협우인포테크(주)는 Apryse사의 한국 공인 파트너입니다.
요약
이 블로그에서는 기존의 종이에 잉크를 사용하는 서명 방식에서 PDF 디지털 서명으로 전환되는 과정을 살펴봅니다. 기본 전자 서명의 한계와 공개키 암호화를 사용하여 디지털 서명을 생성하고 검증하는 복잡한 과정을 간략하게 설명합니다. 가이드 섹션에서는 고급 전자 서명과 공인 전자 서명을 구분하여 법적 인정을 강조하고, 마지막으로 Apryse WebViewer SDK와 서버 SDK를 사용하여 안전한 디지털 서명을 구현하는 방법을 설명합니다.
서론
세상이 디지털 미래로 빠르게 변화함에 따라, 일상 생활에서 흔히 볼 수 있는 것 중 하나는 계약서나 계약서 같은 법적 구속력이 있는 문서에 서명하는 것 입니다. 예전에는 종이에 잉크를 사용하여 서명했지만, 이런 방식에는 단점이 있으며 특히 법적 구속력이 있는 문서의 경우는 더욱 그렇습니다.
무엇보다도, 계약서가 서명 이후 변경되지 않았다는 것을 어떻게 확인할 수 있을까요 ? 당사자 들은 계약서에 기재된 내용을 바탕으로 합의에 도달했지만, 서명 이후 계약서가 잠재적으로 변경되었는지 여부는 보장할 수 없으며, 서명 이후 계약서가 변경되지 않았다는 것을 반박할 수 있는 증명 방법도 없습니다.
또한, 종이에 잉크로 쓴 서명의 경우, 그 서명이 주장하는 사람의 것이라는 것을 어떻게 확신할 수 있을까요 ?
PDF 디지털 서명은 서명 후 검증 가능한 문서를 생성하는데 있어 훨씬 안정적인 수단을 제공합니다.
Apryse WebViewer를 사용하여 브라우저에서 PDF를 만들고, 주석을 달고, 디지털 서명을 하십시오. 지금 바로 문서 Workflow를 시작해 보십시오.
전자 서명(E-Signature)은 무엇입니까?
전자 서명(때로는 단순 전자 서명이라고도 함)은 서명의 디지털 표현으로, 일반적으로 서명과 관련되어 검증 가능한 전자 정보가 없습니다. 이는 종이에 잉크로 서명하는 것과 매우 유사합니다. 전자 서명의 경우, PDF 소프트웨어는 단순 전자 서명으로 된 이후 문서가 수정되지 않았다는 것을 보장할 수 없습니다. 단순 전자 서명은 종이에 잉크로 서명한 것을 디지털로 재현한 것일 뿐이기 때문입니다.
계약의 성격이 관련 당사자에게 잠재적으로 큰 위험을 초래할 수 있는 경우, 문서 서명 후 계약의 무결성 보장이 매우 중요합니다. 바로 이런 관점에서 디지털 서명은 기존 종이 서명과 전자 서명의 단점을 극복할 수 있습니다.
디지털 서명(Digital Signatures)이란 무엇입니까?
PDF 디지털 서명은 공개키 암호화 개념을 활용하여 변조되지 않았다는 것을 검증 가능한 문서로 생성합니다. 이를 통해 여러 당사자가 더 이상 수정되지 않은 동일한 문서를 보고 있다는 것을 확인할 수 있습니다. 예를 들면, 법적 계약서의 경우 입니다.
“전반적으로 PDF 및 기타 문서 형식을 처리하는 웹 애플리케이션에 아주 유용한 SDK 입니다. PHP 프로젝트 중 하나에 사용했는데, PDF 생성, 페이지 추가, 디지털 서명 생성 등에 매우 유용합니다. “ Capture Review- Information Technologies & Services Company
디지털 서명이 AI 시대에 문서의 진위성을 어떻게 보장하는지 알아 보십시오.
디지털 서명이 있는 PDF 생성
서명 후 문서의 변조 방지를 보장하는 방법에 대한 기술적 세부 사항을 설명하자면, 서명되지 않은 원본 PDF 문서는 먼저 해시 함수(hash function)를 통해 해시값을 생성합니다. 해시는 입력 데이터(PDF 문서)가 변경되지 않은 한 항상 동일한 출력값을 보장하는 특정 문자열 입니다. 생성된 해시값이 주어진 입력값에 대해 항상 같도록 보장하는 것은 디지털 서명 프로세스에 매우 중요합니다.
그림 1. 해시 함수의 입력으로 사용되어 해시 출력을 생성하는 PDF 문서 입니다.
그런 다음, 디지털 인증서의 개인키를 사용하여 해시를 암호화하고 디지털 서명을 생성합니다.
그림 2. PDF 문서의 해시는 개인키로 암호화되어 서명된 해시를 생성합니다.
이 디지털 서명은 서명자의 공개키가 포함된 디지털 인증서와 함께 PDF 문서로 패키징 됩니다.
그림 3. PDF 문서의 서명된 해시(Signed Hash)를 생성하는데 사용된 개인키의 공개키 인증서 쌍과
서명된 해시 자체가 PDF에 패키징 되어 디지털 서명이 포함된 PDF를 생성합니다.
이렇게 하면 디지털 서명이 포함된 PDF 문서가 생성됩니다.
이것이 어떻게 검증 가능한 문서로 변환되는지 궁금할 것 입니다. 다음 섹션에서 PDF 디지털 서명 검증을 다루겠습니다.
디지털 서명이 있는 PDF 검증
Apryse의 WebViewer SDK 및 Server SDK 제품과 같이 PDF 디지털 서명 검증을 수행할 수 있는 PDF 소프트웨어는 디지털 서명을 검증하기 위해 두 가지 별도의 단계를 수행합니다.
첫 번째 단계는 그림 1에 나와 있는 것과 비슷한 작업을 수행하는 것 입니다. 디지털 서명을 검증하는 소프트웨어는 먼저 디지털 서명된 문서에서 원본 문서를 추출해야 합니다.
그림 4. 원본 PDF 문서를 디지털 서명된 문서에서 추출합니다.
그림 1에서 수행한 작업과 마찬가지로 소프트웨어는 동일한 해시 함수를 통해 원본 PDF 데이터를 다시 처리합니다.
그림 5. 원본 PDF 문서를 해시 함수를 통해 처리하여 해시 출력을 생성합니다.
입력(즉, 원본 PDF)이 변경되지 않는 한 해시 출력은 변경되지 않는다는 점을 기억하십시오.
그림 6. 디지털 서명을 디지털 서명된 문서에서 추출합니다.
그림 3에서 생성된 디지털 서명에서 별도의 해시를 계산합니다. 이는 그림 3의 PDF에 첨부된 서명자의 공개키로 디지털 서명을 해독합니다.
그림 7. 디지털 서명은 원본 디지털 서명을 생성하는데 사용된 개인키와 비대칭 공개키를 사용하여 해독합니다.
그리고 두 개의 해시를 비교합니다 :
그림 8. 두 개의 별도로 계산된 해시. 왼쪽은 해시 함수를 통해 다시 처리된 PDF 문서의 해시를 나타내고,
오른쪽은 PDF에 첨부된 공개키를 사용하여 해독된 해시를 나타냅니다.
두 값이 일치하면 디지털 서명이 PDF 문서에 적용된 후 해당 문서가 수정되지 않았음을 보장하며, PDF 소프트웨어는 이를 반영합니다. 일치하지 않으면 해당 PDF 문서가 디지털 서명이 적용된 문서와 동일하지 않다는 것을 나타냅니다.
디지털 서명된 PDF에 어떤 수정이 가해지면 그림 8의 왼쪽 해시가 그림 8의 오른쪽 해시와 같지 않게 됩니다. 즉, 계약이나 합의의 어떤 것을 변경하려는 시도라도 디지털 서명 검증을 수행할 수 있는 소프트웨어에 표시(플래그) 지정되고, 디지털 서명된 문서가 어떤 식으로든 변경되었다는 사실을 당사자에게 확실하게 알려 줍니다.
디지털 서명은 문서의 무결성을 보장하여 서명 시점부터 디지털 서명이 포함된 문서가 변조되지 않았음을 보장합니다. 이를 위해 별도의 인증 기관이 필요하지 않습니다.
디지털 서명에는 어떤 유형이 있나요?
유럽 연합(EU) 등의 정부 기관에서 인정하는 두 가지 유형의 디지털 서명이 있습니다.
고급 전자 서명(Advanced Electronic Signature/AES)
- 서명은 고유하게 식별되고 서명자와 연결될 수 있습니다.
- 서명자는 서명을 만드는데 사용된 전자 서명 데이터(일반적으로는 개인키)에 대한 독점 제어권을 가져야 합니다.
- 서명은 메시지가 서명된 후 서명에 수반되는 데이터가 변조되었는지 감지할 수 있어야 합니다.
- 첨부된 데이터의 변경 사항이 감지되면 서명을 무효화해야 합니다.
디지털 서명을 사용하여 PDF 문서를 만들고 검증하여 문서의 무결성을 보장하는 위의 과정은 고급 전자 서명을 만드는 방법을 보여 줍니다. 요구 사항 1과 2를 충족하려면 OpenSSL과 같은 무료 프로그램을 사용하여 공개키와 개인키 쌍(.pfx 파일 형식)을 생성한 다음, 이를 Apryse WebViewer SDK나 Apryse Server SDK와 함께 사용하여 디지털 서명이 포함된 PDF를 만들 수 있습니다.
스마트 문서 솔루션으로 일상 업무의 효율성이 높아 집니다. Dropbox에서 바로 PDF에 서명하는 방법을 알아 보십시오.
적격 전자 서명(Qualified Electronic Signature/QES)
적격(Qualified) 전자 서명은 고급 전자 서명의 모든 속성을 상속하지만 다섯 번째 요구 사항이 있습니다.
- 전자 서명을 생성하는데 사용되는 인증서는 신뢰할 수 있는 서비스 제공자(Trusted Service Provider)가 제공해야 합니다.
신뢰 서비스 제공자는 전자 서명을 생성하고 검증하며 서명자와 웹사이트 전반을 인증하기 위해 디지털 인증서를 제공, 보존하는 개인이나 법인 입니다.
신뢰 서비스 제공자(TSP)는 인증 기관(CA)일수도 있습니다. 두 기관 모두 디지털 서명 생성 프로세스의 일부로 사용할 수 있는 디지털 서명 인증서를 제공할 수 있습니다.
디지털 서명은 어느 관할권에서 인정되나요?
고급 전자 서명(Advanced Electronic Signatures)과 적격 전자 서명(Qualified Electronic Signatures)은 현재 모든 유럽 연합 국가에서 EU 규정 910/2-14(eIDAS 라고도 함)에 따라 인정되고 있습니다. 미국은 EU 처럼 고급 전자 서명과 적격 전자 서명에 상응하는 제도를 아직 법적으로 인정하지 않고 있으나, 전 세계가 법적 구속력이 있는 계약 이행을 위해 디지털 기술에 더욱 의존하게 됨에 따라 이러한 상황은 향후 언제든지 바뀔 수 있습니다.
공공 부문을 위한 안전하고 규정을 준수하는 문서 솔루션에 대해 자세히 알아 보십시오.
“Apryse는 주석부터 서명까지 다양한 기능을 제공하는 훌륭한 PDF 도구로 모든 기능을 갖고 있습니다. 웹과 SDK 통합도 매우 쉬웠습니다. 지원과 문서 정보도 최고 수준입니다. “ Capterra Review – Health, Wellness & Fitness Company, 직원 51-200 명
정리(Next Steps)
이 블로그에서는 세 가지 유형의 서명 솔루션을 다루었습니다.
- 전자 서명(E-signature/Simple Electronic Signature) : 기능적으로 종이에 쓴 잉크 서명과 같은 수기 서명의 디지털 표현으로 서명 후 문서의 무결성을 검증할 수 있는 디지털 데이터가 서명에 내장되어 있지 않습니다.
- 고급 전자 서명(Advanced Electronic Signature/AES) : Apryse WebViewer SDK나 Apryse Server SDK와 같은 PDF 소프트웨어에서 처리할 수 있는 디지털 서명 데이터가 포함되어 있으며, 디지털 서명이 적용된 후 문서가 변경되었는지 확인하기 위해 문서의 무결성을 검증합니다.
- 적격 전자 서명(Qualified Electronic Signature/QES) : 고급 전자 서명 보다 진보된 형태로서 디지털 서명 프로세스의 일부로 사용되는 디지털 서명 인증서를 신뢰할 수 있는 서비스 제공자 및 인증 기관에서 발급합니다.
PDF 디지털 서명과 디지털 서명 기술에 대해 이 가이드 정보가 도움이 되기를 바랍니다. ApryseWebViewer에서 디지털 서명이 어떻게 작동하는지 보여주는 반응형 데모를 확인하거나, 웹 SDK 설명서를 참고하여 지금 시작해 보십시오. 문제가 발생하면 여기(Discord)에 문의할 수 있습니다.
전자문서솔루션 견적 문의는
상단 문의버튼을 이용해주세요.
Apryse 한국 총판 협우인포테크(주)
