eIDAS 1에서 eIDAS 2로의 전환: 2025년 전자서명에 미치는 영향

2024년 5월 20일, eIDAS 2라고 불리는 규정 (EU) 2024/1183이 유럽연합 공식저널에 게재되어 규정 제910/2014(eIDAS 1)를 단계적으로 폐지하고 있습니다. 이 문안은 2016년 이후 유럽의 디지털 신원 및 전자서명에 대한 가장 구조적인 개혁을 나타냅니다. 계약 워크플로우에서 전자서명 솔루션을 사용하는 프랑스 기업들의 경우, 이 전환은 단순한 형식적 절차가 아닙니다. 이는 2026년 이후까지 지속되는 기술적, 법적 및 조직적 조정을 포함합니다. eIDAS 1에서 eIDAS 2로의 전환과 2025년 전자서명에 미치는 영향을 이해하는 것은 법무, IT 및 인사 담당 임원진의 우선순위가 되었습니다. 본 문서는 규정의 기본적인 발전, 정확한 전환 일정 및 규정준수 상태를 유지하기 위해 취해야 할 구체적인 조치를 설명합니다.

eIDAS 2 규정이 근본적으로 변경하는 사항

2014년 규정에서 2024년 전면 개정까지: 개정이 필요했던 이유

eIDAS 1은 유럽연합 내 전자서명의 상호 인정 기초를 마련했습니다. 세 가지 계층 구조 — 단순(SES), 고급(AdES) 및 정규(QES) — 는 신뢰 서비스 제공자 목록(TSL)에 기반하여 서명의 증명력 가치를 구조화했습니다. 그러나 10년 동안 두 가지 주요 격차가 나타났습니다.

첫째, 원래 규정은 공공기관과의 관계(G2B, G2C)에 주로 적용되었습니다. 민간 거래(B2B, B2C)에서 직접적인 의무를 만들지 않아 각 회원국이 이질적으로 메워야 하는 규범적 공백을 남겼습니다. 둘째, 디지털 서비스의 증대 — 모바일 애플리케이션, 오픈뱅킹, 원격의료 — 대륙 차원에서 휴대 가능하고 상호운용 가능한 디지털 신원 시스템의 부재를 드러냈습니다.

eIDAS 2는 유럽 디지털 신원 지갑(EU Digital Identity Wallet, EUDIW)을 도입하고 신뢰 서비스의 범위를 새로운 사용 사례로 확대함으로써 이 두 가지 과제에 대응합니다: 정규 전자 보관, 정규 속성 인증, 정규 전자 레지스트리(인증된 블록체인 애플리케이션 포함).

정규 신뢰 서비스의 새로운 카테고리

eIDAS 2 규정은 정규 신뢰 서비스(제3조 및 개정된 부속서 IV)의 목록을 확대합니다. eIDAS 1에서 이미 인정된 서명, 봉인 및 정규 타임스탬프 외에도, 다음이 이제 정규화됩니다:

• 정규 전자 보관 서비스(제34조 bis): 서명된 문서의 무결성과 가독성을 장기간에 걸쳐 보존할 의무, 서비스 제공자(QTSP)에 대한 강화된 요구사항
• 정규 원격 서명 생성 장치 관리 서비스(QRCD): 클라우드 HSM(Hardware Security Module)을 통한 원격 서명 솔루션의 강화된 규제
• 정규 속성 인증: 신뢰 제3자가 개인의 전체 신원을 공개하지 않고 그 속성(예: 변호사 자격, 의사 지위)을 인증할 수 있는 메커니즘
• 정규 전자 레지스트리: 엄격한 감사 가능성 및 복원력 조건 하에서 분산 원장의 인정

전자서명 솔루션 사용자의 경우, 이 확대는 시장에서 이용 가능한 정규 신뢰 서비스가 다양화될 것을 의미하며, 서비스 제공자(QTSP) 선택 기준이 이러한 새로운 역량을 통합해야 합니다.

EUDIW: 서명 인프라의 디지털 신원 지갑

eIDAS 2의 가장 눈에 띄는 혁신은 EUDIW입니다. 각 회원국은 2026년 11월 26일까지(제5조 bis에 따른 국가 준수 기한) 모든 시민 및 주민을 위해 무료이고 모든 다른 회원국과 상호운용 가능한 디지털 신원 지갑을 제공해야 합니다. 이 지갑은 다음을 가능하게 합니다:

• 제3의 신원 확인 서비스 제공자를 사용하지 않고 높은 수준의 확인(LoA High)으로 사용자를 인증
• 지갑에서 직접 정규 가치의 전자서명(QES)으로 문서에 서명
• RGPD의 최소화 원칙을 준수하면서 선택적 신원 속성 공유(selective disclosure)

기업의 경우, EUDIW는 정규 서명 전에 신원 확인 절차를 이론적으로 단순화하여 비디오 신원 확인이나 직면 신원 확인의 마찰을 제거합니다. 실제로 영향은 국가 배포 속도에 달려 있습니다 — 프랑스는 2025년에 "France Identité" 프로그램 프레임워크 내에서 파일럿 시험을 시작했습니다.

eIDAS 1에서 eIDAS 2로의 전환 정확한 일정

알아야 할 규제 마일스톤

규정 2024/1183은 2024년 5월 20일에 발효했지만, 그 적용은 단계적입니다. 다음은 주요 기한입니다:

| 날짜 | 행사 | |------|----------| | 2024년 5월 20일 | JOUE 게재, 공식 발효 | | 2024년 11월 20일 | 유럽위원회의 실행법 채택 기한(EUDIW의 기술 사양) | | 2025년 말 | ETSI 개정 표준 발행(EN 319 411-1/2, EN 319 401) eIDAS 2 요구사항 통합 | | 2026년 5월 26일 | 새로운 범주의 정규 서비스에 대한 회원국 준수 기한 | | 2026년 11월 26일 | 각 회원국이 EUDIW를 의무적으로 제공 | | 2027-2028년 | 국가 신뢰 목록(TSL)의 완전한 개정 및 새로운 QTSP의 인증 |

eIDAS 1은 유효하며 그 규제에 따라 발행된 서명은 완전한 법적 가치를 유지합니다. 기존 문서를 다시 서명할 의무가 없습니다. 반면에, 정규 신뢰 서비스 제공자는 2027년까지 새로운 기술 표준에 따라 인증을 갱신해야 합니다.

변경되지 않는 사항 및 주의해야 할 사항

연속성은 전환의 근본적인 원칙입니다. 세 가지 수준의 서명(SES, AdES, QES)은 정의가 변경되지 않은 채 유지됩니다. QES에 첨부된 수기 서명과의 동등성 추정(eIDAS 1의 제25조, eIDAS 2의 제27조에 재수록)은 계속 유효합니다. 현재 전자서명의 증명력은 문제가 되지 않습니다.

대신에 주의해야 할 사항: 2025-2026년 동안 유럽위원회가 게재한 실행법은 EUDIW 및 새로운 서비스 범주의 정확한 기술 사양을 정할 것입니다. 이러한 2단계 텍스트는 통합자와 소프트웨어 편집자에게 상당한 실무적 중요성을 갖습니다. 전자서명을 HR 또는 법적 프로세스에 사용하는 기업의 경우, 서비스 제공자에게 eIDAS 2 준수 로드맵을 요청하는 것이 좋습니다.

기업 및 서명 솔루션에 대한 구체적인 영향

우선적으로 영향을 받는 워크플로우는 무엇입니까?

eIDAS 1에서 eIDAS 2로의 전환은 사용되는 서명 수준에 따라 동일한 영향을 미치지 않습니다. 기업의 경우 세 가지 상황이 구별됩니다:

단순 전자서명(SES): 저가치 보정안, 수령 확인, 내부 양식에 사용됩니다. 즉시 업데이트 의무가 없습니다. 증명력 규칙은 민법(제1366-1367조)에 의해 규제되며 직접 eIDAS의 대상이 아닙니다.

고급 전자서명(AdES/AdESQC): B2B 솔루션을 상업 계약, 디지털화된 근로 계약 또는 부동산 행위에 사용하는 기업은 서비스 제공자가 eIDAS 2를 위해 개정된 버전에서 ETSI EN 319 132(XAdES), EN 319 122(CAdES) 및 EN 319 142(PAdES) 표준과의 준수를 유지하는지 확인해야 합니다. 이러한 표준은 2025년 말까지 ETSI에 의해 발행될 것입니다.

정규 전자서명(QES): 정규 서비스 제공자(QTSP)는 새로운 eIDAS 2 인증으로 이동해야 합니다. 과도기는 합리적인 기간(2027년까지)을 부여하지만, 2025년에 시작된 입찰서는 선택 기준에 eIDAS 2 준수 조항을 포함해야 합니다. 사용 가능한 옵션을 비교하는 조직의 경우, 전자서명 솔루션 비교를 통해 이 주제에 대한 편집자의 성숙도를 평가할 수 있습니다.

정규 신뢰 서비스 제공자(QTSP)에 대한 새로운 요구사항

eIDAS 2는 QTSP에 적용되는 요구사항을 세 가지 주요 측면에서 강화합니다:

1. 시스템 보안: QTSP에 대한 NIS2(지침 (EU) 2022/2555) 필수 정렬로, 이제 필수 개체로 분류됩니다. 이는 24시간 내 사건 통보, 연간 보안 감사 및 비즈니스 연속성 계획 구현의 의무로 변환됩니다.

1. 강화된 책임: eIDAS 2의 제13조는 QTSP에 대한 책임 체계를 확대합니다. 입증된 위반의 경우, 증명 부담이 역전됩니다: 서비스 제공자는 과실을 범하지 않았음을 입증해야 하며, 반대가 아닙니다.

1. 의무적 상호운용성: QTSP는 EUDIW와의 네이티브 통합을 가능하게 하는 표준화된 API를 노출해야 합니다. 이 요구사항은 개발자를 위한 사용 가능한 통합 인터페이스의 현대화를 가속화할 것입니다.

이 맥락에서 서비스 제공자 변경을 고려하는 기업의 경우, DocuSign 또는 YouSign에서 eIDAS 2 준수 솔루션으로 마이그레이션하는 것은 2027년 긴급 상황이 아닌 지금 바로 예상해야 할 접근 방식입니다.

개인 데이터 및 eIDAS 2: RGPD와의 조화

EUDIW는 개인 신원 데이터를 수집하고 처리합니다. eIDAS 2 규정은 명시적으로(고려사항 11 및 제5조 bis §14) 전체 장치가 RGPD(규정 (EU) 2016/679)를 준수해야 한다고 규정합니다. 여러 주의 포인트:

• 선택적 공개: 지갑은 사용자가 거래에 필요한 속성만 공유할 수 있어야 합니다(최소화 원칙, RGPD 제5(1)(c)). 계약 서명의 경우, 완전한 생년월일을 공개하지 않고 성인 여부 확인만 공유될 수 있습니다.
• EU 외 이전: EUDIW 프레임워크 내에서 처리된 신원 데이터는 적절한 보증(RGPD 제46조)을 통해서만 EEA 외부로 이전될 수 있습니다. 미국 클라우드 인프라를 사용하는 서비스 제공자는 규정준수를 문서화해야 합니다.
• 서명 로그 보관: 서명 증거의 보관은 문서의 성질에 비례하는 보존 기간을 준수해야 합니다. 새로운 eIDAS 2 정규 보관 서비스는 이 요구사항을 충족하기 위한 기술적 프레임워크를 제공합니다.

국제 근로계약을 관리하는 기업, 특히 서명자가 EU 외부에 거주하는 경우, 이 RGPD/eIDAS 2 조화로 특별히 영향을 받습니다.

eIDAS 1에서 eIDAS 2로의 전환에 적용되는 법적 프레임워크

참고 텍스트

전환은 숙달이 필수적인 텍스트의 적층에 기반합니다:

유럽 수준에서:

• 규정 (EU) 제910/2014(eIDAS 1): eIDAS 2에 의한 단계적 폐지까지 계속 유효합니다. 세 가지 서명 수준(SES, AdES, QES)을 정의하고 QTSP 체계를 설정합니다.
• 규정 (EU) 2024/1183(eIDAS 2): 2024년 5월 20일 발효. eIDAS 1을 실질적으로 수정하지만 즉시 폐지하지는 않습니다. EUDIW 관련 규정은 실행법 발행 시 적용됩니다.
• 규정 (EU) 2016/679 (RGPD): EUDIW 프레임워크 내 신원 데이터 처리 및 서명 프로세스에 완전히 적용됩니다. eIDAS 2의 제5조 bis §14는 이 종속성을 명시적으로 상기합니다.
• 지침 (EU) 2022/2555 (NIS2): QTSP에 강화된 사이버보안 의무를 부과하며, 이제 필수 개체로 분류됩니다. 2024년 6월 20일 칙령 제2024-821호에 의해 프랑스 법으로 전치되었습니다(법령 적용 진행 중).

프랑스 수준에서:

• 민법, 제1366 및 1367조: 전자 형식의 쓰기의 증명력 가치의 기초. 제1366조는 조건부 전자 서면과 종이의 동등성을 설정합니다. 제1367조는 정규 서명(QES)에 수기 서명과 동등한 증명력을 부여합니다.
• 2017년 9월 28일 칙령 제2017-1416호: 사적 행위에서 전자서명 사용 조건을 명확히 합니다. 과도 기간 동안 계속 적용됩니다.
• 일반 보안 참조(RGS) v2: 프랑스 행정부의 경우, RGS는 ANSSI가 참조한 솔루션의 사용을 의무화합니다. eIDAS 2 통합을 위한 업데이트는 2026년 중에 예상됩니다.

적용 가능한 ETSI 기술 표준

ETSI 표준은 규범적 계층의 3단계를 구성합니다. 현재 적용되는 버전:

• EN 319 132-1/2: XAdES 형식(고급 XML 서명)
• EN 319 122-1/2: CAdES 형식(고급 CMS 서명)
• EN 319 142-1/2: PAdES 형식(고급 PDF 서명)
• EN 319 401: 신뢰 서비스 제공자에 대한 일반 요구사항
• EN 319 411-1/2: 정규 인증서를 발행하는 AC에 대한 요구사항

이러한 표준은 eIDAS 2 신규 요구사항을 통합하기 위해 2025년 말까지 개정될 것입니다. QTSP와의 계약에는 추가 비용 없이 개정된 버전으로의 업데이트 조항이 포함되어야 합니다.

비준수의 법적 위험

2027년 이후 더 이상 인증되지 않은 서비스 제공자가 발행한 서명은 이미 서명된 문서에 대해 자동으로 법적 가치를 잃지는 않겠지만, 더 이상 수기 서명과의 동등성에 대한 법적 추정의 이점을 받지 못할 것입니다(eIDAS 제25조). 서명자의 무결성 및 신원 증명 부담은 법적 분쟁의 경우 기업에 전적으로 달려 있을 것입니다. 이 증명 위험은 특히 장시간의 청구 시효가 있는 행위에 민감합니다(상사 사항 5년, 부동산 실권 30년).

사용 사례: 조직들이 eIDAS 2 전환을 어떻게 예상하는지

시나리오 1: 25명 협력자의 변호사 사무실이 문서 준수를 합리화합니다

약 25명의 협력자를 둔 기업법 전문 변호사 사무실, 위임장, 양도 행위 및 합의 프로토콜의 서명 활동이 많았던 곳은 2024년까지 전체 플로우에 고급 서명(AdES)을 사용하고 있었습니다. eIDAS 2 발표에서, 사무실은 새로운 법무사 협의회 권장사항에 따라 QES가 필요한 것으로 확인되도록 연간 1,200개 서명 문서의 감사를 실현했습니다.

결과: 행위의 15%(연간 약 180건)가 정규 서명으로 재분류되어, 이러한 문서의 증명 체계를 강화할 수 있었습니다. 사무실은 서명 편집자와 협상하여 실행법 발행 시 eIDAS 2 준수를 보장하는 조항을 추가 비용 없이 확보했습니다. 서명자 신원 확인과 관련된 행정 시간은 2026년 계획된 EUDIW 통합 예상으로 40% 감소했습니다.

시나리오 2: 150명 직원의 중소 산업 기업이 공급업체 계약 체인을 보호합니다

연간 약 350개의 공급업체 계약 — 구매 주문, NDA, 프레임워크 계약 — 을 관리하는 중소 산업 기업은 내부 및 외부 플로우를 위해 두 가지 별도의 서명 솔루션으로 작동하여 감사 증거의 단편화를 만들었습니다. eIDAS 2 전환의 맥락과 새로운 정규 보관 요구사항에서, IT부서는 플랫폼을 통합하기로 결정했습니다.

정규 전자 보관(향후 eIDAS 2 범주)을 통합한 단일 솔루션으로 마이그레이션하여, 중소기업은 보안 저장소 비용을 30% 감소시키고 규정준수 디지털 금고에서 서명 증거를 통합했습니다. 전체 문서 체인은 이제 공급업체 제어 중에 2분 이내에 감사 가능합니다 — 자동차 산업의 주문 제공자로부터의 증가하는 요구사항입니다.

시나리오 3: 약 600개 병상의 병원 그룹이 EUDIW 통합을 준비합니다

공공 병원 그룹은 의료 계약 및 공공 조달 시장에 대해 정규 전자서명을 사용했으며, 공공 조달 코드의 의무에 부합합니다. eIDAS 2를 통해, IT 서비스는 두 가지 우선적 문제를 확인했습니다: 시설에서 개입하는 자유 의료 의사를 위한 향후 "France Identité" 지갑 통합 및 QTSP의 NIS2 준수.

그룹은 2025-2028 디지털 방향 계획에 특정 "eIDAS 2 준수" 몫을 기록했습니다(기술 마이그레이션 및 담당자 교육 비용 예상액 45,000유로). 목표는 11월 2026년 국가 배포 예상 시 EUDIW를 통한 서명을 수용할 수 있는 상태가 되는 것이며, 사용 가능한 부문 기준에 따르면 자유 보건 전문가와의 계약 시간을 평균 3일에서 4시간 미만으로 단축하는 것입니다.

결론

eIDAS 1에서 eIDAS 2로의 전환은 단절이 아니라 2027년까지 지속되는 정확한 일정을 갖춘 구조화된 진화입니다. 전자서명에 대한 영향은 실질적입니다 — 정규 서비스의 확대, EUDIW의 도래, QTSP에 대한 NIS2 요구사항 강화 — 하지만 지금 예상된다면 관리 가능합니다. 지금 조치를 취하는 기업은 워크플로우를 감사하고, 서비스 제공자와의 계약을 보호하고, 규제 긴급성의 압력 없이 팀을 교육할 수 있는 여유가 있습니다.

Certyneo는 명확한 eIDAS 2 준수 로드맵, 최신 상태로 유지되는 서명 형식 및 EUDIW 통합 준비가 된 아키텍처를 통해 기업이 이 전환에서 동반합니다. 이 새로운 규제 프레임워크에서 서명 플로우를 보호할 준비가 되셨습니까? Certyneo에서 제안을 발견하고 무료로 시작하세요.