보라색 육각형 패턴
학습

eIDAS 규정이란 무엇입니까?

eIDAS(Electronic Identification, Authentication, and Trust Services) 규정은 유럽 연합(EU)에서 가장 영향력 있고 포괄적인 법률 중 하나입니다. eIDAS에 따라 모든 EU 시민은 해당 국가의 국가 전자 식별 체계를 사용하여 모든 EU 국가에서 간편하게 전자 서명을 생성할 수 있습니다.

그렇다면 eIDAS는 정확히 무엇일까요? 어떻게 작동될까요? 그리고 무엇보다도 조직은 eIDAS를 관리하기 위해 무엇을 할 수 있을까요?

계속해서 eIDAS의 기본 사항과 eIDAS의 의미, 그리고 안전한 인증 솔루션으로 미래에도 규정을 준수할 수 있는 방법을 알아보십시오.

eIDAS란 무엇입니까?

eIDAS는 어느 EU 국가에서든 전자 거래가 더 안전하고 빠르며 효율적으로 이루어질 수 있도록 법적 제도를 확립한 EU 규정입니다. eIDAS 규정의 목표는 안전한 전자 상거래를 할 수 있는 단일 유럽 시장을 조성하도록 장려하는 것입니다.

사실상 eIDAS가 전자 거래에 관한 최초의 EU 규정은 아닙니다. 1999년 전자서명입법지침(Electronic Signatures Directive)은 전자 서명이 모든 회원국에서 자필 서명과 법적으로 동등하다는 점을 공식 선언했다는 점에서 그 목적이 매우 달랐습니다.

그러나 이 지침 역시 모든 EU 국가가 전자 거래 보안에 관한 자체 규칙을 결정할 수 있는 자유를 주었습니다. 각 국가는 고유한 법적 요건, 데이터 처리 정책 및 트러스트 서비스 인프라를 갖추게 되었지만, 대부분 다른 국가에서는 적용되지 않았습니다.

예를 들어, 한 국가에서 서명된 전자 문서가 다른 국가에서는 동일한 법적 효력을 갖지 못할 수도 있었습니다. 이와 같은 문제로 인해 지역 전체가 단절되었고 전자 식별의 합법성과 타당성에 대한 혼란이 야기되었습니다. 더욱이 국가 간 상거래가 극도로 어려워졌습니다.

EU는 2014년 이 문제를 해결하기로 결정하고 eIDAS를 제정했습니다. 이 법안은 2016년에 완전히 시행되었으며, 이때부터 모든 EU 회원국은 전자 ID, 인증 및 서명에 대한 일관된 표준을 따라야 했습니다.

궁극적으로 eIDAS 프레임워크의 목적은 다음과 같습니다.

  1. 개인과 기업이 국가 전자 식별 체계를 사용하여 온라인에서 공공 서비스를 이용할 수 있도록 보장합니다.
  2. 모든 식별 체계가 어느 국가에서든지 적용되고 전통적인 자필 서명과 동일한 법적 자격을 갖도록 보장하여 트러스트 서비스를 사용할 수 있는 단일 유럽 시장을 조성합니다.

eIDAS 규정이 적용되는 대상은 무엇입니까?

광범위하게 말하면 eIDAS는 다음 대상에 적용됩니다.

  • EU 국가의 시민.
  • EU에 본부를 두고 있거나 다른 EU 조직 및/또는 시민과 거래하는 조직.
  • EU TSP(트러스트 서비스 제공업체)는 공용 네트워크를 통한 EU 거래, 특히 디지털 ID 인증이 중요한 상업적 또는 법적 문제와 관련된 거래를 보호합니다. TSP는 전자 ID, 전자 서명, 전자 도장 또는 디지털 인증서의 생성, 검증, 보존과 관련된 모든 엔터티를 아우릅니다.

다음은 eIDAS가 적용되는 디지털 거래의 일부 목록입니다.

  • 여행 관련 거래.
  • B2B(Business-to-Business) 전자 송장.
  • 투표, 세금 신고 등 정부 서비스.
  • 은행 계약, 투자 및 대출.
  • 웹사이트 인증.
  • 제3자 결제 서비스.

또한 eIDAS 규정은 정부, 상업 및 공공 서비스가 표준 서명 형식과 범유럽 ID를 인정하도록 요구합니다. 즉, 시민의 전자 ID는 모든 EU 회원국에서 동등하게 인정되어야 합니다. 특히, 규정 준수에 대한 부담은 전적으로 소비자 개인이 아닌 TSP에 있습니다.

eIDAS의 이점은 무엇입니까?

전자 ID 및 트러스트 서비스를 도입하면 많은 이점을 얻을 수 있습니다. 유럽연합 집행위원회에 따르면 다음과 같은 이점을 얻을 수 있습니다.

  1. 더 개선된 사용자 경험: eIDAS에서 지원하는 인증 서비스 유형은 소비자가 원활하게 제품을 제공받을 수 있도록 보장합니다. 무엇보다도 eIDAS는 거래 과정에서 고객에게 고수준 보안을 보장하여 신뢰와 만족도를 높입니다.
  2. 보안 강화: eIDAS를 통해 개인은 개인 정보 침해 없이 다양한 온라인 서비스에 편리하게 액세스할 수 있습니다. 기업은 소비자의 개인 데이터를 최대한 주의 깊게 다루고 법적 의무를 준수해야 하는 더 엄격한 데이터 보호 요건을 적용받습니다.
  3. 국가 간 효율성 간소화: eIDAS 덕분에 조직은 국가 간 전자 상거래의 일반적인 문제점이었던 국가에 따라 달라지는 복잡하고 다양한 체계를 다룰 필요가 없습니다. 이제 기업은 어느 EU 회원국에 있든 관계없이 거래를 수행할 수 있습니다.

물론 eIDAS는 사회경제적으로도 긍정적인 영향을 미쳤습니다. 이 규정은 온라인 서비스를 복잡하게 만드는 전자상거래 장벽을 제거하여 디지털 경제 성장을 촉진합니다.

2024년 4월, 유럽 위원회는 eIDAS 규정을 업데이트했습니다. eIDAS 2 또는 eIDAS 2.0으로 일반적으로 불리는 이 업데이트는 몇 가지 새로운 트러스트 서비스를 도입하고 EU 디지털 ID 지갑 배포를 위한 강력한 프레임워크를 제공합니다. eIDAS 2에 대해 자세히 알아보려면 여기를 클릭하십시오.

eIDAS 규정 준수에 관해 더 자세히 알아보고 싶으십니까? 지금 바로 전자책을 다운로드하십시오.

다운로드

전자 ID란 무엇입니까?

전자 ID, 즉 'eID'는 개인의 디지털 신원을 확인하는 전자 수단입니다. 유럽연합 집행위원회에 따르면 안전한 전자 ID는 디지털 세상의 일상에 필수적입니다.

전자 ID는 이메일 확인, 온라인 쇼핑, 장치 잠금 해제 및 기타 다양한 일상에 사용할 수 있습니다. 또한 개인의 명확한 신원 확인을 보장하고 실제로 자격이 있는 사람에게 올바른 서비스가 제공되게 합니다. 결과적으로 eID는 온라인 뱅킹 및 기타 민감한 디지털 거래에서 중요한 역할을 합니다.

eIDAS 보장 수준

'보장 수준'이라는 용어는 개인이 주장하는 신원의 정확성을 서비스 제공업체가 얼마나 확신할 수 있는지를 나타냅니다. 즉, eID를 사용하여 온라인 서비스에 액세스할 때 개인이 주장하는 신원의 정확성에 대해 확신하는 정도를 말합니다.

eIDAS에서는 eID 체계를 세 가지 보장 수준에 따라 분류해야 합니다.

  1. 낮음: 이 수준의 식별은 해당 사람이 주장하는 본인이 맞다는 것을 약간 확신할 수 있는 정도의 신뢰만 제공합니다. 하지만 이 수준에서는 누군가가 ID 정보를 오용하거나 변경할 위험을 줄이기 위해 몇 가지 규칙과 통제가 필요합니다.
  2. 기본: 이 수준의 식별은 해당 사람이 주장하는 본인이 맞다는 것에 대한 상당한 확신을 제공합니다. 또한 이 수준에서는 누군가가 신원 정보를 오용하거나 변경할 위험을 크게 줄이는 특정 기술 규칙과 제어가 필요합니다.
  3. 고수준: 이 수준의 식별은 해당 사람이 주장하는 본인이 맞다는 것에 대한 매우 높은 정도의 확신을 제공합니다. 엄격한 기술 규칙과 통제를 통해 누구도 신원 정보를 오용하거나 변경할 수 없도록 방지합니다.

세 수준 모두 기본적으로 전자 ID를 확인하는 프로세스인 인증에 크게 의존합니다. 여기에는 실제 당사자만이 공유할 수 있는 개인 또는 엔터티 정보인 관련 신원 데이터를 수집하는 과정이 필요합니다. 일반적으로 인증 방법은 다음과 같은 세 가지 신원 증명 요소를 사용합니다.

  1. 지식 기반 인증: 서명자는 비밀번호 또는 코드와 같이 자신만이 알 수 있는 정보를 제공합니다.
  2. 소유 기반 인증: 서명자는 신분증이 또는 스마트 카드와 같이 자신만이 갖고 있는 것을 제공합니다.
  3. 생체 인식 기반 인증: 서명자는 지문 또는 얼굴 인식 등 신체적 특징을 통해 확인받습니다.

특히 eIDAS 규정은 각 보장 수준을 충족하는 데 필요한 기술 또는 인증 방법을 명시하지 않습니다. 이것이 바로 EU 국가들이 자체 eID 시스템을 개발하는 이유입니다. 각 국가는 eIDAS 원칙을 기반으로 하지만 고유한 기술 환경을 반영하여 시스템을 자유롭게 설계할 수 있습니다.

2022년 연구에서는 EU 회원국들이 자체 체계를 수립하는 방법을 살펴봤습니다. 결과는 다음과 같습니다.

  • 25개국의 eID 체계는 고수준 보안 보장을 지원합니다.
  • 20개국은 기본 보안 보장을 지원합니다.
  • 12개국은 저수준 보안 보장을 지원합니다.

보시다시피 EU는 안전한 전자 ID의 중요성을 강조하면서 고수준 보안 보장을 지향합니다.

eIDAS 트러스트 서비스란 무엇입니까?

트러스트 서비스는 전자 거래를 보호하기 위한 광범위한 인증 및 서명 활동을 의미합니다. 가장 일반적인 트러스트 서비스에는 다음이 있습니다.

  • 인증서: 누군가의 신원을 확인하는 한 가지 방법은 제3자 기관을 통해 디지털 인증서를 발급받는 것입니다. 간단히 말해서 인증서는 공개 키 암호화를 통해 장치, 서버, 사용자 또는 엔터티의 진위를 증명하는 파일입니다. 인증서에는 인증서 보유자의 공개 키 사본이 필요합니다. 이 공개 키 사본의 진위를 확인하기 위해서는 해당 공개 키가 대응하는 개인 키와 일치해야 합니다.
  • 전자 타임스탬프: 타임 스탬프는 날짜 및 시간을 문서, 문서의 서명 및 기타 정보에 전자 방식 및 암호화 방식으로 결합하여 특정 시간에 그 실체를 인증하는 프로세스입니다. 날짜와 시간의 정확성은 트러스트 서비스 제공업체가 보장하며 제3자가 침해할 수 없습니다. 타임 스탬프가 법적으로 중요한 이유에는 여러 가지가 있지만, 타임 스탬프는 계약상 합의에 대해 분쟁이 있을 때 특히 유용합니다.
  • 전자 서명 및 도장: 전자 서명은 자필 서명과 마찬가지로 법적 문서의 진위를 증명하고 해당 문서의 조항에 구속된다는 의도를 확고히 하기 위한 방법입니다. 이와 대조적으로 전자 도장은 한 사람이 아닌 전체 조직을 대표합니다.
  • 디지털 서명: 디지털 서명은 디지털 인증서와 개인 서명 키를 사용하여 생성되는 일종의 전자 서명입니다. 디지털 서명은 변조 방지 기능이 있으므로, 문서가 서명된 후 변경되지 않도록 보장합니다.
  • 등록된 전자 배송: 이 트로스트 서비스는 등기우편을 보내는 것과 동일한 디지털 방식으로 추적 및 수신 확인을 제공합니다.
  • 전자 보관: 이 트러스트 서비스는 기록이 시간이 지나도 손상되지 않고 법적 가치를 유지하는 방식으로 보관할 수 있는 디지털 보관소를 제공합니다.
  • 전자 원장: 이 트러스트 서비스는 공증인이 하는 것처럼 정보(일반적으로 디지털 거래 및 계약)를 기록하는 공식적이고(법적으로 인정된) 안전한 방법을 제공합니다.
  • 원격 전자 서명 및 도장 생성 장치 관리: 이 서비스는 TSP를 위해 설계되었고 시민이나 비즈니스를 위해 설계되지 않았기 때문에 가장 눈에 띄지 않는 트러스트 서비스일 수 있습니다. 이 트러스트 서비스를 통해 전자 서명 공급업체는 원격으로 안전한 방식으로 디지털 서명 및 도장 프로세스를 관리할 수 있으며, 서명자가 물리적으로 서명하지 않더라도 서명 프로세스에 대한 완전한 제어권을 유지할 수 있습니다.
  • EAA(속성 전자 증명) 발급: 이 트러스트 서비스를 이용하면 EAA를 발급할 수 있으며, 발급된 EAA는 디지털 ID 지갑에 저장됩니다. EAA는 정보가 사실임을 확인하는 디지털 승인 스탬프와 같습니다.

위의 서비스를 지원하는 모든 조직은 트러스트 서비스 제공업체로 간주되며 eIDAS 규정을 준수해야 합니다.

eIDAS에 따른 전자 서명 유형

eIDAS는 서비스 제공업체가 제공할 수 있는 전자 서명을 다음과 같이 세 가지 유형으로 정의합니다.

1. 단순 전자 서명

유럽연합 집행위원회는 단순 전자 서명을 세 가지 서명 중 가장 기본적인 서명으로 간주합니다. 단순 전자 서명은 '전자 형식의 다른 데이터에 첨부되거나 논리적으로 연결되어 있고 서명자가 서명하는 데 사용되는 전자 형식의 데이터'로 정의됩니다. 본질적으로 전자 문서에 이름을 적는 것처럼 간단한 일도 단순 전자 서명에 해당할 수 있습니다.

2. 고급 전자 서명

고급 전자 서명에는 더욱 정확한 요건이 있습니다. 예를 들어, 다음과 같아야 합니다.

 

  • 서명자와 고유하게 연결되며 서명자를 식별할 수 있음
  • 서명자가 계속 제어할 수 있는 방식으로 생성됨
  • 이후 변경 사항을 감지할 수 있도록 문서에 연결됨

일반적으로 고급 전자 서명은 디지털 인증서와 암호화 키를 사용하여 생성되므로, 디지털 서명으로 간주할 수도 있습니다. 그러나 생체 인식, 액세스 코드 및 기타 전자 수단을 사용할 수도 있습니다.

 

3. 공인 전자 서명

세 가지 서명 중 가장 정교한 서명인 공인 전자 서명은 최고 수준의 보안을 보장합니다. 그러나 다음의 두 가지 요건을 추가로 고려해야 합니다.

  1. 공인 전자 서명은 QSCD(Qualified Signature Creation Device)를 사용해야만 생성할 수 있습니다. QSCD는 eIDAS 인증 프로세스를 거친 HSM(하드웨어 보안 모듈)과 같은 일종의 암호화 하드웨어입니다.
  2. 공인 서명은 공인 인증서를 기반으로 해야 합니다. eIDAS에 따라 공인 인증서는 일반적인 디지털 인증서보다 더 엄격한 요건을 따릅니다. 또한 Entrust와 같은 QSTP(공인 트러스트 서비스 제공업체)만 발행할 수 있습니다. QSTP는 국가 관할 기관의 감사를 받고 자격을 부여받은 조직으로, EU의 Trusted List에 등재되어 있습니다.

Entrust 솔루션으로 eIDAS 준수 강화

Entrust는 규정 준수를 다루는 일이 쉽지 않으며 eIDAS 규정도 다르지 않다는 것을 잘 알고 있습니다. EU 조직이든 트러스트 서비스 제공업체이든, 거래가 발생하는 장소와 시간과 관계없이 소비자에게 안전하고 원활한 경험을 제공하기를 바랄 것입니다.

QSCD 원격 서명용

nShield HSM 및 Entrust 서명 활성화 모듈(SAM)을 사용하여 eIDAS를 준수하는 공인 서명 생성 장치를 활용하십시오.

더 알아보기

디지털 서명 엔진

트러스트 서비스 제공업체 및 정부를 위한 디지털 서명 솔루션.

더 알아보기

QWAC eIDAS 인증서

Entrust의 eIDAS 준수 Qualified Website Authentication Certificate(QWAC)를 통해 eIDAS 가이드라인을 준수할 수 있습니다.

더 알아보기

Onfido 규정 준수 제품군

복잡한 현지 규정 요건을 충족하고 간편하고 원활하며 eIDAS 규격을 준수하는 온보딩 솔루션을 통해 고객을 원격으로 온보딩하십시오.

더 알아보기

EU 조직: Entrust를 통한 고급 및 공인 서명/도장 생성

Entrust는 웹 포털이나 REST API를 통해 이용 가능한 전자 서명 서비스를 제공합니다. 귀사가 eIDAS 고급 또는 공인 서명과 도장을 만드는 데 도움을 드릴 수 있습니다.

Entrust의 서명 포털을 확인하고 signhost.com에서 무료로 사용해 보시기 바랍니다.

트러스트 서비스 제공업체: eIDAS 트러스트 서비스 구축

트러스트 서비스를 실행하려면 강력한 신뢰 루트가 필요합니다. Entrust는 TSP가 Entrust 서명 활성화 모듈과 결합된 nShield HSM을 통해 eIDAS 인증 QSCD(Qualified Signature Creation Device)를 배포할 수 있도록 지원합니다.

Entrust의 HSM을 통해 TSP는 신뢰를 극대화하고 국가 간에 법적 구속력이 있는 거래를 지원하는 동시에 보안도 강화할 수 있습니다. 서비스 제공업체는 nShield HSM을 활용하여 eIDAS 준수 솔루션인 디지털 증명서, 타임 스탬프 또는 디지털 서명을 발급할 수 있습니다.

Entrust는 eIDAS 준수 디지털 서명 생성을 위한 디지털 서명 엔진도 제공할 수 있습니다. Entrust PKI 솔루션Entrust ID 및 액세스 관리 솔루션을 결합하면 자체 서명 서비스를 설정하는 데 필요한 모든 기능을 갖출 수 있습니다.

이 내용은 법적 조언을 구성하지 않습니다. 제공된 정의는 유럽 연합 공식 저널에 따른 것이지만 전자 및 디지털 서명에 대한 정의와 요건은 일반적으로 이 콘텐츠에 설명된 방식보다 더 자세하며 고려해야 할 차이가 있을 수 있습니다. 전자 문서의 적합성, 집행 가능성 또는 수용 가능성은 귀하가 비즈니스를 운영하는 국가 또는 주, 전자 문서가 배포될 국가 또는 주, 관련된 전자 문서의 유형 등 여러 요인에 따라 달라질 수 있습니다. 전자 문서 사용과 관련된 잠재적인 법적 영향과 의문점을 분석하고, 각 사용 사례에 대한 전자 서명을 생성 및/또는 인증하기 위해 적합하고/또는 필요한 솔루션을 사용하기 위해 적절한 법률 자문을 구해야 합니다.