주요 콘텐츠로 건너뛰기
이미지
보라색 육각형 패턴

eIDAS(Electronic Identification, Authentication, and Trust Services) 규정은 유럽 연합(EU)에서 가장 영향력 있고 포괄적인 법률 중 하나입니다. eIDAS에 따라 모든 EU 시민은 해당 국가의 국가 전자 식별 체계를 사용하여 모든 EU 국가에서 간편하게 전자 서명을 생성할 수 있습니다.

그렇다면 eIDAS는 정확히 무엇일까요? 어떻게 작동될까요? 그리고 무엇보다도 조직은 eIDAS를 관리하기 위해 무엇을 할 수 있을까요?

계속해서 eIDAS의 기본 사항과 eIDAS의 의미, 그리고 안전한 인증 솔루션으로 미래에도 규정을 준수할 수 있는 방법을 알아보십시오.

eIDAS란 무엇입니까?

eIDAS는 어느 EU 국가에서든 전자 거래가 더 안전하고 빠르며 효율적으로 이루어질 수 있도록 법적 제도를 확립한 EU 규정입니다. eIDAS 규정의 목표는 안전한 전자 상거래를 할 수 있는 단일 유럽 시장을 조성하도록 장려하는 것입니다.

사실상 eIDAS가 전자 거래에 관한 최초의 EU 규정은 아닙니다. 1999년 전자서명입법지침(Electronic Signatures Directive)은 전자 서명이 모든 회원국에서 자필 서명과 법적으로 동등하다는 점을 공식 선언했다는 점에서 그 목적이 매우 달랐습니다.

그러나 이 지침 역시 모든 EU 국가가 전자 거래 보안에 관한 자체 규칙을 결정할 수 있는 자유를 주었습니다. 각 국가는 고유한 법적 요건, 데이터 처리 정책 및 트러스트 서비스 인프라를 갖추게 되었지만, 대부분 다른 국가에서는 적용되지 않았습니다.

예를 들어, 한 국가에서 서명된 전자 문서가 다른 국가에서는 동일한 법적 효력을 갖지 못할 수도 있었습니다. 이와 같은 문제로 인해 지역 전체가 단절되었고 전자 식별의 합법성과 타당성에 대한 혼란이 야기되었습니다. 더욱이 국가 간 상거래가 극도로 어려워졌습니다.

EU는 2014년 이 문제를 해결하기로 결정하고 eIDAS를 제정했습니다. 이 법안은 2016년에 완전히 시행되었으며, 이때부터 모든 EU 회원국은 전자 ID, 인증 및 서명에 대한 일관된 표준을 따라야 했습니다.

궁극적으로 eIDAS 프레임워크의 목적은 다음과 같습니다.

  1. 개인과 기업이 국가 전자 식별 체계를 사용하여 온라인에서 공공 서비스를 이용할 수 있도록 보장합니다.
  2. 모든 식별 체계가 어느 국가에서든지 적용되고 전통적인 자필 서명과 동일한 법적 자격을 갖도록 보장하여 트러스트 서비스를 사용할 수 있는 단일 유럽 시장을 조성합니다.

eIDAS 규정이 적용되는 대상은 무엇입니까?

광범위하게 말하면 eIDAS는 다음 대상에 적용됩니다.

  • EU 국가의 시민.
  • EU에 본부를 두고 있거나 다른 EU 조직 및/또는 시민과 거래하는 조직.
  • EU TSP(트러스트 서비스 제공업체)는 공용 네트워크를 통한 EU 거래, 특히 디지털 ID 인증이 중요한 상업적 또는 법적 문제와 관련된 거래를 보호합니다. TSP는 전자 ID, 전자 서명, 전자 도장 또는 디지털 인증서의 생성, 검증, 보존과 관련된 모든 엔터티를 아우릅니다.

다음은 eIDAS가 적용되는 디지털 거래의 일부 목록입니다.

  • 여행 관련 거래.
  • B2B(Business-to-Business) 전자 송장.
  • 투표, 세금 신고 등 정부 서비스.
  • 은행 계약, 투자 및 대출.
  • 웹사이트 인증.
  • 제3자 결제 서비스.

또한 eIDAS 규정은 정부, 상업 및 공공 서비스가 표준 서명 형식과 범유럽 ID를 인정하도록 요구합니다. 즉, 시민의 전자 ID는 모든 EU 회원국에서 동등하게 인정되어야 합니다. 특히, 규정 준수에 대한 부담은 전적으로 소비자 개인이 아닌 TSP에 있습니다.

eIDAS의 이점은 무엇입니까?

전자 ID 및 트러스트 서비스를 도입하면 많은 이점을 얻을 수 있습니다. 유럽연합 집행위원회에 따르면 다음과 같은 이점을 얻을 수 있습니다.

  1. 더 개선된 사용자 경험: eIDAS에서 지원하는 인증 서비스 유형은 소비자가 원활하게 제품을 제공받을 수 있도록 보장합니다. 무엇보다도 eIDAS는 거래 과정에서 고객에게 고수준 보안을 보장하여 신뢰와 만족도를 높입니다.
  2. 보안 강화: eIDAS를 통해 개인은 개인 정보 침해 없이 다양한 온라인 서비스에 편리하게 액세스할 수 있습니다. 기업은 소비자의 개인 데이터를 최대한 주의 깊게 다루고 법적 의무를 준수해야 하는 더 엄격한 데이터 보호 요건을 적용받습니다.
  3. 국가 간 효율성 간소화: eIDAS 덕분에 조직은 국가 간 전자 상거래의 일반적인 문제점이었던 국가에 따라 달라지는 복잡하고 다양한 체계를 다룰 필요가 없습니다. 이제 기업은 어느 EU 회원국에 있든 관계없이 거래를 수행할 수 있습니다.

물론 eIDAS는 사회경제적으로도 긍정적인 영향을 미쳤습니다. 이 규정은 온라인 서비스를 복잡하게 만드는 전자상거래 장벽을 제거하여 디지털 경제 성장을 촉진합니다.

전자 ID란 무엇입니까?

전자 ID, 즉 'eID'는 개인의 디지털 신원을 확인하는 전자 수단입니다. 유럽연합 집행위원회에 따르면 안전한 전자 ID는 디지털 세상의 일상에 필수적입니다.

전자 ID는 이메일 확인, 온라인 쇼핑, 장치 잠금 해제 및 기타 다양한 일상에 사용할 수 있습니다. 또한 개인의 명확한 신원 확인을 보장하고 실제로 자격이 있는 사람에게 올바른 서비스가 제공되게 합니다. 결과적으로 eID는 온라인 뱅킹 및 기타 민감한 디지털 거래에서 중요한 역할을 합니다.

eIDAS 보장 수준

'보장 수준'이라는 용어는 개인이 주장하는 신원의 정확성을 서비스 제공업체가 얼마나 확신할 수 있는지를 나타냅니다. 즉, eID를 사용하여 온라인 서비스에 액세스할 때 개인이 주장하는 신원의 정확성에 대해 확신하는 정도를 말합니다.

eIDAS에서는 eID 체계를 세 가지 보장 수준에 따라 분류해야 합니다.

  1. 낮음: 이 eID 체계는 등록 과정에서 신원을 거의 확인하지 않고 비밀번호와 같은 간단한 인증을 사용합니다.
  2. 기본: 이 체계는 등록 과정에서 추가 확인과 함께 2단계 인증을 사용합니다.
  3. 고수준: 최고 수준의 보안 보장이며 종합적인 신원 확인과 함께 복잡한 다중 인증 메커니즘을 사용합니다.

세 수준 모두 기본적으로 전자 ID를 확인하는 프로세스인 인증에 크게 의존합니다. 여기에는 실제 당사자만이 공유할 수 있는 개인 또는 엔터티 정보인 관련 신원 데이터를 수집하는 과정이 필요합니다. 일반적으로 인증 방법은 다음과 같은 세 가지 신원 증명 요소를 사용합니다.

  1. 지식 기반 인증: 서명자는 비밀번호 또는 코드와 같이 자신만이 알 수 있는 정보를 제공합니다.
  2. 소유 기반 인증: 서명자는 신분증이 또는 스마트 카드와 같이 자신만이 갖고 있는 것을 제공합니다.
  3. 생체 인식 기반 인증: 서명자는 지문 또는 얼굴 인식 등 신체적 특징을 통해 확인받습니다.

특히 eIDAS 규정은 각 보장 수준을 충족하는 데 필요한 기술 또는 인증 방법을 명시하지 않습니다. 이것이 바로 EU 국가들이 자체 eID 시스템을 개발하는 이유입니다. 각 국가는 eIDAS 원칙을 기반으로 하지만 고유한 기술 환경을 반영하여 시스템을 자유롭게 설계할 수 있습니다.

2022년 연구에서는 EU 회원국들이 자체 체계를 수립하는 방법을 살펴봤습니다. 결과는 다음과 같습니다.

  • 25개국의 eID 체계는 고수준 보안 보장을 지원합니다.
  • 20개국은 기본 보안 보장을 지원합니다.
  • 12개국은 저수준 보안 보장을 지원합니다.

보시다시피 EU는 안전한 전자 ID의 중요성을 강조하면서 고수준 보안 보장을 지향합니다.

eIDAS 트러스트 서비스란 무엇입니까?

트러스트 서비스는 전자 거래를 보호하기 위한 광범위한 인증 및 서명 활동을 의미합니다. 가장 일반적인 트러스트 서비스에는 다음이 있습니다.

  • 인증서: 누군가의 신원을 확인하는 한 가지 방법은 제3자 기관을 통해 디지털 인증서를 발급받는 것입니다. 간단히 말해서 인증서는 공개 키 암호화를 통해 장치, 서버, 사용자 또는 엔터티의 진위를 증명하는 파일입니다. 인증서에는 인증서 보유자의 공개 키 사본이 필요합니다. 이 공개 키 사본의 진위를 확인하기 위해서는 해당 공개 키가 대응하는 개인 키와 일치해야 합니다.
  • 전자 타임 스탬프: 타임 스탬프는 날짜 및 시간을 문서, 문서의 서명 및 기타 정보에 전자 방식 및 암호화 방식으로 결합하여 특정 시간에 그 실체를 인증하는 프로세스입니다. 날짜와 시간의 정확성은 트러스트 서비스 제공업체가 보장하며 제3자가 침해할 수 없습니다. 타임 스탬프가 법적으로 중요한 이유에는 여러 가지가 있지만, 타임 스탬프는 계약상 합의에 대해 분쟁이 있을 때 특히 유용합니다.
  • 전자 서명 및 도장: 전자 서명은 자필 서명과 마찬가지로 법적 문서의 진위를 증명하고 해당 문서의 조항에 구속된다는 의도를 확고히 하기 위한 방법입니다. 이와 대조적으로 전자 도장은 한 사람이 아닌 전체 조직을 대표합니다.
  • 디지털 서명: 디지털 서명은 디지털 인증서와 개인 서명 키를 사용하여 생성되는 일종의 전자 서명입니다. 디지털 서명은 변조 방지 기능이 있으므로, 문서가 서명된 후 변경되지 않도록 보장합니다.

위의 서비스를 지원하는 모든 조직은 트러스트 서비스 제공업체로 간주되며 eIDAS 규정을 준수해야 합니다.

eIDAS에 따른 전자 서명 유형

eIDAS는 서비스 제공업체가 제공할 수 있는 전자 서명을 다음과 같이 세 가지 유형으로 정의합니다.

1. 단순 전자 서명

유럽연합 집행위원회는 단순 전자 서명을 세 가지 서명 중 가장 기본적인 서명으로 간주합니다. 단순 전자 서명은 '전자 형식의 다른 데이터에 첨부되거나 논리적으로 연결되어 있고 서명자가 서명하는 데 사용되는 전자 형식의 데이터'로 정의됩니다. 본질적으로 전자 문서에 이름을 적는 것처럼 간단한 일도 단순 전자 서명에 해당할 수 있습니다.

2. 고급 전자 서명

고급 전자 서명에는 더욱 정확한 요건이 있습니다. 예를 들어, 다음과 같아야 합니다.

 

  • 서명자와 고유하게 연결되며 서명자를 식별할 수 있음
  • 서명자가 계속 제어할 수 있는 방식으로 생성됨
  • 이후 변경 사항을 감지할 수 있도록 문서에 연결됨

일반적으로 고급 전자 서명은 디지털 인증서와 암호화 키를 사용하여 생성되므로, 디지털 서명으로 간주할 수도 있습니다. 그러나 생체 인식, 액세스 코드 및 기타 전자 수단을 사용할 수도 있습니다.

 

3. 공인 전자 서명

세 가지 서명 중 가장 정교한 서명인 공인 전자 서명은 최고 수준의 보안을 보장합니다. 그러나 다음의 두 가지 요건을 추가로 고려해야 합니다.

  1. 공인 전자 서명은 QSCD(Qualified Signature Creation Device)를 사용해야만 생성할 수 있습니다. QSCD는 eIDAS 인증 프로세스를 거친 HSM(하드웨어 보안 모듈)과 같은 일종의 암호화 하드웨어입니다.
  2. 공인 서명은 공인 인증서를 기반으로 해야 합니다. eIDAS에 따라 공인 인증서는 일반적인 디지털 인증서보다 더 엄격한 요건을 따릅니다. 또한 Entrust와 같은 QSTP(공인 트러스트 서비스 제공업체)만 발행할 수 있습니다. QSTP는 국가 관할 기관의 감사를 받고 자격을 부여받은 조직으로, EU의 Trusted List에 등재되어 있습니다.

Entrust 솔루션으로 eIDAS 준수 강화

Entrust는 규정 준수를 다루는 일이 쉽지 않으며 eIDAS 규정도 다르지 않다는 것을 잘 알고 있습니다. EU 조직이든 트러스트 서비스 제공업체이든, 거래가 발생하는 장소와 시간과 관계없이 소비자에게 안전하고 원활한 경험을 제공하기를 바랄 것입니다.

EU 조직: Entrust를 통한 고급 및 공인 서명/도장 생성

Entrust는 Cloud Signature Consortium의 창립 회원이자 전 세계적으로 신뢰받는 CA(Certification Authority)이고 Adobe Approved Trust List의 회원이며 EU eIDAS 공인 트러스트 서비스 제공업체입니다. Entrust는 EU 조직이 eIDAS 고급 및 공인 서명을 기반으로 전자 서명 서비스를 설정할 수 있도록 지원합니다.

Entrust의 서명 포털을 확인하고 signhost.com에서 무료로 사용해 보시기 바랍니다.

트러스트 서비스 제공업체: eIDAS 트러스트 서비스 구축

트러스트 서비스를 실행하려면 강력한 신뢰 루트가 필요합니다. Entrust는 TSP가 Entrust 서명 활성화 모듈과 결합된 nShield HSM을 통해 eIDAS 인증 QSCD(Qualified Signature Creation Device)를 배포할 수 있도록 지원합니다.

Entrust의 HSM을 통해 TSP는 신뢰를 극대화하고 국가 간에 법적 구속력이 있는 거래를 지원하는 동시에 보안도 강화할 수 있습니다. 서비스 제공업체는 nShield HSM을 활용하여 eIDAS 준수 솔루션인 디지털 증명서, 타임 스탬프 또는 디지털 서명을 발급할 수 있습니다.

Entrust는 eIDAS 준수 디지털 서명 생성을 위한 디지털 서명 엔진도 제공할 수 있습니다. Entrust PKI 솔루션Entrust ID 및 액세스 관리 솔루션을 결합하면 자체 서명 서비스를 설정하는 데 필요한 모든 기능을 갖출 수 있습니다.

eIDAS 규정 준수에 관해 더 자세히 알아보고 싶으십니까? 지금 바로 전자책을 다운로드하십시오.