eIDAS 2.0과 자율주권 신원 통제 프라이버시 법적 과제

초록

본 논문은 EU의 디지털 신원 규제인 eIDAS 2.0과 탈중앙화 신원 모델인 Self‑Sovereign Identity(SSI)의 원칙을 비교·분석한다. 규제 조항, 구현 프레임워크(ARF), 그리고 EUDI Wallet을 검토해 SSI와의 충돌 지점을 도출하고, 법·기술적 개선 방안을 제시한다.

상세 분석

eIDAS 2.0은 기존 eIDAS 1.0의 상호운용성·보안 한계를 보완하기 위해 ‘레벨 오브 어슈어런스(LoA)’를 세 단계로 구분하고, EU 전역에서 통합 디지털 신원 프레임워크(EUDI)를 구축한다는 목표를 갖는다. 그러나 논문은 규제 텍스트와 부속 지침(Recitals, Implementing Acts)에서 SSI 핵심 원칙—Existence, Control, Access, Transparency, Persistence, Portability, Consent, Interoperability, Minimalization, Protection—과 직접적으로 맞물리는 조항이 부족함을 지적한다. 특히 ‘Control’과 ‘Consent’에 관한 명시적 요구가 없으며, ‘Portability’와 ‘Persistence’를 보장하기 위한 데이터 보관·삭제 메커니즘이 규제에 명시되지 않아 탈중앙화 원장에 저장된 DID·VC의 법적 지위가 불투명해진다.

ARF(Architecture Reference Framework)는 기술 구현 가이드와 EUDI Wallet의 기능 사양을 제공하지만, 법적 구속력이 없고 SSI‑친화적 메타데이터 표준(예: W3C DID, Verifiable Credential)과의 매핑이 선택적이다. 결과적으로 회원국이 자체적으로 중앙집중형 eID를 제공하면서도, SSI 기반의 분산식 신원 증명서를 수용하려면 별도 국가법 개정이나 추가 인증기관(Aggregator) 도입이 필요하다.

논문은 정량적·정성적 방법론을 결합해 33개의 선행 연구를 체계적으로 리뷰하고, SSI 원칙을 10개의 평가 항목으로 재구성한 뒤, eIDAS 2.0 조항과 ARF 요소에 매핑한다. 매핑 결과, ‘Control’, ‘Portability’, ‘Minimalization’에서 가장 큰 격차가 발견되었으며, ‘Interoperability’와 ‘Security’는 비교적 일치한다는 결론에 도달한다.

법적 측면에서는 eIDAS 2.0이 ‘신원 제공자(Identity Provider)’를 중앙화된 신뢰 앵커로 규정함으로써, SSI가 지향하는 ‘다중 발행자(Multiple Issuers)’ 모델과 충돌한다는 점을 강조한다. 또한, GDPR과의 연계에서 ‘데이터 주체의 권리’를 보장하려면 SSI 기반 VC의 ‘취소(Revocation)’와 ‘갱신(Update)’ 메커니즘을 규제에 명시해야 한다고 제언한다.

기술적 측면에서는 DLT 기반 DID 레지스트리와 온‑체인 Revocation Registry를 표준화하고, EUDI Wallet이 ‘셀프‑소버린’ 모드와 ‘레귤러’ 모드(중앙 인증 연동)를 동시에 지원하도록 설계할 것을 권고한다. 이를 위해 EU 차원의 ‘SSI 인증 프레임워크’를 도입하고, 회원국 간 ‘신원 증명서 상호인증 협정’을 체결해야 한다는 실무적 로드맵을 제시한다.