주요 콘텐츠로 이동
Certyneo

TMD vs TMK: 법적 및 실제적 차이점

TMD와 TMK는 서로 다른 법적 체계를 갖춘 두 가지 디지털 신뢰 메커니즘입니다. 올바른 선택을 하기 위해 구체적인 차이점을 알아보세요.

Certyneo 팀읽는 시간 8분

Certyneo 팀

작성자 — Certyneo · Certyneo 소개

소개: 왜 TMD와 TMK를 구분해야 할까요?

유럽의 디지털 신뢰 생태계에서 데이터 신뢰표시(TMD, Trustmark de Données)키 신뢰표시(TMK, Trustmark de Clés) 개념 — 각각 전자 데이터에 대한 신뢰 표시 메커니즘과 암호화 키 기반 시설에 대한 신뢰 표시 메커니즘을 의미합니다 — 은 종종 법률 전문가와 IT 담당자들 사이에서 혼동을 야기합니다. 그러나 이들의 법적 체계, 기술적 범위 및 실제적 함의는 근본적으로 다릅니다. 이 문서는 이 두 메커니즘을 명확히 하고, 각각의 규제 틀을 제시하며, B2B 조직이 문서 흐름에 가장 적합한 선택을 하도록 안내합니다.

---

TMD(데이터 신뢰표시)란 무엇인가요?

TMD, 즉 데이터에 적용되는 신뢰 표시 메커니즘은 전자 데이터 집합 또는 전자 문서의 무결성과 진정성을 인증할 수 있도록 하는 절차 및 암호화 속성의 집합을 의미합니다. 이는 주로 eIDAS 규정의 의미 범위 내의 적격 전자 봉인(qualified electronic seal) 메커니즘에 기반합니다.

TMD의 기술적 기초

기술적으로 TMD는 다음에 기반합니다:

  • 원본 데이터에 적용되는 해시 함수(SHA-256, SHA-3)로, 고유한 디지털 지문을 생성합니다;
  • 발신 기관의 신원을 보증하는 적격 신뢰 서비스 제공자(PSCQ)가 발급한 디지털 인증서;
  • ETSI EN 319 421 표준에 부합하는 적격 전자 타임스탬프로, 이의 제기 가능한 시간 증명을 제공합니다.

이 세 요소를 결합하면 TMD에 높은 증거 가치를 부여하며, 이는 EU의 많은 회원국에서 정식 문서의 가치와 동등합니다. 타임스탬프가 있는 문서의 법적 가치에 대해 자세히 알아보려면 전자 서명의 완전 가이드를 참조하세요.

TMD의 주요 응용 분야

TMD는 특별히 식별된 물리적 개인의 능동적 개입이 필요 없이 대량의 데이터 무결성을 인증해야 하는 상황에 특히 적합합니다. 특히 다음 분야에서 발견됩니다:

  • 회계 및 재무 흐름 인증(감사 로그, 시산표);
  • 디지털 증거의 법적 보존(NF Z 42-013 준수 증거 보관소);
  • 공급망의 파트너 간 EDI 교환.

---

TMK(키 신뢰표시)란 무엇인가요?

TMK, 즉 암호화 키에 중심을 둔 신뢰 표시 메커니즘은 다른 로직을 따릅니다: 데이터 자체가 아니라 서명자가 사용하는 공개 키 기반 시설(PKI)과 서명 생성 장치를 인증합니다. 이는 eIDAS 규정의 부칙 II에 정의된 적격 서명 생성 장치(QSCD)의 개념과 밀접한 관련이 있습니다.

TMK의 암호화 아키텍처

TMK는 다음을 포함합니다:

  • CC EAL 4+ 또는 FIPS 140-2 레벨 3으로 인증된 HSM 모듈(하드웨어 보안 모듈)로, 개인 키가 보안 장치를 절대 벗어나지 않음을 보증합니다;
  • PSCQ에서 발행한 문서화된 인증 정책(CPS – 인증 실무 명세서);
  • OCSP(온라인 인증서 상태 프로토콜) 또는 CRL(인증서 폐기 목록)을 통한 실시간 폐기 메커니즘.

TMK의 견고성은 따라서 키 생성 및 저장 장치의 물리적 및 논리적 보안에 기반합니다. 이러한 요구 사항이 전체 규제 틀과 어떻게 구성되는지 이해하려면 eIDAS 2.0 규정 가이드가 필수 참고 자료입니다.

TMK의 주요 응용 분야

TMK는 특별히 식별된 물리적 개인의 법적 책임이 확실하게 부담되어야 하는 시나리오에서 필수입니다:

  • 높은 법적 가치의 계약 서명(사업용 기금 양도, 상업 임차, 전자 공증 행위);
  • 행정-기업 포털의 강화된 인증 프로세스(API 세관, Chorus Pro 플랫폼);
  • DSP2의 대상이 되는 금융 기관의 지급 지시 검증.

---

법적 비교: TMD vs TMK

TMD와 TMK 사이의 가장 구조적인 구분은 eIDAS 규정(n° 910/2014) 및 그 후속인 eIDAS 2.0(규정 UE 2024/1183) 내에서의 법적 귀속에 있습니다.

책임 체계

| 기준 | TMD | TMK | |---|---|---| | 책임 있는 주체 | 법인(조직) | 식별된 물리적 또는 법인 | | 신뢰 수준 | 고급 또는 적격(봉인) | 적격(전자 서명) | | 법적 추정 | 데이터 무결성 | 서명자의 동의 및 신원 | | 국경 간 범위 | EU 자동 인정 | EU 자동 인정(eIDAS 제25조) |

TMD는 발신 기관의 책임을 부담합니다: 인증된 데이터의 무결성이 손상되면 조직이 이에 대한 책임을 져야 합니다. TMK는 반대로 키 소유자의 개인 책임을 부담합니다 — 이것이 모호함 없이 개인의 의지를 증명해야 하는 모든 행위에 있어서 필수 도구인 이유입니다.

프랑스 법원에서의 증거력

프랑스 법에서 민법 1366조는 "전자 문서는 종이 매체의 문서와 동일한 증거력을 가지며, 문서가 어느 개인으로부터 발신되었는지를 적절히 식별할 수 있고 그 무결성을 보장하는 조건 하에서 작성되고 보존된 경우"라고 규정합니다. 이러한 표현은 두 메커니즘 모두를 포함하지만 중요한 뉘앙스가 있습니다:

  • TMD 적격으로 보호된 문서는 무결성의 추정 혜택을 받아 증거 부담을 뒤집습니다;
  • TMK 적격을 통해 서명된 문서는 추가로 귀속성의 추정 혜택을 받습니다 — 서명자는 서명하지 않았음을 직접 증명해야 하는데, 이는 매우 어렵습니다.

이러한 비대칭적 증거력이 법률가와 전자 서명을 사용하는 법률 사무소가 법적 형식 조건의 대상이 되는 행위에 대해 TMK를 선호하는 이유를 설명합니다.

상호운용성 및 상호 인정

eIDAS 2.0은 유럽 디지털 신원 지갑(EDIW)을 통한 상호운용성을 강화하며, 이는 시민과 전문가를 위해 TMK 메커니즘을 기본 통합할 것입니다. TMD는 반대로 각 회원국이 발행하는 국가 신뢰 목록(Trusted Lists)에 더 크게 의존합니다. 프랑스는 ANSSI를 통해 이를 발행하며, 모든 적격 PSCQ가 참조되어 있습니다. 시장 솔루션의 비교 분석을 위해 전자 서명 솔루션 비교가 결정에 구체적인 요소를 제공할 것입니다.

---

B2B 기업을 위한 실제적 함의

문서 유형에 따라 TMD와 TMK 선택하기

기본 규칙은 간단합니다: 문서의 법적 위험 수준이 사용할 메커니즘을 결정합니다.

  • 중간 위험 문서(주문서, 견적서, 표준 이용약관, 표준 기밀유지계약 NDA): 고급 수준의 TMD로 일반적으로 충분합니다. QSCD 적격과 관련된 추가 비용 없이 강력한 무결성 보호를 제공합니다.
  • 높은 위험 문서(근로계약, 위임장, 양도 행위, 50,000 € 이상의 재무 약정): TMK 적격이 권장되며, 규제 대상 특정 분야(은행, 보험, 의료)에서는 의무입니다.

대량의 근로 계약을 관리하는 HR 팀의 경우 HR을 위한 전자 서명 솔루션이 각 문서 유형에 적합한 신뢰 수준을 기본 통합합니다.

배포 비용 및 일정

TMD는 일반적으로 각 서명자에 대한 강화된 신원 확인(KYC/AML) 프로세스를 필요로 하지 않으므로 배포 비용이 낮습니다. 문서 관리 시스템(GED) 또는 ERP로의 API 통합은 환경 IT의 복잡성에 따라 평균 2~6주가 소요됩니다.

TMK는 QSCD 요구 사항 및 신원 확인 프로세스로 인해 각 서명자당 3~10 영업일의 온보딩 시간을 의미합니다. 많은 외부 파트너를 관리하는 조직의 경우, 이는 변경 관리에서 예상해야 할 마찰 요인이 될 수 있습니다.

아카이빙 및 보존

선택한 메커니즘과 관계없이, 프랑스 법의 적용을 받는 모든 조직은 법적 보존 기간을 준수해야 합니다: 상업 계약의 경우 10년(상법 L. 110-4조), 관련 개인 데이터의 경우 5년(GDPR 제5조). NF Z 42-013 표준을 준수하는 증거 보관소 시스템은 기술 마이그레이션 발생 시에도 TMD 또는 TMK의 법적 가치가 시간에 따라 보존되도록 보장합니다.

TMD 및 TMK에 적용되는 법적 틀

eIDAS 규정 및 그 진화

TMD 및 TMK 메커니즘의 규제 기초는 2014년 7월 23일 유럽의회 및 이사회 규정(EU) n° 910/2014(eIDAS 규정)로 구성됩니다. 이 기본 텍스트는 신뢰 수준(단순, 고급, 적격)의 계층을 정립하고 유럽연합 내 신뢰 서비스의 국경 간 인정 조건을 정의합니다.

2024년, 규정(EU) 2024/1183(eIDAS 2.0)은 이 틀을 실질적으로 개정했으며, 특히 다음을 도입했습니다:

  • 2026년 이전에 회원국이 의무적으로 시행해야 할 유럽 디지털 신원 지갑(EDIW);
  • 적격 속성의 전자 증명서를 포함한 신뢰 서비스의 새로운 범주;
  • 사이버 보안 측면의 PSCQ에 대한 강화된 요구 사항(NIS2 정렬).

프랑스 민법: 제1366조 및 제1367조

국내 법에서 민법 제1366조 및 제1367조(2016년 2월 10일 명령 n° 2016-131에서 발생)는 전자 문서의 증거력 가치 조건을 규정합니다. 제1367조는 적격 전자 서명(TMK 적격 및 QSCD에 기반)이 "신뢰성의 단순 추정을 생성"한다고 명시합니다. 이러한 추정은 번복 가능하지만 서명의 수익자에 유리하게 증거 부담을 뒤집습니다.

적용 가능한 ETSI 표준

TMD 및 TMK의 기술 사양은 ETSI(유럽 정보통신표준 연구소)에 의해 표준화됩니다:

  • ETSI EN 319 132: 고급 전자 서명 XAdES;
  • ETSI EN 319 122: CAdES 서명;
  • ETSI EN 319 142: PAdES(PDF) 서명;
  • ETSI EN 319 421: 적격 전자 타임스탬프 정책;
  • ETSI EN 319 401: PSCQ에 대한 일반 요구 사항.

GDPR 및 데이터 보호

TMD 및 TMK의 배포는 개인 데이터(서명자의 신원, 서명 메타데이터)의 처리를 포함합니다. 규정(EU) 2016/679(GDPR)은 다음을 요구합니다:

  • 처리에 대한 명시적인 법적 기초(계약 이행, 제6.1.b조, 또는 법적 의무, 제6.1.c조);
  • PSCQ로의 데이터 흐름을 기록하는 처리 등록;
  • PSCQ가 EU 외부에 설립되었거나 역외 하청업체를 사용하는 경우 적절한 계약 조항.

NIS2 지침 및 PKI 기반 시설의 사이버 보안

지침(EU) 2022/2555(NIS2)은 2024년 4월 17일 법률로 프랑스 법에 수용되었으며, 적격 PSCQ를 사이버 위험 관리, 사건 알림(ANSSI에 대한 초기 알림의 24시간 기한) 및 정기 감사에 대한 강화된 의무의 적용을 받도록 합니다. 사용자 기업의 경우, 이는 신뢰 서비스 제공자 선택 시 강화된 실사 의무를 의미합니다.

구체적인 사용 시나리오

시나리오 1: 연간 300개의 공급업체 계약을 관리하는 중소 제조업체

약 100명의 직원을 보유한 중소 제조업체는 연 약 300건의 공급업체 계약(원재료 구매, 유지보수 서비스, 물류 틀 계약)을 관리합니다. 지금까지 이러한 문서는 우편물이나 보안이 되지 않은 이메일로 전송되었으며 평균 서명 시간은 12~18 영업일이었습니다.

TMD 적격을 20,000 € 이하 가치의 계약에 배포하고 TMK 적격을 높은 약정이나 장기 계약에 배포함으로써 회사는 평균 서명 시간을 1.8 영업일로 단축하며, 이는 85 % 이상의 감소입니다. 문서 무결성 분쟁과 관련된 분쟁으로 연간 2~3건의 소송이 발생했지만, 배포 후 18개월 동안 0으로 떨어집니다 — 적격 메커니즘과 관련된 법적 추정이 재검토 시도를 억제합니다.

시나리오 2: 약 600개의 침대를 관리하는 병원 그룹

여러 시설을 관리하는 공립 병원 그룹은 연간 수천 건의 문서에 서명해야 합니다: 병원 의사 계약, 임상 연구 프로토콜, 대학 파트너 및 제약 실험실과의 협약. 의료 부문은 특정 규제 제약(HDS — 의료 데이터 호스팅, PGSSI-S)을 부과합니다.

그룹은 의사의 서명(의료 및 법적 책임을 부담)에 대해 TMK 적격을 배포하고 시설 간 환자 데이터 흐름 인증을 위해 TMD 고급을 배포합니다. 두 메커니즘의 결합으로 인쇄, 스캔 및 물리적 아카이빙 비용을 연간 45,000 € 감소시키면서 GDPR 및 HDS 준수를 강화할 수 있습니다. 준수 감시는 이전에 3주의 문서 준비가 필요했지만, 자동 감사 로그 덕분에 4일로 단축됩니다.

시나리오 3: 중견 규모의 인수합병 컨설팅 펌

연간 약 10건의 거래를 지원하는 M&A 전문 펌은 의도 서한(LOI), 강화된 기밀유지 계약, 합의 프로토콜 및 양도 행위를 관리해야 합니다. 거래 가치는 5백만 € ~ 8천만 € 사이입니다. 문서 진정성에 대한 약간의 분쟁도 거래를 수개월 동안 블록할 수 있습니다.

펌은 계약상 실사 단계부터 거래 문서의 전체에 대해 TMK 적격 사용을 의무화함으로써 형식적 분쟁 위험을 제거합니다. 외국 상대방(특히 Brexit 이후 영국 및 미국)은 유럽법이 적용되는 조항 틀에서 eIDAS 적격 서명의 증거 가치를 인정합니다. 평균 문서 마감 시간은 22일에서 8일로 단축되어 마감 일정에서 63 % 이득을 냅니다.

결론

TMD와 TMK는 상호 교환 가능하지 않습니다: 첫 번째는 조직 규모의 데이터 무결성을 인증하고, 두 번째는 eIDAS에서 규정된 최대 증거력으로 서명자의 개인 책임을 부담합니다. 이러한 구분을 이해하는 것은 이제 B2B 환경의 진지한 문서 정책의 전제 조건입니다. 올바른 메커니즘의 선택은 각 문서 유형의 법적 위험 수준과 적용 가능한 분야 제약에 직접 달려 있습니다.

Certyneo는 실제 문서 흐름에 따라 TMD와 TMK를 결합한 디지털 신뢰 전략의 구현에서 당신을 지원합니다. 우리 플랫폼은 두 메커니즘을 모두 지원하며, eIDAS 2.0 요구 사항을 통합하고 기존 IS에 적응합니다. 데모를 요청하거나 Certyneo 가격 페이지에서 우리의 제안을 비교하세요 — 우리의 법률 및 기술 전문가는 당신의 상황을 무료로 감시할 수 있습니다.

Certyneo를 무료로 사용해 보세요

5분 안에 첫 서명 봉투를 전송하세요. 신용카드 없이 월 5건의 무료 봉투를 제공합니다.

무료로 시작하기요금제 보기
모든 게시물

주제 더 알아보기

이 주제와 관련된 참고 자료.

CDI 대 CDD: 법적 및 실무적 차이점CDI 또는 CDD: 두 가지 계약은 고용주와 근로자를 다르게 관장하는 확연히 다른 규칙을 갖고 있습니다. 완전한 준수를 갖춘 계약을 위해 알아야 할 모든 것을 알아보세요.무기한 계약과 기한부 계약: 법적 차이와 실무무기한 근로계약(CDI)과 기한부 근로계약(CDD)은 서로 다른 법적 규칙을 따르며 HR 및 계약 관리에 직접적인 영향을 미칩니다. 실수를 피하기 위해 핵심 차이점을 알아보세요.CDI vs CDD: 법적 및 실무적 차이점CDI와 CDD의 차이점을 이해하는 것은 모든 고용주와 근로자에게 필수적입니다. 법적 규칙, 실무적 제약 및 계약을 효과적으로 관리하기 위한 도구를 알아보세요.CDI vs CDD: 법적 및 실무적 차이점CDI 또는 CDD: 법적 체계가 매우 다른 두 가지 근로 계약. 고용주와 근로자 모두를 위해 이러한 특수성을 이해하는 것이 필수적입니다.

주제 더 알아보기

전자서명을 마스터하기 위한 우리의 완벽한 가이드.

추천 게시물

관련 주제의 게시물로 지식을 심화하세요.

공공 부문의 전자 서명: 2026년 가이드

2020년부터 일정 규모 이상의 공공 조달에서 전자 서명이 의무화되었습니다. 규칙, 필수 수준 및 행정 기관의 규정 준수 방법을 알아보세요.

9 min

지방자치단체를 위한 전자서명: 계약 서명의 현대화

지방자치단체는 행정절차의 디지털화를 가속화하고 있습니다. 전자서명이 어떻게 계약을 보호하고, 처리 시간을 단축하며, 유럽 법적 프레임워크를 준수하는지 알아보세요.

8 min

2026년 법률 사무소를 위한 전자서명

디지털 서명은 2026년 법률 실무를 변화시키고 있습니다. 법적 의무, 필요한 eIDAS 수준 및 변호사를 위한 모범 사례를 알아보세요.

8 min