eIDAS 2란 무엇입니까? 반드시 알아야 할 정보

유럽연합(EU)은 가장 복잡하고 엄격한 규제 환경 중 하나입니다. 전자식 신원 확인, 인증 및 트러스트 서비스(eIDAS) 규정의 두 번째 버전이 발효됨에 따라, EU 내 기업들은 변화에 대응하고 2016년 이후 디지털 신원, 인증, 트러스트 인프라에서 이루어진 가장 중요한 변화 중 하나에 적응해야 합니다.

eIDAS 2는 관련 기술 표준과 함께 개인이 인증을 수행하는 방식, 신원 데이터가 공유되는 방식, 그리고 트러스트 서비스가 국경을 넘어 운영되는 방식을 규율하는 통합된 법적 및 기술적 기반을 제시합니다. 이를 통해 유럽 디지털 신원 생태계는 보다 상호 운용 가능하고, 개인정보 보호가 강화되며, 새로운 사기 및 보안 위협에 더욱 강인한 형태로 재편됩니다.

동시에 이러한 변화는 글로벌 신원 증명 통합이라는 배경 속에서 진행되고 있습니다. 전 세계 규제 기관들은 보안 요건을 강화하고, 사기 방지를 우선시하며, 원격 신원 증명과 금융 서비스 온보딩 요건을 점점 더 통합해 나가고 있습니다. eIDAS 2는 이제 고신뢰 디지털 신원 분야에서 폭넓게 이루어지는 국제적 변화의 한 부분으로 자리잡고 있습니다.

아래에서는 eIDAS 2에 대한 자세한 설명과 규정 요건을 준수하는 데 필요한 모든 정보를 제공합니다. 다루는 주제는 다음과 같습니다.

• eIDAS란 무엇인가
• eIDAS 2란 무엇입니까? 
• eIDAS 2 및 ETSI v2에 따른 신원 검증
• 트러스트 서비스 제공자란 무엇입니까?
• eIDAS 2 규정 준수를 달성하는 방법
• Entrust로 규정 준수 단순화

eIDAS는 electronic Identification, Authentication, and Trust Services의 약어로, EU 회원국 전역에서 전자 신원 확인과 트러스트 서비스에 대한 최초의 통일된 법적 프레임워크를 도입한 포괄적인 EU 규정입니다.

eIDAS가 채택되기 전에는 EU 각국이 독자적인 법률에 의존하고 있었습니다. 예를 들어 독일의 Signaturgesetz, 프랑스의 전자서명법, 이탈리아의 Codice dell’Amministrazione Digitale, 스페인의 법률 59/2003 등 각국마다 규칙, 보안 요건 및 형식이 달랐습니다. 그 결과, 전자 신원 확인 및 원격 신원 검증 방식이 회원국마다 크게 달라졌습니다.

이러한 분절화로 인해 국경을 넘어 이루어지는 디지털 상호작용이 어려웠습니다. 한 회원국에서 유효한 전자 서명이나 신원 자격 증명이 다른 회원국에서는 인정되지 않을 수 있어, 조직들은 병행 프로세스를 유지해야 했고 전자 거래에 대한 신뢰가 훼손되었습니다. 또한 통합된 공통 프레임워크가 없었기 때문에 안전한 온라인 서비스 확장이 제한되고 국경 간 전자 상거래 발전에도 장애 요소로 작용했습니다.

이러한 문제를 해결하기 위해, EU 전역에서 통일된 프레임워크를 구축하는 것을 목표로 첫 번째 eIDAS 규정(EU No 910/2014)이 도입되었습니다.2014년에 채택되어 2016년부터 본격적으로 시행된 이 규정은 다음과 같은 세 가지 핵심 원칙을 기반으로 하고 있습니다.

• 상호 인정: 모든 회원국은 각국의 신고된 eID 체계를 법적으로 인정해야 했습니다.
• 상호 운용성: 규정은 EU 전역의 다양한 전자 신원 확인 솔루션과 트러스트 서비스 간의 호환성을 보장했습니다.
• 보안: eIDAS는 전자 서명, 인감, 타임스탬프 및 인증서에 대해 엄격한 보안 요건을 도입했습니다.

또한 eIDAS는 적격 서비스를 제공하기 전에 인증과 감독을 받아야 하는 트러스트 서비스 제공자(TSP)의 역할을 공식화했습니다.

중요하게도, eIDAS는 공공기관뿐만 아니라 전자 신원 확인이나 트러스트 서비스를 활용하는 민간 기업에도 적용됩니다. 여기에는 금융 서비스, 보험, 의료, 전자상거래 분야가 포함됩니다. 따라서 이 규정은 EU 내 모든 국경 간 전자 거래를 위한 통합 디지털 트러스트 인프라로 기능합니다.

이 규정 덕분에 유럽의 디지털 트러스트 환경이 크게 개선되었음에도 불구하고, 몇 가지 한계가 남아 있었습니다. 2021년 기준, 국경을 넘어 국가별 eID 활용은 제한적이었고, 민간 부문의 도입도 불균형적이었으며, 프레임워크의 범위가 실제 디지털 신원과 트러스트 서비스 사용 방식을 충분히 반영하지 못했습니다. 이러한 격차가 결국 규정 개정, 즉 eIDAS 2 개발로 이어졌습니다. 

공식 명칭이 유럽 디지털 신원 규정(Regulation (EU) 2024/1183)인 eIDAS 2는 최초로 제정된 eIDAS 프레임워크의 업데이트 및 확장 버전입니다.이 규정은 2024년 4월 유럽연합 관보에 게재되었으며, 2024년 5월 20일부터 단계적으로 시행되기 시작했습니다.

이번 개정은 첫 번째 규정에서 지속적으로 나타난 한계를 개선하기 위해 추진되었습니다. 2021년까지 국가 전자 신원 확인 제도의 국경 간 활용은 여전히 낮았으며, 민간 부문 의존 당사자의 도입은 일관되지 않았고, 원격 신원 인증과 트러스트 서비스의 구현 방식에서도 회원국 간에 상당한 차이가 존재했습니다. 이러한 불일치로 인해 여러 관할 구역에서 비즈니스를 운영하는 기업들은 어려움을 겪었으며, EU 거주자의 59%만이 자국을 벗어나 신뢰할 수 있는 eID를 사용할 수 있었습니다.

eIDAS 2는 유럽의 디지털 신원 및 트러스트 서비스 프레임워크의 구조적 진화를 나타냅니다. 또한 기존 프레임워크의 한계를 해결하고, 규제 대상 트러스트 서비스의 목록을 확장하며, 보안 및 거버넌스 요구사항을 강화하고, 특히 국가 디지털 신원 생태계의 필수 구성 요소로서 유럽 디지털 신원(EUDI) 지갑을 도입합니다.

기존 규정이 국경 간 신뢰를 위한 기초를 마련했다면, eIDAS 2는 유럽연합 전역에서 보다 발전되고 상호 운용 가능하며 높은 수준의 신뢰 및 사용자 통제 기반의 디지털 신원 모델을 위한 청사진을 제공합니다.

확장된 규제 범위

최초 eIDAS 규정(2016)은 EU에서 전자 신원 확인과 트러스트 서비스를 위한 기반을 마련했지만, 그 적용 범위는 상대적으로 제한적이었습니다. 당시에는 오늘날처럼 높은 신뢰 수준의 신원과 트러스트 메커니즘을 기반으로 하는 광범위한 디지털 상호작용을 예상하지 못했습니다. 해당 프레임워크는 전자 서명, 인감, 타임스탬프, Qualified Certificate에 대한 법적 확실성을 제공했지만, 이후 디지털 비즈니스 모델과 국경 간 상호 운용성에서 중심이 된 여러 트러스트 서비스 기능은 포함하지 못했습니다.

eIDAS 2는 이러한 부분을 대폭 확장합니다.업데이트된 규정은 안전하고 신뢰할 수 있는 트러스트 서비스를 제공할 수 있도록 인증받은 기관인 QTSP(적격 트러스트 서비스 제공자)의 역할을 강화하며, 이들 기관은 이제 EU 사이버보안 법규와 연계된 통일된 감독 기대 사항을 준수해야 합니다. 여기에는 의무적인 보안 기준, 정기 감사, 공식화된 사고 보고, 그리고 유럽연합 전역에서의 키 관리 및 운영 복원력에 대한 일관된 요구사항이 포함됩니다.

또한, eIDAS 2는 네 가지 새로운 적격 트러스트 서비스를 포함하도록 규칙의 범위를 확대했습니다.

1. 전자 보관 서비스: 이러한 서비스는 전자 문서와 데이터를 안전하게 장기간 보관할 수 있는 기능을 제공합니다. 또한 보관 기간 동안 보관된 데이터와 문서가 원본 그대로 유지되고 변조되지 않도록 하여 해당 데이터 및 문서의 무결성과 법적 효력을 보장합니다.이 기능은 의료, 금융, 공공 부문과 같이 민감한 데이터와 문서를 장기간 안전하게 보관해야 하고 그 과정에서 원본 그대로 유지되는 상태를 보장해야 하는 규정 준수가 중요한 산업에서 필수적입니다.
2. 전자 원장: 이 서비스는 거래 및 데이터에 대한 안전하고 변경 불가능한 기록을 제공합니다. 이를 통해 전자 데이터를 안정적으로 추적하고 검증할 수 있어 금융 거래, 공급망 관리 등 다양한 애플리케이션 및 사용 사례를 지원할 수 있습니다.
3. 원격 전자 서명 및 인감 생성 장치(QSCD) 관리: 이 트러스트 서비스는 전자 서명 벤더가 서명 및 인감 처리 과정을 원격으로 관리할 수 있도록 지원하면서, QSCD와 관련된 엄격한 보안 요건을 유지합니다. 또한 이 서비스는 안전한 클라우드 기반 서명과 인감 생성을 가능하게 하고, 원격 근무와 국경 간 거래를 지원하며, 서명자가 자신의 서명 키를 단독으로 통제하는 권한을 유지하면서 Qualified Signature의 활용성을 확대합니다.
4. 적격 전자 속성 증명 발급: eIDAS 2는 적격 전자 속성 증명(QEAA)을 도입하여 신뢰할 수 있는 기관이 개인, 조직 또는 장치와 관련된 특정 속성의 정확성을 인증할 수 있도록 합니다.이러한 속성에는 연령, 전문 자격증, 학력 또는 계정 식별자가 포함될 수 있습니다. QEAA는 디지털 서명이 부여된 증명 형태로 제공되며 EU 디지털 신원 지갑에 저장하고 활용할 수 있어, 개인정보를 보호하면서 속성을 공유할 수 있고, EU 전역에서 신원과 속성을 높은 신뢰 수준으로 교환할 수 있도록 합니다.

트러스트 서비스 카탈로그를 확장함으로써, 이 규정은 EU 디지털 신원 및 트러스트 서비스 생태계 전반의 무결성, 보안성 및 상호 운용성을 강화합니다.

eIDAS 2에는 또한 특정 민간 부문 의존 당사자에 대한 새로운 의무가 추가되었습니다. 은행, 통신 사업자 및 기타 고가치 서비스 제공자는 2027년부터 정의된 사용 사례에 대해 EU 디지털 신원 지갑을 의무적으로 인정해야 합니다. 이 규정은 단독 사용자 통제 원칙과 개인정보 보호 중심 설계 원칙을 적용하여 개인이 거래에 필요한 최소한의 속성만을 공개할 수 있도록 허용합니다.

마지막으로, 이번 확장은 eIDAS 1.0에서 각국 감독 당국이 원격 신원 검증 요건을 서로 다르게 해석하면서 발생했던 장기간의 불일치 문제를 해결합니다. 일부 회원국은 QES 기반 온보딩을 요구했으며(예: 프랑스), 다른 국가들은 라이브 영상 통화를 활용했고(예: 독일), 또 다른 국가들은 ETSI 규격에 부합하는 원격 IDV를 인정했습니다(예: 이탈리아와 루마니아). eIDAS 2는 이러한 각국의 해석을 통일하고, EU 전역에서 고신뢰 신원 증명과 트러스트 서비스 사용을 위한 일관된 국경 간 프레임워크를 제공합니다.

유럽 디지털 ID 지갑(EUDI 지갑)

기존 eIDAS 규정(2016) 하에서는 회원국이 자국의 전자 신원 확인 제도를 자발적으로 신고할 수 있었으며, 이를 통해 해당 제도는 EU 전역에서 법적 효력을 인정받을 수 있었습니다. 그러나 이러한 자발적 모델에는 다음과 같은 중대한 한계가 있었습니다. 기존 eID 시스템이 없는 국가는 이 시스템을 새로 구축할 의무가 없었습니다. 그 결과, 도입률은 국가별로 큰 차이를 보였고 국경 간 상호 운용성도 불균형 상태로 남아 있었습니다.

eIDAS 2는 이 접근 방식을 의무화되고 통일된 프레임워크로 대체합니다. 2026년 말까지 모든 회원국은 최소 하나 이상의 EU 디지털 신원 지갑을 발급해야 합니다. 이 지갑을 통해 개인과 기업은 자국 eID와 검증된 속성 및 자격 증명을 함께 저장하고 관리할 수 있으며, 운전면허증, 학위, 전문 자격, 은행 계좌 정보 등과 같은 정보를 안전하고 선택적으로 공유할 수 있습니다. 이를 통해 유럽 전역에서 활용 가능한 범용적이고 휴대 가능한 디지털 신원이 구현됩니다.

목표는 유럽 시민이 온라인에서 자신의 디지털 신원을 완전히 통제할 수 있도록 하여, 정말로 필요한 정보만 공개하고 분산된 로그인 시스템이나 반복적인 신원 확인에 대한 의존도를 줄이는 것입니다. 정의된 공공 및 민간 부문 사용 사례에서는 의존 당사자가 인증 수단으로 지갑을 인정해야 하며, 이는 EU 전역에서 일관되고 신뢰할 수 있는 사용자 경험을 보장합니다.

EUDI 지갑은 다음과 같은 세 가지 핵심 축을 기반으로 구축됩니다.

1. 보안: 지갑은 개인정보보호 규정(GDPR)과 NIS2 지침 등 기존 EU 데이터 보호 및 사이버보안 법규를 준수하며, 개인정보 보호 중심 설계 원칙 및 강력한 기술적 안전 장치를 갖추고 있습니다.
2. 편리성: 이 지갑을 통해 시민과 거주자는 공공 서비스 이용, 일자리 지원, 은행 계좌 개설, 기타 국경 간 활동을 보다 쉽게 수행할 수 있습니다. 이 도구를 사용하여 인증 목적으로 신원 정보를 조직과 공유할 수 있습니다. 지갑은 신원 정보를 하나의 재사용 가능한 도구로 통합하여, 여러 번 로그인하거나 반복적으로 검증 단계를 진행할 필요를 없애줍니다.
3. 상호 운용성: 지갑에 저장된 디지털 신원 자격 증명이 EU 전역에서 인정될 수 있도록, 규정에서는 공통 기술 프레임워크와 통일된 표준을 제시합니다. 지갑, 서비스 제공자, 공공기관에 대한 공통 사양을 정의함으로써, 국가별 시스템 간의 상호 운용성을 보장합니다.이러한 표준화는 국경을 넘어 통합된 디지털 신원 확인 접근 방식을 촉진하며, 시민과 기업 모두에게 자격 증명에 대한 신뢰와 인정을 강화합니다.

eIDAS 2에 따라 모든 회원국은 2026년 12월까지 최소 하나 이상의 EUDI 지갑을 시민과 거주자에게 제공해야 하며, 이는 유럽 전역에서 완전히 상호 운용 가능한 디지털 신원 환경을 조성하는 중요한 진전입니다.

이러한 변화들을 종합하면, eIDAS는 분산된 디지털 신원 프레임워크에서 통일되고 사용자 중심적이며 의무화된 범유럽 접근 방식으로 전환되며, 디지털 신원 및 트러스트 서비스가 EU 전역에서 발급, 검증 및 인정되는 방식에 대한 공통 규칙을 제공합니다.

eIDAS 2와 ETSI의 관계

유럽 전기통신 표준 협회(ETSI)는 전 세계적으로 인정받는 정보통신 기술 분야의 표준을 개발하는 독립 비영리 표준 기구입니다. eIDAS 하에서 ETSI는 중요한 역할을 수행합니다.즉, 규정의 상위 법적 의무 사항을 구체적이고 감사 가능한 기술 요구사항으로 변환합니다. 이러한 작업은 ETSI TS 119 461과 보다 광범위한 ETSI EN 319 시리즈와 같은 표준에 반영되어 있으며, 트러스트 서비스와 신원 증명이 실제로 어떻게 운영되어야 하는지를 정의합니다.

eIDAS 2가 EU 디지털 신원 지갑과 QEAA와 같은 새로운 적격 트러스트 서비스를 도입함에 따라, ETSI는 규정 준수를 위해 필요한 보안, 상호 운용성, 기술적 통제를 정의하도록 표준을 업데이트하고 확장했습니다. 이러한 표준은 회원국과 트러스트 서비스 제공자가 eIDAS 2를 일관되고 안전하게 구현하도록 보장하는 기술적 기반 역할을 합니다.

원격 신원 검증은 eIDAS 2 생태계의 핵심 구성 요소입니다. EU 전역에서 일관성을 확보하기 위해, 이 규정은 전용 운영 표준인 ETSI TS 119 461 v2.1.1과 함께 적용됩니다.

이 두 도구의 관계는 다음과 같은 근본적 의미를 갖습니다.

• eIDAS 2는 신원 증명에 대한 법적 요건을 규정합니다.
• ETSI v2는 이러한 요건을 실제로 어떻게 충족해야 하는지를 구체적이고 감사 가능한 기술적 통제를 통해 정의합니다.

ETSI 119 461 v2의 역할: 기술적 기반

ETSI v2는 원격 및 자동화된 신원 증명에 대한 상세 요구사항을 규정하고 있으며, 그 내용은 다음과 같습니다.

• MRZ, 가시 영역 일관성 확인 및 보안 기능에 대한 검증을 포함하여 신원 문서를 검증하고 교차 확인하는 방법
• 생체 데이터를 획득하고 분석하는 방법 및 위조, 딥페이크 및 프레젠테이션 공격을 방지하는 방법
• 다양한 출처 간 신원 속성과 증거를 일치시키는 방법
• 규제 감사 및 감독 관리를 지원하기 위해 보관해야 하는 증거
• 확장 신원 증명 수준(LoIP)에서 고신뢰 온보딩 절차를 수행하는 방법

이는 EU 전역에서의 신원 검증이 일관되도록 할 뿐만 아니라, 기술적으로 엄격하며 현대의 사기 패턴에도 대응 가능하도록 합니다.IDAS 규정은 이미 유럽은행감독청(EBA)의 원격 고객 온보딩 가이드라인, AML 지침, 그리고 곧 시행될 AML 규정에서 참조되고 있습니다. 또한 PSD2 및 관련 금융 범죄 프레임워크의 감독 기대 및 요구 사항의 일부이기도 합니다.

이러한 규제 조화는 중대한 영향을 미칩니다. ETSI v2는 특히 금융 서비스 분야에서 유럽 전역의 원격 신원 검증을 위한 운영상의 기준이 되었습니다. ETSI v2에 따라 설계된 신원 검증 프로세스는 원칙적으로 eIDAS 2, AML/KYC 의무, 그리고 감독 기대 사항을 동시에 충족할 수 있습니다. 금융 기관의 경우, 이러한 통합은 분절화를 줄이고 국경을 넘는 온보딩을 위한 명확하고 통일된 프레임워크를 제공합니다.

금융 서비스에 미치는 영향

EU는 eIDAS 2와 자금 세탁 방지(AML) 프레임워크 간의 규제 통합을 추진하고 있으며, 이를 통해 원격 신원 검증(IDV)에 대한 통일된 접근 방식을 마련하고 있습니다. 이러한 규제 통일은 ETSI 인증 온보딩을 골드 스탠다드로 만들며, 모든 EU 회원국에서 법적 확실성과 상호 운용성을 보장합니다.

은행, 결제 서비스 제공자, 규제 금융 기관 등 금융 기관에게 eIDAS 2 도입은 국경을 넘는 고객 온보딩을 위한 하나의 통일된 프레임워크를 의미합니다. 통합을 통해 얻을 수 있는 이점은 다음과 같습니다.

• 규정 준수 비용 절감: 하나의 ETSI 인증 IDV 프로세스를 통해 금융 서비스 제공자는 여러 규제 프레임워크(eIDAS, AMLD6, PSD2)에서 요구하는 의무를 충족할 수 있어 중복 절차를 줄이고 감사 준비 과정을 단순화할 수 있습니다.
• 국경 간 상호 운용성: ETSI를 준수하는 온보딩 프로세스는 모든 EU 회원국에서 인정되므로, 일관된 온보딩이 가능하며 새로운 시장으로의 확장도 원활하게 진행할 수 있습니다.
• 향상된 사기 방지 및 보안: ETSI v2는 엄격한 생체 인식 무결성 및 위조 방지 통제를 도입하여, 딥페이크나 정교화된 프레젠테이션 공격과 관련된 위험을 줄입니다. 이는 현재 고위험 거래 환경에서 매우 중요한 요소입니다.

이러한 흐름 속에서 금융 기관은 단계적 규정 준수를 준비해야 합니다.

트러스트 서비스 제공자(TSP)는 eIDAS에 따라 하나 이상의 트러스트 서비스를 제공하는 동시에 국가 감독 기관의 감독을 받는 법인 또는 자연인을 의미합니다. TSP의 역할은 문서의 서명 및 인감, 데이터 타임스탬프, 민감 정보의 전송에 이르기까지 다양한 디지털 상호작용이 안전하고, 진정성이 보장되며, 법적으로 신뢰할 수 있도록 하는 것입니다.또한 TSP는 정보의 기밀성과 부인 방지를 보장하고 웹사이트 또는 서명자의 인증을 가능하게 합니다.

이러한 서비스는 전자 문서, 신원 및 커뮤니케이션의 진정성과 무결성을 검증하기 위한 메커니즘을 제공합니다. 트러스트 서비스는 eIDAS 2 프레임워크의 핵심 구성 요소로서, 온라인 및 디지털 상호작용이 기존의 종이 기반 절차와 동등한 수준의 신뢰도와 법적 효력을 갖도록 보장합니다. 제공자가 가장 엄격한 요건을 충족하고 공식적으로 인가를 받으면, 적격 트러스트 서비스 제공자(QTSP)로 인정되며, EU 전역에서 특정한 법적 효력을 갖는 적격 트러스트 서비스를 제공할 수 있습니다.

eIDAS 2 하에서 트러스트 서비스는 원래의 eIDAS 규정에 따라 확립된 서비스뿐만 아니라, 진화하는 디지털 신원 요구에 대응하기 위해 새롭게 도입된 다양한 서비스를 포함합니다. 여기에는 다음이 포함됩니다.

1. 개인을 위한 전자 서명

   전자 서명은 개인이 문서를 디지털 방식으로 서명할 수 있도록 하며, 무결성과 진정성을 보장합니다. 즉, 서명자가 본인이 주장하는 신원과 일치함을 확인하고, 서명이 적용된 이후 문서가 변경되지 않았음을 안전하고 검증 가능한 방식으로 보장합니다. 해당 규정은 전자 서명을 다음과 같은 세 가지 수준으로 분류합니다. 단순 전자 서명: 낮은 위험도의 사용 사례에 적합한 기본적인 보안 수준을 제공합니다. 고급 전자 서명: 서명자와 서명자를 고유하게 연결하고 서명된 데이터에 대한 모든 변경 사항을 감지할 수 있도록 함으로써 보다 높은 수준의 보안을 제공합니다. 적격 전자 서명(QES): 가장 높은 수준의 보안을 제공하며, 자필 서명과 동일한 법적 효력을 가집니다. QES는 Qualified Signature Creation Device(QSCD)를 사용하여 생성되어야 하며, 적격 트러스트 서비스 제공자(QTSP)가 발급한 Qualified Certificate를 기반으로 해야 합니다. QSCD는 일반적으로 eIDAS 인증 절차를 거친 하드웨어 보안 모듈(HSM)과 같은 안전한 암호화 하드웨어에 기반합니다.

    

2. 전자 인감(ESeals)

   전자 인감은 전자 서명과 유사한 방식으로 작동하지만, 개인이 아닌 법인(예: 기업)을 대상으로 사용됩니다.전자 인감은 송장, 공식 커뮤니케이션 및 규정 준수 문서에서 널리 활용됩니다. eIDAS 2에 따라 전자 인감은 문서의 출처와 무결성을 확인하여, 해당 문서가 특정 법인에 의해 발행되었으며 이후 변경되지 않았음을 검증합니다. 전자 서명과 마찬가지로 전자 인감도 단순, 고급, 적격으로 분류될 수 있습니다.

    

3. 전자 타임스탬프

   타임스탬프는 특정 전자 문서 또는 데이터가 특정 시점에 존재했으며 이후 변경되지 않았음을 입증합니다. 이는 문서의 생성, 제출 또는 수신 시점을 확인할 수 있는 안전한 방식으로, 무결성과 신뢰성을 한층 더 강화합니다. eIDAS 2는 데이터가 특정 시점에 존재했음을 장기적이고 검증 가능한 증거로 입증할 수 있도록 타임스탬프에 대한 요건을 강화하여 데이터의 무결성을 지속적으로 유지할 수 있도록 합니다. 전자 타임스탬프는 주로 금융, 의료 및 법률 서비스와 같은 분야에서 활용됩니다. 전자 타임스탬프는 적격 또는 비적격 형태로 제공될 수 있습니다.

    

4. Qualified Website Authentication Certificate(QWAC)

   간단히 말해 QWAC는 공개 키 암호화를 사용하여 장치, 서버, 사용자 또는 기관의 진정성을 입증하는 인증서 파일입니다. 인증서는 인증서 보유자의 공개 키 사본이 포함되며 이 공개 키 사본의 출처를 확인하기 위해서는 해당 공개 키가 대응하는 개인 키와 일치해야 합니다. QWAC는 공개용 TLS/SSL 인증서의 유럽판에 해당하며, eIDAS 2 하에서, 특히 금융 기관과 정부 포털을 포함한 온라인 서비스와 사용자 간의 신뢰를 구축하는 데 여전히 핵심적인 역할을 합니다.

    

5. 적격 전자 등기 전달 서비스(ERDS)

   ERDS는 송신 및 수신에 대한 증명을 제공하는 안전한 전자적 전송을 보장하여, 등기 우편과 유사한 수준의 법적 확실성을 제공합니다. 이 서비스는 계약서, 규제 신고 문서 및 공식 통지와 같은 민감한 커뮤니케이션에 필수적입니다. eIDAS 2는 ETSI 표준을 통해 ERDS의 상호 운용성을 강화하고, 국경 간 안전한 메시징을 위한 규제 접근 방식을 통일합니다.

    

6. 적격 전자 속성 증명(QEAA)

   QEAA는 이름, 연령, 전문 자격, 면허와 같은 개인 또는 조직의 속성을 신뢰할 수 있는 방식으로 검증할 수 있도록 합니다. 이 서비스는 선택적 공개를 통해 불필요한 개인 데이터를 노출하지 않으면서, 신원 검증 및 KYC 프로세스를 지원합니다. QEAA는 지갑 기반 상호작용에서 사용되는 신원 속성을 인증하며, 이러한 특성으로 인해 EUDI 지갑 생태계에서 프라이버시 보호형 디지털 신원의 핵심 구성 요소로 자리 잡고 있습니다.

    

7. 디지털 문서의 전자 보관

   이 서비스는 전자 문서를 무결성과 진정성이 보장된 상태로 장기간 보관할 수 있도록 합니다. 이는 의료, 금융 및 정부와 같이 규제 요건이 엄격한 산업에서 증가하는 안전한 디지털 저장에 대한 수요를 충족합니다. eIDAS 2에 따른 전자 보관은 시간이 경과하더라도 신뢰를 유지하기 위해 암호화 기법에 의존하도록 요구됩니다.

    

8. 전자 원장 서비스

   전자 원장은 블록체인 또는 유사한 기술을 활용하여 변경이 불가능한 기록 관리를 제공합니다. 이를 통해 금융 거래, 공급망 관리, 규제 보고를 위한 투명하고 변조가 불가능한 감사 추적 기록을 구현할 수 있습니다. eIDAS 2는 이 서비스를 도입함으로써 탈중앙화된 신뢰 모델을 지원하고 미래 변화에도 대응 가능한 규정 준수 프레임워크를 뒷받침합니다.

    

9. QSCD 원격 관리

   QSCD 원격 관리는 서명 생성 장치를 물리적 대면 없이도 안전하게 원격으로 제어할 수 있도록 하여 적격 전자 서명(QES) 및 인감을 사용할 수 있게 합니다. 이러한 혁신은 최고 수준의 보안 기준을 유지하면서 원격 근무와 디지털 전환을 지원합니다. 이 기능은 특히 국경 간 비즈니스 운영과 클라우드 기반 서명 솔루션에 적합합니다.

eIDAS 2의 도입은 EU 전역에서 디지털 신원과 트러스트 서비스의 운영 방식에 중대한 변화를 의미합니다. 2026년까지 모든 회원국은 EUDI 지갑을 지원해야 하며, 금융 서비스, 통신, 의료를 포함한 규제 산업에 속한 조직은 신원 검증 및 트러스트 서비스와 관련된 새로운 요건을 준수해야 합니다.

규정 준수 경로는 디지털 신원 생태계에서 조직이 수행하는 역할에 따라 달라집니다. 신원 검증 및 트러스트 서비스를 활용하는 EU 기업인 의존 당사자와 규제 감독 하에서 이러한 서비스를 발급 및 제공하는 트러스트 서비스 제공자(TSP) 간에는 적용되는 요구사항이 서로 다릅니다.

EU 기업

온보딩이나 거래 흐름의 일부로 신원 검증을 사용하는 EU 기업의 경우, 규정 준수는 점차 ETSI TS 119 461 v2와 eIDAS 2에서 도입된 지갑 기반 인증 모델에 부합하는 방향으로 요구될 것입니다. 실무적으로는 다음을 의미합니다.

• 생체 인식 무결성, 스푸핑 대응 능력, 문서 진정성 검사를 포함한 견고한 원격 신원 증명 절차를 구축하는 것
• 법적으로 요구되는 경우 적격 전자 서명 또는 인증서  를 통합하는 것
• EUDI 지갑 기반 인증과 적격 전자 속성 증명(QEAA)을 수용할 수 있도록 시스템을 준비하는 것

이러한 변화는 의존 당사자가 EU 전역에서 일관되고 신뢰도가 높은 검증 모델을 지원하도록 보장합니다.

트러스트 서비스 제공업체

트러스트 서비스 제공자(TSP)의 경우, 규정 준수를 위해 QSCD, PKI 인프라, 그리고 트러스트 서비스 플랫폼을 eIDAS 및 관련 ETSI 표준에서 정의한 기술적 및 감독 요건에 따라 운영해야 합니다.

여기에는 다음이 포함됩니다.

• QSCD 내에서 서명 키를 안전하게 생성하고 저장하는 기능
• 서명 및 인감 기능에 대한 엄격한 접근 통제
• 신뢰할 수 있는 증거 기록, 보존 및 보관
• 감독 기관의 감사를 통과하고 사고 보고 의무를 충족할 수 있는 조직적 및 보안 프레임워크

TSP는 적격 전자 서명을 생성하기 위해 인증된 QSCD를 사용해야 합니다. 이러한 장치는 개인 키와 같은 서명 생성 데이터가 안전한 환경에서 생성, 관리 및 저장되도록 보장함으로써 무단 액세스를 방지합니다.

또한 서비스 제공자는 견고한 Public Key Infrastructure(PKI)를 구현하여 디지털 인증서와 암호화 키를 관리해야 합니다. PKI는 디지털 인증서의 안전한 발급, 배포 및 검증을 뒷받침하는 기반으로, 전자 서명과 기타 트러스트 서비스에 대한 신뢰성을 보장합니다.따라서 TSP는 규정에 부합하는 키 관리 관행 및 안전한 수명 주기 통제를 유지하고 적용 가능한 모든 eIDAS 요건을 충족해야 합니다.

효과적인 ID 및 액세스 관리(IAM) 시스템은 사용자 신원을 관리하고 서비스에 대한 액세스를 통제하기 위해 TSP에게도 동일하게 중요합니다. 이러한 시스템은 사용자의 ID를 확인하기 위해 다중 인증(MFA)과 같은 강력한 인증 방법을 통합해야 합니다. 또한 IAM 솔루션은 인증서 발급이나 전자 서명 생성과 같은 민감한 작업을 승인된 개인 및 담당자만 수행할 수 있도록 보장합니다.

이 두 경우 모두에서 eIDAS 2가 가져온 변화는 조직이 사용하는 도구 자체뿐만 아니라, 해당 도구가 관리 및 테스트되는 방식, 그리고 규제 기관에 입증되는 방식에까지 영향을 미칩니다. ETSI TS 119 461 v2 및 보다 광범위한 ETSI 표준에 부합하는 체계는 신원 검증과 트러스트 서비스 운영이 EU 전역에서 요구되는 새롭고 통일된 보증 수준을 충족하고 있음을 입증하는 데 있어 가장 명확하고 감사 가능성이 높은 경로를 제공합니다.

Entrust는 클라우드 서명 컨소시엄의 창립 회원이자 PKI, 트러스트 인프라, 사이버보안 분야의 오랜 리더로서, 조직이 eIDAS 2의 변화하는 요건을 충족할 수 있도록 지원합니다.

당사의 솔루션은 KYC 및 AML 온보딩 워크플로와 원활하게 통합되며, eIDAS 2와 금융 부문 규제에서 요구하는 강력하고 프라이버시 중심적인 신원 검증 관행을 지원합니다.

Entrust는 문서 검증, 생체 인식 검사, 디바이스 인텔리전스를 효율적이고 자동화된 워크플로로 결합한 ETSI에 부합하는 신원 검증 솔루션을 제공합니다. 이러한 기능을 통해 영상 통화나 수작업 처리 없이도 안전하고 신뢰할 수 있는 원격 온보딩을 구현할 수 있으며, 동시에 GDPR 및 ETSI 요건도 충족할 수 있습니다. 이러한 기능은 또한 국경 간 상호 운용성을 지원하여, 조직이 EU 회원국 전반에서 일관된 방식으로 운영할 수 있도록 합니다.

아울러 PKI 및 트러스트 인프라 분야에서 Entrust가 보유한 리더십은 고객이 안전하고 확장 가능한 기반 위에서 규정을 준수하는 디지털 트러스트 서비스를 구축하고 운영할 수 있도록 지원합니다. 당사의 기술은 디지털 서명 워크플로 또는 기타 트러스트 서비스 아키텍처를 도입하려는 조직이 eIDAS 2에서 제시하는 기술적 기대 수준에 부합하는 방식으로 이를 구현할 수 있도록 돕습니다. Entrust와 협력하면 조직은 신뢰할 수 있고, 상호 운용 가능하며, 향후 변화에 대응 가능한 신원 검증 및 트러스트 인프라 역량을 바탕으로 eIDAS 2 시대에 자신 있게 대응할 수 있습니다.