EU 전자 증거 규정: 2026년 8월 이전에 서비스 제공업체가 알아야 할 사항

2026년 8월 18일부터 EU E-Evidence 규정(규정(EU) 2023/1543)는 유럽 전역의 디지털 서비스 제공업체가 국경을 넘는 법 집행 기관의 전자 증거 요청을 처리하는 방식을 근본적으로 변화시킬 것입니다. EU에서 통신 서비스, 클라우드 스토리지, 온라인 플랫폼 또는 기타 디지털 서비스를 제공하는 모든 기업은 유럽 생산 명령 및 유럽 보존 명령에 대응할 준비를 해야 하며, 이는 종종 매우 촉박한 기한 내에 이루어져야 합니다.

현재 모든 범죄 수사의 절반 이상이 국경을 넘는 디지털 증거 요청과 관련되어 있는 상황에서 이 규정은 기존 법적 프레임워크의 중대한 공백을 해결합니다. 서비스 제공업체는 법적 의무와 기술적 요건을 모두 이해해야 막대한 벌금과 운영 중단을 피할 수 있습니다.

EU 전자 증거 규정이란 무엇인가요?

전자 증거 패키지는 2023년 7월에 채택된 두 가지 법적 수단인 전자 증거 규정과 전자 증거 지침으로 구성됩니다. 이 두 법안은 형사 소송에서 전자 증거에 대한 국경을 넘는 접근을 위한 EU 차원의 통합된 프레임워크를 구축합니다.

이 프레임워크의 핵심은 이전에 평균 10개월이 걸리던 느리고 관료적인 상호법률지원조약(MLAT) 절차를 대체하는 두 가지 새로운 법적 수단이 있습니다.

유럽 생산 주문(EPOC): 한 EU 회원국의 사법 당국은 다른 회원국의 서비스 제공업체에 전자 증거를 제출하도록 명령할 수 있습니다. 서비스 제공업체는 10일 이내에, 긴급한 경우에는 8시간 이내에 응답해야 합니다.

유럽 보존 명령(EPOC-PR): 사법 기관은 후속 생산 명령이 내려지기 전에 특정 데이터가 삭제되지 않도록 서비스 제공업체에 특정 데이터의 보존을 요청할 수 있습니다. 보존된 데이터는 60일 동안 보관해야 하며 90일까지 연장할 수 있습니다.

이 규정은 2023년 8월 18일에 발효되었습니다. 전자 증거 지침은 2026년 2월 18일부터 적용되며, 전체 규정은 2026년 8월 18일부터 적용됩니다.

영향을 받는 대상은 누구인가요?

전자 증거 규정의 범위는 의도적으로 광범위합니다. 이 규정은 본사의 소재지와 관계없이 EU 내에서 디지털 서비스를 제공하는 모든 서비스 제공업체에 적용됩니다. 이 규정은 다음과 같은 범주의 서비스 제공업체를 정의합니다:

• 전자 통신 서비스 제공업체 - 유선, 모바일, 위성 사업자, VoIP 서비스, 이메일 제공업체, WhatsApp 및 Telegram과 같은 메시징 플랫폼을 포함합니다.
• 인터넷 도메인 이름 및 IP 번호 서비스 제공업체
• 기타 정보 사회 서비스 - 클라우드 컴퓨팅 제공업체, 메시징 기능이 있는 온라인 플랫폼(예: eBay, Vinted 또는 게임 플랫폼), 데이터 저장 또는 처리가 핵심 구성 요소인 모든 서비스를 포함합니다.

규모에 따른 면제는 없습니다. 소기업 및 소규모 기업도 EU에서 적격 서비스를 제공하는 경우 동등하게 규정의 적용을 받습니다. 서비스가 EU 시장을 대상으로 한다는 것을 나타내는 지표에는 EU에 사업장이 있는지, 국가별 앱 스토어에서 사용할 수 있는지, 현지 광고가 있는지, 회원국 언어로 고객 지원을 제공하는지 등이 포함됩니다.

제3국 공급업체는 주문을 접수하고 처리할 법적 대리인 또는 EU 내 사업장을 지정해야 합니다.

어떤 데이터를 요청할 수 있나요?

이 규정은 요청할 수 있는 전자 증거의 범주를 세 가지로 구분합니다:

• 구독자 데이터: 이름, 생년월일, 주소, 연락처, 서비스 유형 및 기간에 대한 세부 정보 등의 신원 정보
• 트래픽 데이터: 메시지의 발신지와 수신지, 디바이스 위치, 형식 및 사용된 프로토콜을 포함한 서비스에 대한 메타데이터
• 콘텐츠 데이터: 문자 메시지, 이미지, 동영상 및 파일을 포함하여 서비스에 의해 저장되거나 처리되는 기타 모든 디지털 데이터

콘텐츠 데이터 및 비식별 트래픽 데이터의 경우, 제공업체가 위치한 주의 국가 집행 기관에도 통지해야 합니다. 이 경우 자체 기한이 있는 추가 절차 단계가 발생하며, 집행 기관은 10일(긴급한 경우 96시간) 이내에 이의를 제기해야 데이터를 전송할 수 있습니다.

기술 및 운영 과제

많은 서비스 제공업체에게 전자 증거 규정은 이전에 처리했던 것보다 훨씬 더 많은 운영 요건을 도입합니다. 긴급 상황의 경우 8시간이라는 촉박한 대응 기한으로 인해 서비스 제공업체는 첫 주문이 도착하기 전에 강력한 프로세스와 시스템을 갖추어야 합니다.

주요 기술 및 운영 과제는 다음과 같습니다:

• 신속한 주문 접수 및 유효성 검사: 공급업체는 구조화되고 표준화된 형식으로 들어오는 주문을 수신, 인증 및 검증할 수 있어야 합니다.
• 시간 압박에 시달리는 법적 평가: 각 명령은 형식적 요건을 충족하는지, 제3국 법률과의 충돌 또는 관할권 문제와 같은 거부 사유가 적용되는지 여부를 결정하기 위해 법률 검토가 필요합니다.
• 데이터 식별 및 추출: 요청된 데이터를 찾아서 추출하고 안전한 방식으로 전송할 수 있도록 준비해야 합니다.
• 안전한 커뮤니케이션 채널: 이 규정은 당국과 서비스 제공업체 간의 모든 통신을 위해 분산형 IT 시스템을 의무화하며, 이 새로운 플랫폼과의 통합을 요구합니다.
• 집행 기관과의 협력: 국가 당국에 통지해야 하는 경우, 제공업체는 일정과 잠재적인 이의 제기 절차를 병행하여 관리해야 합니다.
• 기밀성 및 무결성: 공급업체는 주문과 데이터의 기밀성과 무결성을 보호하기 위해 최첨단 기술 및 조직적 조치를 구현해야 합니다.
• 감사 추적 및 문서화: 취해진 모든 조치에 대한 완전한 추적은 규정 준수 및 잠재적인 법적 절차에 필수적입니다.

이를 준수하지 않을 경우 심각한 결과를 초래합니다. 부당하게 명령을 준수하지 않는 공급업체는 전 세계 연간 총 매출액의 최대 21조 8천억 원에 달하는 벌금을 부과받게 됩니다.

거부 사유

이 규정은 서비스 제공업체가 명령 준수를 거부할 수 있는 구체적인 근거를 제시하고 있습니다. 여기에는 서비스 제공자가 통제할 수 없는 상황으로 인해 사실상 준수가 불가능한 경우, 권한 있는 기관이 발행하지 않았거나 규정된 양식을 사용하지 않은 경우, 요청된 데이터가 집행 국가의 법률에 따라 면책 또는 특권으로 보호되는 경우 등이 포함됩니다.

규정 준수가 제3국 법률에 따른 의무와 상충하는 경우 제공자는 이의를 제기할 수도 있습니다. 이러한 경우 공급자는 공식 양식(규정의 부록 III)을 사용하여 상충되는 법적 의무를 자세히 설명하는 합리적인 이유의 이의제기서를 제출해야 합니다.

그러나 극도의 시간 압박 속에서, 특히 마감 시간이 8시간인 긴급한 상황에서 이러한 근거를 평가하는 것은 사전에 정해진 프로세스와 많은 경우 외부 법률 지원 없이는 사실상 불가능합니다.

구현: 준비 방법

서비스 제공업체는 2026년 8월 마감일 이전에 준비를 시작해야 합니다. 구조화된 구현 접근 방식에는 다음 단계가 포함되어야 합니다:

1. 적용 가능성을 평가합니다: 귀사가 EU에서 제공하는 서비스를 기준으로 귀사가 규정의 적용 범위에 해당하는지 여부를 결정합니다.
2. 책임자를 지정합니다: 유럽 생산 주문 및 보존 주문 처리를 위한 내부 소유권 할당
3. 대응 프로세스를 개발하세요: 긴급 요청에 대한 에스컬레이션 절차를 포함하여 주문 접수, 확인 및 대응을 위한 문서화된 워크플로우를 만듭니다.
4. 기술 인프라를 구현합니다: 시스템이 필요한 기간 내에 관련 데이터 카테고리를 식별, 추출하고 안전하게 전송할 수 있는지 확인합니다.
5. 분산형 IT 시스템과 통합하세요: 기관-공급자 간 상호 작용을 위한 EU의 보안 통신 플랫폼과의 통합을 준비하세요.
6. 법률 검토 역량을 구축하세요: 사내 또는 외부 변호사를 통해 법률 전문 지식을 확보하여 수신 주문과 잠재적 거부 사유를 신속하게 평가할 수 있도록 합니다.
7. 테스트하고 훈련하세요: 조직이 현실적인 조건에서 10일 및 8시간의 응답 기한을 준수할 수 있는지 검증하기 위한 준비 연습을 수행합니다.

많은 기업, 특히 규정 준수 또는 법무 전담 부서가 없는 중소규모 서비스 제공업체의 경우 이러한 요건을 내부적으로 충족하는 것은 실용적이지도 않고 비용 효율적이지도 않습니다.

ICS가 서비스 제공업체가 전자 증거 의무를 충족하도록 지원하는 방법

ICS(국제 Carrier 서비스)의 전문 분야는 다음과 같습니다. 합법적인 감청, 데이터 보존 및 규제 준수 솔루션통신 서비스 제공업체, 디지털 플랫폼 및 유럽 전역의 기타 규제 대상 기관을 위한 서비스를 제공합니다. ETSI 표준, 국가 간 공개 프로세스 및 법 집행 인터페이스에 대한 심층적인 전문 지식을 갖춘 ICS는 조직이 전자 증거 규정을 탐색하는 데 도움을 줄 수 있는 독보적인 위치에 있습니다.

ICS는 서비스 제공업체를 지원합니다:

• 권한 인터페이스 구현: ICS는 유럽 생산 주문 및 보존 주문의 구조화되고 자동화된 처리를 가능하게 하는 기관 대면 인터페이스를 설계, 배포 및 운영하며 ETSI 표준 및 전자 증거 규정의 요구 사항에 완벽하게 부합합니다.
• 엔드투엔드 주문 관리: 접수 및 유효성 검사부터 법적 평가, 데이터 추출, 안전한 핸드오버까지 ICS는 서비스 제공업체를 대신하여 수신 주문의 전체 라이프사이클을 관리합니다.
• 기존 시스템과의 통합: ICS 솔루션은 제공업체의 기존 인프라 및 데이터 관리 환경과 통합되어 중단을 최소화하는 동시에 규정 준수에 적합한 데이터 전송을 보장합니다.
• 규정 준수 컨설팅: ICS는 서비스 제공업체가 규제 의무를 평가하고, 규정 준수 프로세스를 설계하고, 감사에 대비할 수 있도록 전문가 자문 서비스를 제공합니다.
• 관리형 서비스 운영: 운영 부담을 완전히 아웃소싱하는 것을 선호하는 제공업체를 위해 ICS는 신뢰할 수 있는 외부 파트너로서 기관 통신, 데이터 전송 및 규정 준수 문서를 처리하는 완전 관리형 서비스를 제공합니다.

서비스 제공업체는 ICS와 같은 전문 제공업체와 협력함으로써 규정 미준수 위험을 줄이고, 복잡한 내부 기능을 처음부터 구축할 필요가 없으며, 규정 적용 첫날부터 국경 간 증거 요청을 처리할 준비가 되어 있는지 확인할 수 있습니다.

결론

EU 전자 증거 규정은 유럽에서 디지털 데이터에 대한 국경을 넘는 법 집행 기관의 접근을 처리하는 방식에 큰 변화를 가져왔습니다. 이 규정은 서비스 제공업체에게 엄격한 기한과 함께 구속력 있는 의무를 부과하고 이를 준수하지 않을 경우 상당한 벌칙을 부과합니다.

2026년 8월 18일의 전면 적용일이 다가옴에 따라 지금부터 준비해야 할 때입니다. 기술적, 법적, 운영적 요구사항은 상당하지만 적절한 파트너와 적절한 인프라를 갖춘다면 충분히 관리할 수 있습니다.

ICS에 문의하여 귀사가 EU 전자 증거 규정에 대비하고 첫날부터 완벽하게 규정을 준수할 수 있도록 지원하는 방법에 대해 논의하세요.

관련 기사

관련 주제에 대한 자세한 내용은 다음 문서를 참조하세요:

• EPOC와 EPOC-PR: EU 전자 증거에 따른 두 가지 요청 유형 이해
• 전자 증거와 합법적 감청의 차이점 및 중복되는 부분

외부 리소스

다음 외부 리소스에서 추가 컨텍스트와 공식 문서를 확인할 수 있습니다:

• EU 전자 증거 규정(EU 2023/1543)