eIDAS 2: 반드시 알아야 할 정보

유럽연합(EU)은 복잡한 규제 환경입니다. 이제 전자 식별, 인증 및 트러스트 서비스(eIDAS) 규정의 두 번째 개정으로 인해 EU 기업들은 가장 광범위한 법안 중 하나인 이 규정의 변경 사항에 대응해야 합니다.

이 가이드에서는 eIDAS 2와 최신 요건을 준수하는 데 필요한 모든 내용을 설명합니다.

• 전자 식별 이해
• eIDAS란 무엇입니까?
• eIDAS 2란 무엇입니까?
• eIDAS 2 규정 준수를 달성하는 방법
• Entrust로 규정 준수 단순화

전자 식별(eID)은 개인의 신원을 증명하는 디지털 방식입니다. 개인이 온라인 서비스에 접속하고, 전자 거래를 수행하고, 정부 플랫폼과 안전하게 상호작용할 수 있도록 해줍니다. eID 시스템은 서비스를 사용하는 개인이 본인이 맞는지 확인하여 신원 도용 및 사기 위험을 완화합니다.

디지털 신원 확인의 한 형태로서 eID는 다양한 인증 프로그램에 크게 의존합니다. 간단히 말해, 인증은 사용자 또는 장치에서 주장하는 신원의 유효성을 확인하는 프로세스입니다.

일반적으로 디지털 ID 확인은 최대 3가지 인증 요소를 조합하여 사용합니다.

1. 지식 기반 인증: 사용자는 비밀번호 또는 코드와 같이 자신만이 알 수 있는 정보를 제공합니다.
2. 소유 기반 인증: 사용자는 전자 문서, 여권 또는 스마트 카드와 같이 자신만이 갖고 있는 것을 제공합니다.
3. 생체 인식 인증: 사용자의 신체적 특징은 지문 또는 얼굴 인식을 통해 확인됩니다.

신원이 확인되면 해당 개인은 원하는 온라인 서비스에 접속할 수 있는 권한이 부여되며 해당 디지털 ID는 후속 확인에 사용할 수 있습니다.

이 방법은 기존의 서류 기반 프로세스보다 훨씬 효율적입니다. 조직에서는 수동으로 또는 직접 점검을 수행하는 대신 업무 흐름을 간소화하고 인적 오류를 없앨 수 있습니다. 이를 통해 더욱 편리한 사용자 경험이 제공될 뿐만 아니라, 대규모 위험 관리 및 데이터 보호도 지원됩니다.

전자 식별 사용 사례

수많은 업종에서 디지털 식별을 활용하여 고객, 시민 및 직원을 빠르고 원활하게 인증하고 있습니다.

• 온라인 뱅킹: eID 시스템을 사용하면 금융 기관은 승인된 개인만 계좌에 접근할 수 있도록 하여 잠재적인 사기를 방지할 수 있습니다.
• 공공 부문: 디지털 ID 서비스를 이용하면 시민들이 세금 신고, 사회 복지 혜택 신청, 개인 기록 조회 등 필수적인 정부 서비스를 온라인으로 이용할 수 있습니다. 이를 통해 정부 사무실을 직접 방문할 필요성이 없어지고, 행정적 부담이 줄어들고 전반적인 서비스 제공이 향상됩니다.
• 전문 서비스: 변호사, 회계사 및 기타 전문가는 eID를 사용하여 원격으로 고객의 신원을 확인하여 법률 및 규정 요건을 준수할 수 있습니다. 이러한 안전한 검증 프로세스를 통해 고객 등록, 문서 서명, 중요한 서비스 제공이 간소화되어 전문적인 관계에 대한 신뢰가 향상됩니다.
• 온라인 소매업: eID는 디지털 거래 중에 고객의 신원을 확인하여 구매가 승인되도록 보장합니다. 또한 결제 과정이 간소화되어 고객이 개인정보를 반복적으로 입력하지 않고도 빠르고 안전하게 거래를 완료할 수 있습니다. 향상된 사용자 경험은 더욱 높은 고객 만족도와 충성도로 이어질 수 있습니다.

eIDAS는 electronic IDentification, Authentication and Trust Services를 의미합니다. 포괄적인 EU 규정으로서 모든 유럽 eID 및 트러스트 서비스를 공통 법적 프레임워크 하에 통합합니다.

eIDAS 이전에는 전자 신원을 확인하는 일관된 접근 방식이 없었습니다. 각 EU 회원국은 자체적인 법적 요건과 트러스트 서비스 인프라를 갖추고 있었지만 다른 관할권에서는 유효하지 않았습니다. 이러한 분산된 환경으로 인해 국경을 넘나드는 거래를 안전하게 하는 것이 어려웠고, 그 결과 온라인 서비스와 전자상거래 플랫폼의 효과성이 저하되었습니다.

유럽 위원회는 2014년에 eIDAS 규정을 통과시키며 다음 세 가지 통합 원칙을 확립했습니다.

1. 상호 인정: eIDAS에 따라 모든 EU 국가는 서로의 eID 시스템을 인정해야 합니다. 즉, 한 EU 회원국에서 발급한 국가 eID 또는 트러스트 서비스는 다른 모든 회원국에서도 허용되어야 함을 의미합니다.
2. 상호 운용성: eIDAS는 또한 다양한 전자 식별 솔루션 간의 호환성을 보장합니다. 개인과 조직은 다양한 플랫폼과 서비스에서 아무런 문제 없이 동일한 디지털 ID를 사용할 수 있습니다.
3. 보안: 또한 이 규정은 디지털 ID 및 전자 거래가 사기와 사이버 위협으로부터 안전하게 보호되도록 하여 EU 전역에서 안전하고 신뢰할 수 있는 환경을 제공합니다.

이 EU 규정은 27개 회원국 모두에 적용됩니다. 은행 업무 또는 전자 상거래와 같이 안전한 식별이 필요한 디지털 서비스를 제공하는 EU 조직도 규정 준수가 필수입니다. 마찬가지로, 이는 유럽 연합에서 운영되는 모든 트러스트 서비스 제공업체(TSP)에도 적용되며, TSP는 지정된 감독 기관으로부터 해당 조직의 서비스가 eIDAS 표준을 충족한다는 확인을 받아야 합니다.

트러스트 서비스 제공업체란 무엇입니까?

트러스트 서비스 제공업체는 전자 서명, 전자 도장 및 인증서를 작성, 검증 및 보존하는 법인 또는 개인입니다. TSP는 또한 정보의 기밀성 및 부인 방지를 보장하고, 웹사이트 또는 서명자를 인증합니다.

이러한 서비스는 전자 문서, ID 또는 커뮤니케이션의 진위성과 무결성을 검증하는 데 필요한 메커니즘을 제공합니다. 이는 eIDAS 규정의 중요한 구성 요소로, 온라인 상호작용이 종이 기반 상호작용만큼 안전하고 신뢰할 수 있도록 보장합니다.

eIDAS 트러스트 서비스에는 다음이 포함될 수 있습니다.

1. 전자 서명
   전자 서명은 자필 서명과 같은 방식으로 작동합니다. 이는 문서에 디지털로 서명하는 데 사용되며, 서명자가 주장하는 신원이 맞는지 확인하고 서명이 적용된 이후 문서가 변경되지 않았는지 확인할 수 있는 안전하고 검증 가능한 방법을 제공합니다. eIDAS는 이러한 서명을 세 가지 수준으로 분류합니다.

   • 단순 전자 서명: 위험도가 낮은 애플리케이션에 적합한 기본적인 보안을 제공합니다.
   • 고급 전자 서명: 서명자와 서명자를 고유하게 연결하고 서명된 데이터에 대한 모든 변경 사항을 감지할 수 있도록 함으로써 보다 높은 수준의 보안을 제공합니다.
   • 공인 전자 서명: 가장 높은 수준의 보안을 제공하며 법적으로 자필 서명과 동일합니다. 이는 공인 서명 생성 장치를 사용하여 생성되어야 하며, 공인 디지털 인증서를 기반으로 해야 합니다.

   QSCD는 eIDAS 인증 프로세스를 거친 HSM(하드웨어 보안 모듈)과 같은 일종의 암호화 하드웨어입니다.
    

2. 전자 도장
   전자 도장은 전자 서명과 유사하지만 개인이 아닌 법인(예: 회사)에서 사용됩니다. 문서의 출처와 무결성을 보장하고 문서가 특정 기관에서 발행되었으며 변경되지 않았음을 확인합니다.
3. 타임 스탬프
   타임 스탬프는 특정 전자 문서 또는 데이터가 특정 시점에 존재했음을 증명합니다. 이는 문서 작성, 제출 또는 수신의 출처를 확립하고 무결성과 신뢰성을 한층 더 높이는 안전한 방법입니다.
4. 디지털 인증서
   간단히 말해, 디지털 인증서는 공개 키 암호화를 사용하여 장치, 서버, 사용자 또는 엔터티의 진위를 증명하는 파일입니다. 인증서는 인증서 보유자의 공개 키 사본이 포함되며 이 공개 키 사본의 출처를 확인하기 위해서는 해당 공개 키가 대응하는 개인 키와 일치해야 합니다.

유럽 디지털 ID 규정(eIDAS 2라고도 함)은 기존 eIDAS 법률의 업데이트된 버전입니다. 이 법은 2024년 4월 유럽 연합 공식 저널에 게재되었으며, 한 달 후에 발효되었습니다.

첫 번째 시도는 여러 면에서 성공적이었지만, 아직 개선할 부분이 많이 있었습니다. 특히, 기존 디지털 ID 프레임워크는 각 EU 회원국에서 도입 수준이 달랐기 때문에 eID 및 트러스트 서비스를 사용하는 데 있어 일관성이 없고 어려움이 있었습니다. 2021년 기준 EU 거주자의 59%만 국경을 넘어 신뢰할 수 있는 eID를 사용할 수 있습니다.

eIDAS 2는 여러 가지 중요한 변경 사항을 도입하여 이러한 단점을 해결합니다.

유럽 디지털 ID 지갑(EUDI 지갑)

이전에는 EU 국가들이 자체적으로 국가 eID 체계를 통보할 수 있었고, 다른 국가들은 이를 인정할 의무가 있었습니다. 하지만 기존에 전자 식별 시스템을 갖추지 않은 국가는 전자 식별 시스템을 만들도록 강제하지 않았기 때문에 도입률에 차이가 있었습니다.

이제 모든 회원국은 기업과 시민에게 안전한 디지털 지갑을 제공해야 하며, 이를 통해 국가 eID를 운전면허증, 졸업장, 은행 계좌와 같은 다른 개인 데이터 증명과 연결할 수 있습니다. 이를 통해 개인이 개인 데이터, 자격 증명, 속성을 저장, 관리하고 선택적으로 공유할 수 있는 범용 EU 디지털 ID 지갑을 만들 수 있습니다.

목표는 유럽 사용자들이 온라인 서비스를 사용할 때 사용자의 데이터를 완벽하게 제어할 수 있도록 하여 불필요한 데이터 공유를 줄이는 것입니다. 고객 ID를 확인하는 서비스 제공업체는 인증을 위해 이러한 지갑을 허용해야 합니다.

EU 디지털 ID 지갑에는 다음 세 가지 주요 기능이 있습니다.

1. 보안: 업데이트는 이러한 표준을 준수하도록 요구하는 개인정보보호 규정(GDPR)과 같은 기존 사이버 보안 법률에 맞춰져 있습니다. 또한 공공 기관이 전자 인증서를 발급할 수 있게 되어 조직이 데이터 프라이버시를 우선시하는 동시에 유럽 전역에서 자격 증명을 인식하는 데 도움이 됩니다.
2. 편의성: EUDI 지갑을 사용하면 시민들이 공공 서비스를 이용하고, 일자리를 신청하고, 유럽 전역을 여행하는 것이 더 쉬워집니다. 시민들은 이 도구를 통해 인증 목적으로 조직과 신원 세부 정보를 공유하여 필수적인 국경 간 활동에 대한 접근성을 간소화할 수 있습니다.
3. 상호 운용성: 또한 이 규정은 통일된 접근 방식을 장려하여 디지털 ID가 EU 전역에서 널리 수용되도록 촉진합니다. 이는 시민과 온라인 서비스 제공업체에 공통적인 기술 구조와 표준을 제공합니다. 이러한 조화는 디지털 ID 솔루션이 EU 전역에서 인정받고 신뢰받도록 보장합니다.

회원국은 2026년까지 시민들에게 국가 디지털 ID 지갑을 제공해야 합니다.

확장된 범위

유럽 디지털 ID 규정은 안전하고 신뢰할 수 있는 트러스트 서비스를 제공하도록 인증된 기관인 QTSP(자격을 갖춘 트러스트 서비스 제공업체)에 대한 프레임워크를 크게 강화합니다. QTSP는 보안 프로토콜을 구현하고, 정기 감사를 받고, 지정된 감독 기관으로부터 인증을 받는 등의 의무를 포함한 엄격한 규제 기준을 준수해야 합니다.

또한, eIDAS 2는 규칙의 범위를 확장하여 3개의 새로운 공인 트러스트 서비스를 포함시켰습니다.

1. 전자 보관 서비스: 보관 서비스는 전자 문서와 데이터를 안전하게 저장합니다. 이러한 서비스는 보관된 데이터가 시간이 지나도 정확하고 변경되지 않도록 보장합니다. eIDAS 2에서 도입한 자격을 갖춘 전자 보관 서비스는 전자 문서의 보관 기간 동안 무결성과 법적 가치를 보존하기 위해 엄격한 표준을 준수해야 합니다.
2. 전자 원장: 이 서비스는 블록체인 기술을 활용하여 거래 및 데이터에 대한 안전하고 변경 불가능한 기록을 제공합니다. 이를 통해 전자 데이터를 안정적으로 추적하고 검증할 수 있어 금융 거래, 공급망 관리 등 다양한 애플리케이션 및 사용 사례를 지원할 수 있습니다.
3. 원격 전자 서명 및 도장 생성 장치 관리: 이 트러스트 서비스를 통해 전자 서명 공급업체는 원격으로 안전한 방식으로 서명 및 씰링 프로세스를 관리할 수 있으며, 서명자가 물리적으로 서명하지 않더라도 서명 프로세스에 대한 완전한 제어권을 유지할 수 있습니다.

eIDAS 규정 준수는 귀하가 EU 조직인지 아니면 트러스트 서비스 제공업체인지에 따라 다르게 작동합니다. 규제 요건을 단순화하기 위해 각 당사자가 사용할 수 있는 필수 도구는 다음과 같습니다.

EU 기업

ID 확인이 필요한 서비스를 제공하는 조직은 강력한 인증 체계를 구현해야 합니다. 특히 특정 지역 솔루션이나 지역 전략 또는 글로벌 접근 방식에 중점을 두는 유럽 기업의 경우, EU 규제 환경은 조화를 궁극적인 목표로 빠르게 변화하고 있습니다. 여기에는 ID를 확인하고 진위성을 검증하는 증명서인 eIDAS 인증서 및 공인 전자 서명을 사용하는 것이 포함됩니다. 디지털 검증 프로세스는 온보딩 및 거래 인증을 간소화하고 승인된 개인만이 중요한 서비스와 데이터에 액세스할 수 있도록 하기 위해 비즈니스 운영에 통합되어야 합니다.

트러스트 서비스 제공업체

TSP는 QSCD를 사용하여 공인 전자 서명을 만들어야 합니다. 이러한 장치는 서명 생성 데이터(개인 키 등)가 안전한 환경에서 생성, 관리, 저장되도록 보장하여 무단 액세스를 방지합니다.

서비스 제공업체는 또한 디지털 인증서와 암호화 키를 관리하기 위해 강력한 공개 키 인프라(PKI)를 구현해야 합니다. PKI는 디지털 인증서의 안전한 발급, 배포 및 검증을 가능하게 하여 전자 서명 및 기타 서비스의 신뢰성을 보장합니다. TSP는 안전한 키 관리 관행을 유지하는 것을 포함하여 PKI 작업이 eIDAS 요건을 준수하도록 보장해야 합니다.

ID 및 액세스 관리(IAM) 시스템 역시 TSP가 사용자 ID를 관리하고 서비스에 대한 액세스를 제어하는 데 매우 중요합니다. 이러한 시스템은 사용자의 ID를 확인하기 위해 다중 인증(MFA)과 같은 강력한 인증 방법을 통합해야 합니다. IAM 솔루션을 사용하면 인증서 발급 또는 전자 서명 생성 등의 중요한 작업을 권한이 있는 사람만 수행할 수 있습니다.

Cloud Signature Consortium의 창립 회원사이자 트러스트 서비스 구축을 위한 인프라 솔루션 제공업체인 Entrust는 고객이 eIDAS 규정 준수를 달성할 수 있도록 도와드립니다. Entrust의 솔루션을 사용하면 자격을 갖춘 서명을 생성하고 강력하고 안전한 기반을 바탕으로 규정을 준수하는 트러스트 서비스를 구축할 수 있습니다.