맨위로가기

EIDAS

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

eIDAS는 전자 거래 관련 규제 환경을 제공하는 유럽 연합의 규정으로, 디지털 신원, 고급 전자 서명, 적격 전자 서명, 신뢰 서비스 등을 다룬다. 이 규정은 2014년 제정되어 2016년부터 시행되었으며, 유럽 내 전자 신원 상호 인정을 통해 디지털 단일 시장을 목표로 한다. eIDAS는 전자 서명의 법적 효력을 규정하고, 2021년 수정안이 제안되었으며, 2024년에는 eIDAS-Testbed가 출시되었다. 또한, eIDAS는 데이터베이스 정보와 신원 번호 연결을 요구하며, 취약점과 유럽 자기 주권 신원 프레임워크(ESSIF) 관련 내용도 포함한다. 2023년에는 암호화된 통신 감시를 가능하게 하는 법률 개정안이 논란이 되었으며, 최종 초안에서는 브라우저의 보안 조치를 유지할 수 있는 조항이 마련되었다.

더 읽어볼만한 페이지

  • 유럽 연합의 규칙 - 디지털 시장법
  • 유럽 연합의 규칙 - 일반 데이터 보호 규칙
    일반 데이터 보호 규칙(GDPR)은 개인 정보 보호를 강화하고 EU 역내 규제를 통합하기 위해 2018년 5월 25일부터 EU 27개 회원국에 시행된 법규이다.
  • 서명 - 투그라
    투그라는 오스만 제국 술탄의 이름과 칭호를 기하학적으로 표현한 서예 양식으로, 술탄의 권위를 상징하며 문서, 건물, 주화 등에 사용되었고, 오스만 제국을 넘어 다른 튀르크족 국가에서도 사용된 역사적, 문화적으로 중요한 자료이다.
  • 서명 - 디지털 서명
    디지털 서명은 공개 키 암호 방식을 기반으로 전자 문서의 위변조 방지 및 발신자 인증을 제공하며, 키 생성, 서명 생성, 검증의 세 가지 알고리즘으로 구성되어 올바른 서명 키로 생성된 서명은 항상 승인되어야 하고 공개 키만으로 유효한 서명을 생성하는 것이 계산적으로 불가능해야 한다는 특징을 가진다.
  • 암호 표준 - 신뢰 플랫폼 모듈
    신뢰 플랫폼 모듈(TPM)은 신뢰 컴퓨팅 그룹(TCG)에서 구상한 보안 장치로, 하드웨어 난수 생성, 암호 키 안전 생성, 원격 증명, 바인딩, 밀봉된 저장소 등의 기능을 제공하여 플랫폼 무결성 보장, 디스크 암호화, 디지털 권한 관리(DRM) 등 다양한 분야에 활용되며 여러 유형으로 구현되고 있다.
  • 암호 표준 - XML 암호화
    XML 암호화는 XML 문서의 일부 또는 전체를 암호화하는 기술로, `EncryptedData` 또는 `EncryptedKey` 요소를 사용하여 데이터를 암호화하고 `KeyInfo` 요소로 키 정보를 제공하며, 저장되거나 전송되는 데이터 자체를 보호하기 위해 개발되었고 보안 강화를 위해 1.1 버전에서는 갈루아/카운터 모드 블록 암호 알고리즘이 추가되었다.
EIDAS
일반 정보
명칭전자 식별 및 신뢰 서비스에 대한 EU 규칙
원제목Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
종류규정
번호(EU) 910/2014
제정 기관유럽 의회 및 유럽 이사회
법적 근거해당 없음
관보 참조L257, 2014/8/28, p. 73–114
제정일2014년 7월 23일
시행일해당 없음
이행해당 없음
위원회 제안해당 없음
대체 법률지침 1999/93/EC
상태유효

2. 내용

다음은 전자 거래와 관련된 중요한 측면에 대한 규제 환경을 제공한다.[2]


  • 디지털 신원: 법적 유효성을 가진 시민의 디지털 인증을 위한 유럽 전역의 프레임워크(유럽 디지털 신원 지갑, EDIW)이다.[12] ''유럽 디지털 신원''의 9가지 원칙은 사용자 선택, 개인 정보 보호, 상호 운용성 및 보안, 신뢰, 편의성, 사용자 동의 및 제어 비례성, 상대방 지식 및 글로벌 확장성으로 정의되었다.[13]
  • ''고급 전자 서명''(AdES): 전자 서명은 특정 요구 사항을 충족하는 경우 고급으로 간주된다.
  • * 서명자와 연결되는 고유한 식별 정보를 제공한다.
  • * 서명자는 전자 서명 생성에 사용되는 데이터를 단독으로 제어한다.
  • * 서명 후 메시지와 함께 제공된 데이터가 변조되었는지 식별할 수 있어야 한다. 서명된 데이터가 변경된 경우 서명은 무효로 표시된다.
  • * 전자 서명에 대한 인증서가 있다. 서명자의 신원을 확인하고 전자 서명 유효성 검사 데이터를 해당 사람과 연결하는 전자 증명이다.
  • * 고급 전자 서명은 XAdES, PAdES, CAdES 또는 ASiC Baseline Profile (Associated Signature Containers) 디지털 서명 표준에 따라 기술적으로 구현될 수 있으며, 이는 ETSI에서 지정한다.[14]
  • ''적격 전자 서명''은 적격 전자 서명에 대한 적격 인증서를 기반으로 적격 전자 서명 생성 장치에 의해 생성된 고급 전자 서명이다.
  • ''적격 디지털 인증서''는 적격 신뢰 서비스 제공자가 발행한 적격 전자 서명의 진위 여부를 증명하는 인증서이다.
  • ''적격 웹사이트 인증서''는 eIDAS 규정에 정의된 신뢰 서비스에 따른 적격 디지털 인증서이다.
  • ''신뢰 서비스''는 전자 서명, 타임 스탬프, 인감 및 인증서를 생성, 유효성 검사 및 확인하는 전자 서비스이다. 또한 신뢰 서비스는 생성된 전자 서명, 인증서 및 인감의 웹사이트 인증 및 보존을 제공할 수 있다. 이는 신뢰 서비스 제공자가 처리한다.
  • ''유럽 연합 신뢰 목록 (EUTL)''

2. 1. 구성

본 규칙은 6개의 장과 4개의 부칙으로 구성된다.

2. 2. 규제 대상 측면

디지털 신원, 고급 전자 서명(AdES), 적격 전자 서명, 적격 디지털 인증서, 적격 웹사이트 인증서, 신뢰 서비스, 유럽 연합 신뢰 목록(EUTL)과 같은 전자 거래와 관련된 중요한 측면에 대한 규제 환경을 제공한다.[2]

디지털 신원은 법적 유효성을 가진 시민의 디지털 인증을 위한 유럽 전역의 프레임워크(유럽 디지털 신원 지갑, EDIW)이다.[12] ''유럽 디지털 신원''의 9가지 원칙은 사용자 선택, 개인 정보 보호, 상호 운용성 및 보안, 신뢰, 편의성, 사용자 동의 및 제어 비례성, 상대방 지식 및 글로벌 확장성으로 정의되었다.[13]

고급 전자 서명은 특정 요구 사항을 충족하는 경우 고급으로 간주된다. 서명자와 연결되는 고유한 식별 정보를 제공하고, 서명자는 전자 서명 생성에 사용되는 데이터를 단독으로 제어한다. 서명 후 메시지와 함께 제공된 데이터가 변조되었는지 식별할 수 있어야 하며, 서명된 데이터가 변경된 경우 서명은 무효로 표시된다. 또한 전자 서명에 대한 인증서가 있어야 하며, 이는 서명자의 신원을 확인하고 전자 서명 유효성 검사 데이터를 해당 사람과 연결하는 전자 증명이다. 고급 전자 서명은 XAdES, PAdES, CAdES 또는 ASiC Baseline Profile (Associated Signature Containers) 디지털 서명 표준에 따라 기술적으로 구현될 수 있으며, 이는 ETSI에서 지정한다.[14]

적격 전자 서명은 적격 전자 서명에 대한 적격 인증서를 기반으로 적격 전자 서명 생성 장치에 의해 생성된 고급 전자 서명이다. 적격 디지털 인증서는 적격 신뢰 서비스 제공자가 발행한 적격 전자 서명의 진위 여부를 증명하는 인증서이다.

신뢰 서비스는 전자 서명, 타임 스탬프, 인감 및 인증서를 생성, 유효성 검사 및 확인하는 전자 서비스이다. 또한 신뢰 서비스는 생성된 전자 서명, 인증서 및 인감의 웹사이트 인증 및 보존을 제공할 수 있으며, 이는 신뢰 서비스 제공자가 처리한다.

3. 연혁 및 법적 의미

eIDAS는 2014년 7월 23일 전자 신원 확인에 관한 EU 규정 910/2014로 제정되었으며, 1999년 12월 13일의 1999/93/EC을 폐지했다.[1][2] 2014년 9월 17일에 발효되었으며, 제52조에 열거된 특정 조항을 제외하고 2016년 7월 1일부터 적용되었다.[5] 2018년 9월 29일부터 EU 회원국의 공공 디지털 서비스를 제공하는 모든 기관은 모든 EU 회원국의 전자 신원 확인을 인정해야 했으며, 이는 유럽 단일 시장의 모든 국가에 적용되었다.[6][7]

eIDAS는 유럽 위원회의 유럽 디지털 의제에 대한 집중의 결과로, EU 내 디지털 성장을 촉진하기 위해 시행되었다.[9] eIDAS는 상호 운용성과 투명성에 중점을 두어 회원국 간 인증을 위한 전자 신원(eID)의 상호 인정을 보장하고, 디지털 단일 시장의 목표를 달성한다.[17]

eIDAS 규정은 전자 서명과 관련하여 EU 회원국이 달성해야 할 목표를 설정한 1999/93/EC 지침에서 발전된 것이다. 1999년 지침은 각 회원국이 법을 해석하고 제한을 부과할 수 있도록 하여 상호 운용성을 방해하고 분열된 시나리오로 이어졌지만,[16] eIDAS는 회원국 간 인증을 위해 전자 신원(eID)의 상호 인정을 보장한다.[17] 최초의 에스토니아 디지털 서명은 2002년에, 최초의 라트비아 디지털 서명은 2006년에 발급되는 등 작은 유럽 국가들이 디지털 서명과 식별을 먼저 채택했으며, 이들의 경험은 2016년 7월 1일부터 EU 전체에서 법으로 구속력을 갖게 된 EU 전반의 규정을 개발하는 데 사용되었다.[15]

eIDAS는 법적 가치에 대한 계층적 접근 방식을 제공한다. 고급 또는 적격 전자 서명이 아니라는 이유만으로 전자 서명이 법적 효력이나 법원 증거 능력에서 거부될 수 없도록 요구하며,[18] 적격 전자 서명은 수기 서명과 동일한 법적 효력을 가져야 한다.[19] 전자 인감(법인의 서명 버전)의 경우, 인감은 첨부된 데이터의 무결성과 원산지의 정확성에 대한 추정을 누려야 하므로 증거 가치가 명시적으로 언급된다.[20]

2021년 6월, 위원회는 수정안을 제안하고 권고안을 발표했다.[21][22][23] 2024년 7월, go.eIDAS-Association은 여러 독일 기술 회사 및 재단과 함께 아키텍처 및 참조 프레임워크(ARF)를 준수하는 지갑에 PID-자격 증명을 발급하기 위해 최초의 eIDAS-Testbed를 출시했다.[8]

4. 설계 요구 사항

eIDAS에서 데이터베이스 정보는 일종의 신원 번호에 연결되어야 한다.[34] 개인 정보 접근 권한을 증명하기 위해 여러 단계가 필요하다.[34]


  • 한 국가에서 개발된 방법(예: 전자 인증서)을 통해 사람을 번호에 연결한다.[34]
  • 데이터베이스에서 번호를 특정 정보에 연결한다.[34]
  • eIDAS의 경우, 정보를 가진 국가에서 사용되는 번호를 전자 인증서를 발급하는 국가에서 사용되는 번호에 연결해야 한다.[34]


eIDAS는 최소한 이름과 생년월일을 신원 개념으로 갖는다.[34] 더 민감한 정보에 접근하기 위해서는 두 국가에서 발급된 신원 번호가 동일한 사람을 가리킨다는 인증이 필요하다.[34]

5. 취약점

2019년 10월, 보안 연구원에 의해 ''eIDAS-Node''(유럽 위원회에서 제공하는 eID eIDAS 프로파일의 샘플 구현[35])에서 두 가지 보안 결함이 발견되었으며, 두 취약점 모두 eIDAS-Node 2.3.1 버전에서 패치되었다.[36]

6. 유럽 자기 주권 신원 프레임워크 (ESSIF)

유럽 연합은 유럽 자기 주권 신원 프레임워크(ESSIF)를 개발하기 시작했다. 그러나 많은 국가에서 사용자는 eIDAS 서비스를 이용하기 위해 구글이나 애플 고객이어야 한다.

7. 논란

2023년, EU 정부가 암호화된 통신을 포함하여 중간자 공격을 수행할 수 있도록 하는 법률 개정안이 검토되었다.[24] 이는 2019년 카자흐스탄 대규모 감시 시도와 동일한 메커니즘을 통해 작동하는 것이었다. 이 개정안은 사이버 보안 연구 그룹, NGO, 시민 사회 단체에 의해 인권, 프라이버시, 존엄성에 대한 위협으로 규탄받았다.[25][26][27][28]

논란의 핵심은 제45조 개정안의 두 번째 단락으로, 웹사이트 인증용 자격 증명서가 웹 브라우저에서 인식되어야 하며, 웹 브라우저는 특정 조건을 제외하고 이러한 자격 증명서와의 지원 및 상호 운용성을 보장해야 한다는 내용이었다.[29]

비평가들은 인증 기관(CA)이 브라우저 공급업체의 감사 및 심사 절차 없이 증명서를 발급하도록 허용하는 것은 인터넷 보안을 위태롭게 하고 중간자 공격의 문을 열 수 있다고 주장했다.[30][31] 정부가 위임한 CA가 임의의 도메인 이름에 대한 증명서를 발급하고 이를 사칭에 사용할 수 있으며, 브라우저가 이를 신뢰할 수 있는 것으로 제거할 수 없게 될 수 있다는 우려가 제기되었다.[30] 이는 법치주의가 약한 국가에서 정치적 탄압과 개인적 이익을 위해 국민을 감시하는 데 악용될 수 있다는 점에서 특히 우려되었다.[25][27]

그러나 최종 초안에서는 브라우저 공급업체가 보안 조항을 계속 구현할 수 있도록 하는 조항이 마련되었다.[32] 즉, 증명서의 보안 침해 또는 무결성 손실과 관련된 근거 있는 우려가 있는 경우, 웹 브라우저는 예방 조치를 취할 수 있다. 이는 브라우저 공급업체가 증명 투명성과 같은 메커니즘을 계속 사용하여 브라우저 보안을 유지할 수 있도록 하는 것으로 해석되었다.[32] 유럽 위원회는 제45조 개정안에 대한 성명을 통해 브라우저의 "자체 보안 정책"에 어떠한 제한도 부과되지 않는다고 명확히 밝혔다.[33]

8. 대한민국과의 관계

8. 1. 전자서명법

8. 2. 국제 협력

참조

[1] 웹사이트 Understanding eIDAS http://www.cryptomat[...] Cryptomathic 2016-04-12
[2] 웹사이트 Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC http://eur-lex.europ[...] The European Parliament and the Council of the European Union 2016-03-18
[3] 웹사이트 Is the EU ready for eIDAS? https://www.secureid[...] Secure Identity Alliance 2016-03-18
[4] 웹사이트 eIDAS from Directive to Regulation - Legal Aspects http://www.cryptomat[...] Cryptomathic 2016-03-18
[5] 웹사이트 eIDAS in force, applies and exceptions on Europa.eu http://eur-lex.europ[...]
[6] 웹사이트 Info on eIDAS https://connectis.co[...] Connectis
[7] 웹사이트 Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 https://eur-lex.euro[...]
[8] 웹사이트 eIDAS-Testbed successfully launched https://www.eid.as/n[...] 2024-06-19
[9] 웹사이트 A Digital Agenda For Europe http://eur-lex.europ[...] The European Commission 2016-03-18
[10] 웹사이트 eIDAS Regulation: EID - Opportunities and Risks https://www.bsi.bund[...] Fraunhofer-Gesellschaft 2016-03-18
[11] 웹사이트 The eIDAS Agenda: Innovation, Interoperability and Transparency http://www.cryptomat[...] Cryptomathic 2016-03-18
[12] 웹사이트 European Digital Identity Wallet {{!}} Shaping Europe's digital future https://digital-stra[...] 2024-01-27
[13] 웹사이트 Towards principles and guidance for eID interoperability on online platforms https://ec.europa.eu[...] European Commission 2021-08-29
[14] 웹사이트 The Difference Between an Electronic Signature and a Digital Signature http://www.cryptomat[...] Cryptomathic 2016-04-21
[15] 웹사이트 Regulations, Directives and other acts http://europa.eu/eu-[...] The European Union 2016-03-18
[16] 웹사이트 Understanding eIDAS – All you ever wanted to know about the new EU Electronic Signature Regulation https://www.legaltec[...] 2016-03-01
[17] 웹사이트 A Big Step Toward the European Digital Single Market https://www2.deloitt[...] Inside Magazine 2019-03-27
[18] 문서 Articles 25 (1) and definitions in article 3 (10) to 3 (12)
[19] 문서 Article 25 (2)
[20] 문서 Article 35 (2)
[21] 간행물 Commission proposes a trusted and secure Digital Identity for all Europeans https://ec.europa.eu[...] European Commission 2021-06-03
[22] EUR-Lex Procedure 2021/0136/COD https://eur-lex.euro[...]
[23] EUR-Lex Commission Recommendation (EU) 2021/946 of 3 June 2021 on a common Union Toolbox for a coordinated approach towards a European Digital Identity Framework http://data.europa.e[...]
[24] PDF https://blog.mozilla[...] 2024-08
[25] 웹사이트 https://last-chance-[...] 2024-08
[26] 웹사이트 EIDAS letter.PDF https://nce.mpi-sp.o[...]
[27] 웹사이트 Civil Society Experts Voice Concern as New EU Digital Identity Regulation Finalized https://www.internet[...]
[28] 웹사이트 EU's Digital Identity Framework Endangers Browser Security https://www.eff.org/[...] 2021-12-15
[29] 웹사이트 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity https://eur-lex.euro[...] 2024-10-20
[30] 웹사이트 Bad eIDAS: Europe ready to intercept, spy on your encrypted HTTPS connections https://www.theregis[...] 2024-10-20
[31] 웹사이트 EIDAS Letter 2022 https://www.eff.org/[...] 2022-03-02
[32] 웹사이트 Some observations on the final text of the European Digital Identity framework (eIDAS). https://blog.xot.nl/[...] 2023-11-25
[33] 웹사이트 Texts adopted - European Digital Identity Framework - Thursday, 29 February 2024 https://www.europarl[...] 2024-10-20
[34] 웹사이트 Hur skapar du en koppling mellan svenska och utländska eID:n? https://www.elegnamn[...]
[35] 웹사이트 eIDAS-Node integration package https://ec.europa.eu[...] 2019-10-29
[36] 웹사이트 Major vulnerability patched in the EU's eIDAS authentication system https://www.zdnet.co[...] 2019-10-29
[37] Bare URL https://helpx.adobe.[...] 2024-08
[38] 웹사이트 トラストサービス推進フォーラムの取組 https://itresearchar[...] 一般財団法人日本データ通信協会トラストサービス推進フォーラム 2020-05-23
[39] 웹인용 Understanding eIDAS http://www.cryptomat[...] Cryptomathic 2016-04-12
[40] 웹인용 Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC http://eur-lex.europ[...] The European Parliament and the Council of the European Union 2016-03-18
[41] URL https://blog.mozilla[...]
[42] URL https://last-chance-[...]
[43] URL https://nce.mpi-sp.o[...]
[44] URL https://www.internet[...]


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com