화가 절대적 우선순위인 이유

부실한 보존과 관련된 위험

전자 서명된 문서가 변조되거나 손상되거나 분쟁 시, 감사 또는 세무 검사 시 필요할 때 접근할 수 없으면 모든 증거 가치를 잃습니다. 구체적인 위험에는 다음이 포함됩니다:

• 무결성 손실: 서명 후 최소한의 수정이라도 서명을 무효화하고 문서의 법적 가치를 무효화합니다.
• 인증서 만료: 적격 인증서의 수명은 제한적입니다(일반적으로 1~3년). 만료 전에 문서가 올바르게 타임스탬프 또는 보관되지 않으면 향후 검증 가능성이 손상됩니다.
• 기술 구식화: 파일 형식이 발전합니다. 2018년에 이제 취약한 것으로 간주되는 SHA-1 알고리즘으로 서명된 PDF 문서는 장기적으로 검증 문제를 야기할 수 있습니다.
• GDPR 위반: 서명된 문서에는 종종 개인 데이터(이름, 성, IP 주소, 이메일)가 포함됩니다. 이러한 데이터의 부실한 관리는 회사를 전 세계 매출의 4%에 도달할 수 있는 CNIL 제재에 노출시킵니다.

2024년 발표된 KPMG 연구에 따르면 프랑스 기업의 34%는 공식적인 전자 보관 정책이 없어 분쟁 발생 시 상당한 법적 위험에 노출되어 있습니다.

증거 가치: 핵심 문제

전자 서명된 문서의 증거 가치는 세 가지 기본 요소에 기초합니다:

1. 진정성: 서명자는 자신이 주장하는 사람입니다(신원 확인, 적격 인증서).
2. 무결성: 서명 이후 내용이 수정되지 않았습니다(암호화 지문, SHA-256 이상의 해시).
3. 부인 봉쇄: 서명자는 서명을 거부할 수 없습니다(적격 타임스탬프, 감사 추적).

이 세 가지 요소는 시간이 지나도 유지되어야 하며, 이는 능동적이고 수동적이지 않은 보관 전략을 의미합니다.

---

서명된 문서를 보안하기 위한 기술 표준

장기 서명 형식: PAdES, XAdES, CAdES

서명된 문서의 지속성을 보장하기 위해 ETSI EN 319 132(XAdES), ETSI EN 319 122(CAdES) 및 ETSI EN 319 142(PAdES) 표준은 장기 보존에 적합한 서명 형식을 정의합니다. B2B 실무에서 가장 널리 사용되는 것은 PAdES(PDF Advanced Electronic Signatures) 형식이며, 다음 수준을 포함합니다:

• PAdES-B: 기본 수준, 짧은 기간에 적합합니다.
• PAdES-T: 특정 시점에서 문서의 존재를 증명하기 위해 적격 타임스탐프를 추가합니다.
• PAdES-LT: 인증서 해지 데이터를 통합하여 온라인 서비스에 접근하지 않고도 검증을 허용합니다.
• PAdES-LTA: 가장 견고한 수준, 정기적인 갱신을 허용하는 보관 타임스탐프를 추가합니다. 3년을 초과하는 보존에 권장됩니다.

장기 보관의 경우 PAdES-LTA 수준이 ANSSI 및 적격 신뢰 서비스 제공자(QTSP)에서 권장하는 참조입니다.

적격 타임스탐프: 보관의 핵심

eIDAS 규정 제42조에서 정의된 적격 타임스탐프는 특정 시점에서 문서 존재에 대한 법적 증거를 구성합니다. 이는 EU 신뢰 목록(EU Trust List)에 등재된 적격 타임스탐프 인증 기관(TSA)에서 발행합니다.

실제로 타임스탐프는:

• 문서의 지문을 인증된 날짜 및 시간에 암호화하여 연결합니다.
• 인증서가 만료되더라도 서명이 생성될 당시 유효했음을 증명할 수 있게 합니다.
• 서명 후 수년 후에도 법원에서 문서를 수용 가능하게 하기 위해 필수적입니다.

암호화 및 접근 제어

서명 자체와 관련된 암호화 측면 외에도 보관된 문서의 물리적 및 논리적 보안이 똑같이 중요합니다:

• 저장 암호화: 호스팅 서버의 문서는 암호화되어야 합니다(최소 AES-256).
• 전송 중 암호화: 모든 전송을 위한 TLS 1.3 프로토콜.
• 역할 기반 접근 제어(RBAC): 인증된 사람만 보관된 문서에 접근할 수 있습니다.
• 접근 로깅: 모든 접근, 조회 또는 다운로드를 추적해야 합니다(변경 불가능한 로그).
• 지역 중복 백업: 정기적인 복원 테스트를 포함하여 지리적으로 분리된 두 개 사이트에 최소 두 개의 사본.

---

전자 보관 시스템 및 디지털 금고고: 증거 보관 전략

전자 보관 시스템(SAE)

전자 보관 시스템(SAE)은 무결성과 접근성 보장과 함께 장기 디지털 문서 보존을 위한 전용 인프라입니다. 프랑스에서 적용되는 참조 표준은 NF Z42-013 표준(ISO 14641로 인정), 증거 보관 시스템의 설계 및 운영 요구사항을 정의합니다.

준수하는 SAE의 특성에는 다음이 포함됩니다:

• 문서 카테고리별 보존 규칙이 포함된 구조화된 분류 계획.
• 입력 시 계산되고 정기적으로 검증되는 무결성 지문.
• 모든 작업의 변경 불가능한 로깅.
• 무결성 손실 없이 형식을 발전시키기 위한 기술 마이그레이션 절차.
• 강력한 인증을 포함한 보안 및 감시 가능한 접근.

적격 제공자(Archivage Électronique à Valeur Probante - AEVP 유형)가 관리하는 SAE의 사용을 통해 기업은 이러한 복잡성을 위임하면서 견고한 계약 및 규제 보증을 누릴 수 있습니다.

디지털 금고: 상호 보완적 솔루션

디지털 금고는 최종 사용자 지향의 단순화된 SAE 변형입니다. 각 서명자가 자신의 서명된 문서의 개인 사본을 보안되고 접근 가능한 방식으로 보존할 수 있게 합니다. 이 접근 방식은 특히 다음에 적합합니다:

• 근로 계약 및 추가 계약(직원이 접근 가능).
• 전자 방식으로 수용된 판매 약관.
• 온보딩 문서(KYC, SEPA 위임장).

법적 보존 기간: 법이 부과하는 것

문서의 보존 기간은 법적 성질에 따라 다릅니다. 주요 마감일은 다음과 같습니다:

| 문서 유형 | 최소 법적 보존 기간 | 법적 근거 | |---|---|---| | 상업 계약 | 5년 | 상법 제L110-4조 | | 세무 문서 | 6년 | 세법 제L102 B조 | | 근로 계약 | 종료 후 5년 | 근로법 | | 사인 행위 | 5년(개인 청구) | 민법 제2224조 | | 회계 문서 | 10년 | 상법 제L123-22조 | | 의료 데이터 | 최소 20년 | 보건 부호 제R1112-7조 |

이러한 기간은 보관 정책에 통합되고 문서 관리 도구에서 파라미터화되어야 합니다.

---

전자 서명 워크플로에서 보안화 통합

기본 보관이 있는 서명 플랫폼 선택

최선의 전략은 두 개의 별개 도구를 관리하기보다는 기본적으로 보안 보관이 통합된 전자 서명 솔루션을 선택하는 것입니다. 필수적인 선택 기준은 다음과 같습니다:

• eIDAS 적격: 플랫폼은 EU 신뢰 목록에 등재된 적격 신뢰 서비스 제공자(QTSP)이거나 이에 기반해야 합니다.
• GDPR 준수: EU 내 데이터 호스팅, 사용 가능한 DPA(데이터 처리 계약), 개인의 권리 행사 가능성.
• 인증된 보관 형식: PAdES-LTA 또는 동등 형식의 기본 지원.
• 완전한 감시 추적: 서명 프로세스의 각 단계를 추적하고 내보낼 수 있어야 합니다.
• API 통합: 기존 GED(전자 문서 관리) 또는 ERP에 플랫폼을 연결합니다.

시장의 사용 가능한 솔루션을 비교하려면 전자 서명 솔루션 비교를 참조하세요.

감시 추적: 분쟁 발생 시 최고의 보호

감시 추적(또는 감사 기록)은 문서와 관련된 모든 작업을 추적하는 시간순 및 변경 불가능한 저널입니다: 전송, 열기, 서명, 거부, 상기. 이는 서명 자체를 보완하는 증거를 구성합니다.

증거 추적은 다음을 포함해야 합니다:

• 각 작업의 적격 타임스탐프.
• 서명자의 IP 주소 및 사용자 에이전트.
• 신원 확인 식별자.
• 문서 메타데이터(해시 지문).

분쟁 발생 시 감시 추적이 차이를 만드는 경우가 많습니다. 특히 단순 또는 고급(적격이 아닌) 서명이 사용되었을 때입니다.

갱신 및 보관 알림 자동화

효율적인 보관 정책은 무엇보다도 자동화된 정책입니다. 모범 사례에는 다음이 포함됩니다:

• 인증서 또는 타임스탐프 만료 전 자동 알림.
• 암호 알고리즘이 구식이 되기 전 타임스탐프 갱신 워크플로(timestamp renewal).
• 보관된 문서 목록의 정기적 검토, 무작위 무결성 검증 포함.
• 보존 기간이 법적 마감일에 가까워지는 문서를 식별할 수 있는 규정 준수 대시보드.

이러한 자동화는 기업용 Certyneo 같은 차세대 전자 서명 플랫폼에서 기본적으로 사용할 수 있습니다.

서명된 문서의 보안 및 보관에 적용되는 법적 프레임워크

서명된 문서의 보안 보존은 전자 서명 문서를 제3자에게 대항하거나 법원에 제출하려는 모든 조직이 알아야 할 밀도 높은 규제 프레임워크 내에서 진행됩니다.

규정 eIDAS n°910/2014 및 그 진화

유럽 규정 eIDAS(전자 신원 확인, 인증 및 신뢰 서비스)는 2016년 7월 1일부터 적용되며 eIDAS 2.0을 통한 수정 중인 유럽의 전자 서명 서비스에 대한 신뢰 프레임워크를 설정합니다. 세 가지 수준의 서명(단순, 고급, 적격)을 구분하고 적격 신뢰 서비스 제공자(QTSP)에 보안, 감사 및 서비스 연속성의 엄격한 요구사항을 부과합니다. 제25조는 적격 서명에 대한 비부인 추정을 인정합니다. 제42조는 적격 타임스탐프 서비스를 규율합니다.

프랑스 민법: 제1366조 및 1367조

민법 제1366조는 "전자 문서는 그 출처가 명확히 식별될 수 있고 그 완전성을 보장하는 조건에서 작성 및 보존되는 한 종이 문서와 동일한 증거 가치를 갖는다"고 규정합니다. 제1367조는 전자 서명의 유효성 조건을 명확히 합니다. 무결성을 보장하는 조건에서 보존할 책임은 문서를 소유한 조직에 있습니다.

GDPR n°2016/679: 보관 보험의 개인 데이터 보호

전자 서명된 문서는 체계적으로 개인 데이터(서명자의 신원, 이메일, IP 주소, 때로는 행동 생체 메트릭 데이터)를 포함합니다. GDPR은 각 처리에 대한 법적 근거, 보존 기간을 필요한 것으로만 제한, 및 적절한 기술 및 조직 조치 구현(제32조)을 부과합니다. 서명된 문서 보관에 영향을 미치는 데이터 위반의 경우 제33조는 72시간 이내에 CNIL에 알려야 합니다.

NIS2 지침(2022/2555/EU)

2024년 규정으로 프랑스 법으로 전환된 NIS2 지침은 필수 및 중요 엔터티에 민감한 데이터를 처리하는 정보 시스템 보안을 포함한 사이버 보안에 관한 강화된 의무를 부과합니다. 해당 조직의 서명된 문서 보관 플랫폼은 적용 범위에 포함됩니다.

ETSI 표준 및 NF Z42-013

ETSI EN 319 132(XAdES), ETSI EN 319 122(CAdES) 및 ETSI EN 319 142(PAdES) 표준은 eIDAS를 준수하는 고급 및 적격 전자 서명 형식을 정의합니다. NF Z42-013 / ISO 14641 표준은 증거 가치가 있는 전자 보관 시스템의 설계 및 운영을 위한 프랑스 참조입니다. 준수는 ANSSI에서 강력하게 권장하며 사법상 이의가 제기되는 경우 견고한 보호를 구성합니다.

비준수 시 제재 및 위험

위험은 다양합니다: 법원에서 문서 불수용, CNIL 제재(주요 GDPR 위반의 경우 최대 2천만 유로 또는 전 세계 CA의 4%), 조직의 계약 또는 불법 행위 책임 참여, 및 보존 의무가 준수되지 않은 경우 서명 제공자에서 제공한 보증 손실.

시나리오 사용: 조직이 서명된 문서를 보안하는 방법

시나리오 1 — 매년 수천 개의 행위를 관리하는 법률 사무소

25명의 협력자로 구성된 기업 법률 사무소는 평균 연간 3,000개의 전자 서명 행위 및 계약(거래 프로토콜, 위임장, 양도 행위)을 처리합니다. 고객의 세무 조사 중 7년 전 문서를 제출해야 할 필요성에 직면하면 사무소는 여러 서명을 더 이상 검증할 수 없음을 발견합니다: 인증서가 만료되었고 보관 타임스탐프(PAdES-LTA 수준)가 적용되지 않았습니다.

기본 보관이 있는 서명 솔루션을 NF Z42-013 준수 SAE와 통합한 후 사무소는 30년 이상의 검증 가능성을 누립니다. 분쟁 중 문서 검색 및 제출 시간은 4시간에서 15분 미만으로 감소합니다. 협력자들은 문서 보존과 관련된 법적 위험 감소를 60%로 추정합니다. 법률 사무소의 특정 요구사항에 대해 자세히 알아보려면 법률 사무소용 전자 서명 페이지를 참조하세요.

시나리오 2 — 공급자 및 고객 계약을 관리하는 중소 산업 기업

180명의 직원으로 구성된 중소 산업 기업은 연간 약 400개의 공급자 계약과 250개의 고객 계약을 전자 서명으로 생성합니다. 그 문서들은 지금까지 암호화되지 않은 공유 폴더에 내부 서버에 저장되었으며 감시 추적, 세분화된 접근 제어가 없었습니다.

사이버 보안 사건(랜섬웨어)으로 서버의 일부가 암호화된 후 진행 중인 여러 계약을 다시 서명해야 했으며, 비용은 약 40,000€로 추정되었습니다. 기본 디지털 금고, 프랑스 주권 호스팅 및 지역 중복 백업이 있는 SaaS 서명 플랫폼으로 마이그레이션한 후 중소 기업은 이 위험을 제거합니다. 또한 계약 만료에 대한 자동 알림의 이점도 누립니다. 이러한 접근 방식의 ROI 반환을 추정하려면 서명 전자 ROI 계산기를 사용하세요.

시나리오 3 — 환자 동의 및 HR 계약을 관리하는 병원 그룹

약 1,200개 병상의 병원 그룹은 환자 전자 서명 인형극을 최소 20년(보건 부호 제R1112-7조), 약 2,500명의 요원의 근로 계약을 보존해야 합니다. 문서의 다양성과 다양한 보존 기간은 수동 관리를 불가능하게 만들었으며 위험했습니다.

문서 카테고리별로 파라미터화할 수 있는 보관 모듈이 있는 전자 서명 솔루션을 배포한 후 법률 부서는 보존 규칙을 자동화합니다: 동의 20년, 계약 종료 후 5년, 공공 시장 10년. GDPR 규정 준수의 내부 감사는 문서 규정 준수율이 1년 미만에 67%에서 96%로 증가한 것으로 나타났습니다. 부문의 특성에 대해 보건 분야 전자 서명 가이드는 적용 가능한 규제 제약을 자세히 설명합니다.

결론

서명된 문서를 보안하고 보존하는 것은 부수적 기술 옵션이 아닙니다: 이는 전자 서명을 비즈니스 프로세스에 기반하는 모든 조직에 대한 법적 의무이자 전략적 필수입니다. eIDAS 규정 준수, GDPR 요구사항, ETSI 표준 및 상법이 부과하는 보존 기간 사이의 복잡성은 실제이지만, 올바른 도구를 사용하면 완전히 관리할 수 있습니다.

성공적인 보관 전략의 핵심은 명확합니다: 장기 서명 형식(PAdES-LTA), 체계적인 적격 타임스탐프, 보안 및 주권 호스팅, 자동화된 보존 규칙 및 완전한 감시 추적.

Certyneo는 B2B 팀을 위한 SaaS 플랫폼에서 이러한 모든 기능을 기본적으로 통합합니다. Certyneo를 무료로 테스트하거나 가격을 살펴보세요 서명된 문서를 지속적으로 보호하는 방법을 알아보세요.