디지털 서명 vs 전자서명
"전자서명"과 "디지털 서명"은 흔히 같은 의미로 쓰이지만, 기술적으로는 전혀 다른 개념입니다. 전자서명은 서명 의사를 나타내는 모든 디지털 표시를 가리킵니다 — 입력한 이름, 스캔한 서명 이미지, 체크박스 클릭 등이 모두 해당합니다. 서명자를 검증하거나 문서 변조를 감지하는 기술적 메커니즘은 없습니다.
디지털 서명은 다릅니다. 비대칭 키 암호화를 사용해 서명자의 신원과 서명 시점의 문서 내용을 수학적으로 결합합니다. 서명 이후 문서에서 단 하나의 비트라도 바뀌면 서명은 무효가 됩니다. 이 위변조 감지 능력이 디지털 서명의 핵심입니다.
디지털 서명의 작동 원리
디지털 서명은 수학적으로 연결된 두 개의 키 쌍을 기반으로 합니다. 개인 키(private key)는 서명자만 보유하고, 공개 키(public key)는 인증기관(CA)이 발행한 디지털 인증서에 포함되어 자유롭게 배포됩니다.
PDF에 서명할 때 소프트웨어는 두 단계를 수행합니다. 먼저 문서의 암호화 해시를 계산합니다 — 문서 내용을 고유하게 나타내는 고정 길이 지문입니다. 다음으로 개인 키로 해시를 암호화해 서명을 생성합니다.
서명을 검증하려는 사람은 공개 키로 서명을 복호화해 원래 해시를 얻고, 현재 문서의 해시를 새로 계산해 비교합니다. 두 값이 일치하면 문서는 변조되지 않았고 서명은 유효합니다. 값이 다르면 서명 이후 문서가 수정된 것입니다.
인증기관과 신뢰 체인
디지털 서명이 상대방에게 신뢰를 얻으려면, 서명자의 인증서가 수신자도 신뢰하는 인증기관(CA)에서 발행된 것이어야 합니다. DigiCert, Sectigo, GlobalSign 같은 주요 CA는 운영체제, 브라우저, PDF 리더에 기본으로 신뢰 등록되어 있습니다. Adobe Reader나 Foxit에서 "서명 유효"라고 표시되면, 인증서가 이런 신뢰할 수 있는 루트 CA까지 추적됐다는 의미입니다.
자체 서명 인증서는 기술적으로는 유효하지만, 신뢰하는 CA가 없어 대부분의 PDF 리더에서 "알 수 없음"으로 표시됩니다. 내부 문서 워크플로에서는 괜찮을 수 있지만, 외부에 발송하는 계약서라면 공인 CA의 인증서가 필요합니다.
디지털 서명의 법적 효력
대부분의 국가에서 디지털 서명은 일반적인 문서에 대해 자필 서명과 동등한 법적 효력을 가집니다. 미국의 전자서명법(ESIGN, 2000)과 EU의 eIDAS 규정(2016) 모두 전자·디지털 서명의 법적 집행 가능성을 명시하고 있습니다.
eIDAS는 세 단계를 정의합니다. 단순 전자서명(SES)은 의사 표시의 모든 전자적 표현을 포함합니다. 고급 전자서명(AdES)은 서명자와 고유하게 연결되고 공인 인증서 기반이어야 합니다. 공인 전자서명(QES)은 EU 공인 신뢰서비스 제공자가 발급한 인증서를 사용하며, EU 전 회원국에서 자필 서명과 동등한 효력을 가집니다.
유언장, 일부 지역의 부동산 거래, 법원 제출 서류처럼 여전히 자필 서명이나 공증이 필요한 문서 유형도 있습니다. 특정 문서 유형과 관할 지역의 요건은 반드시 별도로 확인하세요.
PDF에 디지털 서명 추가하기
디지털 서명을 추가하려면 서명 인증서가 필요합니다. Adobe Acrobat이나 OpenSSL로 자체 서명 인증서를 만들 수 있고, 법적 효력이 중요한 문서라면 공인 CA에서 인증서를 발급받으세요.
인증서가 준비되면 서명 도구에서 PDF를 열고, 디지털 서명 옵션을 선택한 다음 인증서를 지정하고 서명 필드를 배치합니다. 확인을 누르면 암호화 서명 데이터가 PDF에 기록되고 문서가 서명 상태로 표시됩니다.
서명자 이름, 날짜, 필요 시 자필 서명 이미지를 포함한 시각적 서명 모양을 추가할 수도 있습니다. 이 시각 요소는 사람이 읽기 위한 것으로, 암호화 서명과는 별개입니다.
서명 검증하기
Adobe Acrobat 같은 PDF 리더에서 서명을 검증하려면 서명 패널을 열면 됩니다. 리더는 세 가지를 확인합니다. 인증서가 유효하고 만료되지 않았는지, 인증서가 신뢰할 수 있는 CA까지 연결되는지, 서명 이후 문서가 수정되지 않았는지입니다.
녹색 체크와 "서명 유효" 표시는 세 가지를 모두 통과했다는 뜻입니다. 노란 경고는 자체 서명 인증서이거나 신뢰하지 않는 인증서일 때 나타납니다. 빨간 X는 서명 후 문서가 변조됐다는 의미로, 심각한 무결성 문제입니다.
서명된 PDF 평탄화 및 보호
디지털 서명 후 문서를 변경하면 서명이 무효가 됩니다. 서명된 PDF를 수정 불가 상태로 배포하려면 평탄화(flatten)로 모든 대화형 요소를 정적 콘텐츠로 변환하면 됩니다. 비밀번호와 권한 제한으로 PDF를 보호하면 편집, 복사, 인쇄를 추가로 차단할 수 있습니다.
가장 확실한 방법은 먼저 서명한 다음 평탄화하고, 그다음 보호를 적용하는 순서입니다. 암호화 서명을 유지하면서 실질적인 위변조 저항성을 모두 확보할 수 있습니다.