2026년 4월 29일, 유럽 집행위원회는 DPP 등록부 시행 규정 초안을 공개하고, 이와 동시에 4주간의 의견 수렴 기간을 시작했습니다. 2026년 5월 27일까지 EU 내외의 모든 개인 및 단체는 «Have Your Say» 포털을 통해 의견을 제출할 수 있습니다. 제출된 의견은 공개되며, 각 의견에는 이름이나 단체명이 기재되어 있고, 이는 규정의 최종안에 공식적으로 반영됩니다.
저희는 이 블로그에서 해당 초안을 상세히 다룬 바 있습니다. 이번 글에서는 저희가 집행위원회에 어떤 의견을 전달했는지에 대해 다루고자 합니다.
왜 네 건의 별도 의견을 제출했는가
이 포털은 게시물당 4,000자까지 허용합니다. 모든 내용을 하나의 긴 게시물에 담을 수도 있었겠지만, 하지만 5월에 수십 건의 의견을 검토해야 하는 위원회 직원들에게는 읽기 불편하고 인용하기도 어려웠을 것입니다. 네 건의 개별 의견은 공개 목록에서 각각 쉽게 찾을 수 있으며, 다른 사항에 영향을 주지 않고 각 의견에 대해 개별적으로 답변하거나 기각할 수 있습니다.
우리는 다음과 같은 네 가지 주제를 제출했습니다:
1. DPP 서비스 제공자에 대한 최소 요건 정의
규정 초안은 분산형 모델을 정확하게 규정하고 있습니다: DPP 데이터는 경제 주체나 그 DPP 서비스 제공자에게 저장되며, 위원회 등록부는 참조 정보만 저장합니다. DPP 서비스 제공자(ESPR 제2조 제32호)에 대해서는 승인된 제공자의 공식 목록이 마련될 예정입니다.
그러나 이 목록에 등재되고 그 지위를 유지하기 위해 서비스 제공자가 실제로 어떤 요건을 충족해야 하는지에 대한 규정이 빠져 있습니다. 실질적인 의무 사항은 아마도 ESPR 기본 규정 제4조에 따른 위임법령에 명시될 것으로 보입니다. 하지만 이 법령이 공표되기 전에 등록부는 이미 운영을 시작합니다.
저희의 제안은 다음과 같습니다. 이 시행규칙에 서비스 제공자에 대한 최소 기준을 직접 명시하거나, 위임법령이 제출될 기한을 명확히 정해야 합니다. 제안된 최소 요건은 다음과 같습니다:
- 월간 최소 99.5%의 DPP 공개 읽기 인터페이스 가용성
- 새로운 DPP 버전이 백업에 반영되어야 하는 속도에 대한 서비스 수준 계약(제안: 24시간 이내 또는 기술적으로 가능한 경우 실시간)
- 서비스 제공자가 수신된 버전에 대해 암호학적 검증을 의무적으로 수행
- 표준화된 경로(RFC 8615, 제안:
/.well-known/dpp-keys/)를 통해 경제 주체의 공개 키 게시 - 제공업체가 중단될 경우 DPP 데이터가 체계적으로 다른 제공업체로 이전될 수 있도록 정의된 전환 및 파산 절차
이러한 의무는 신뢰할 수 있는 제공자에게는 비용이 들지 않으며(어차피 준수하고 있을 테니), 저가 제공자들 간의 무분별한 가격 경쟁을 방지하여 결국 등록 목록의 신뢰성을 훼손하는 것을 막아줍니다.
2. 등록된 DPP의 장기적 검증 가능성
제9조(4)항은 등록 증명서의 유효 기간을 90일(달력일 기준)로 제한합니다. 이 기간 내에 등록 기관은 요청 시 증명서를 재발급합니다. 이는 일상적인 운영에는 문제가 없지만, 그 배후에 있는 DPP 의무의 수명 주기와는 맞지 않습니다. 제10조(3)항은 표준 보존 기간을 등록일로부터 10년으로 정하고 있으며, 부문별 법률에서는 더 긴 기간을 요구할 수 있습니다.
2032년의 시장 감시 기관, 세관 공무원, 재활용 업체 또는 연구원은 2026년에 등록된 DPP가 실제로 등록되었는지 확인할 수 있어야 하며, 이를 위해 원래의 경제 주체가 여전히 존재하여 새로운 증명서를 요청할 수 있어야 한다는 전제에 의존해서는 안 됩니다.
다음 두 가지 제안은 이행하기에 유리합니다:
- 위원회가 인증한 증명 바이트를 경제 주체나 서비스 제공자가 임시 저장, 보관 및 재배포할 수 있음을 명시적으로 명확히 합니다. eIDAS 규정 제35조(2)항에 따른 적격 인장은 바이트가 어디에 저장되어 있든 상관없이 무결성 및 출처에 대한 추정 효력을 갖습니다.
- 등록부에 공개적이고 인증되지 않은 검증 엔드포인트를 마련하여, 등록 ID에 대해 서명된 응답을 제공하도록 합니다. 현재 모든 제3자 검증은 경제 주체가 능동적으로 개입해야만 이루어지는데, 이는 발행자보다 오래 보존되어야 하는 증명 문서의 경우 올바른 방식이 아닙니다.
또한, 해시 생성을 결정론적으로 규정할 것을 제안했습니다: SHA-256을 해시 함수로, JSON Canonicalization Scheme (RFC 8785)을 직렬화 방식으로 사용하며, 이는 서명 블록 외부에 위치해야 합니다. W3C 생태계에서 이는 Cryptosuite eddsa-jcs-2022에 해당하며, Transpareo는 이를 사용하여 직접 서명합니다. 이러한 고정(pinning) 설정이 없다면, 두 서비스 제공자가 동일한 DPP를 서로 다른 해시로 직렬화하게 되어 등록 증명서의 해시 필드를 재현할 수 없게 됩니다.
3. 제17조는 공개 DPP 데이터에 대한 접근을 제한해서는 안 됩니다
제17조는 “대량 데이터 다운로드”를 등록부의 잠재적 오용 사례로 언급하고 있습니다. 등록부 자체에 포함된 관리 메타데이터(신원 정보, 로그, 감사 추적 기록)의 경우 이는 타당한 지적입니다. 이러한 데이터는 대량 다운로드 대상이 되어서는 안 됩니다.
그러나 제조업체나 서비스 제공업체가 보유한 공개 DPP 데이터는 바로 ESPR이 폭넓게 접근 가능하게 하려는 영역입니다. 제품 군에 대한 구성 데이터를 추출하는 재활용 업체, 지속가능성 주장을 교차 분석하는 연구, 비교 분석을 수행하는 시장 감시 활동 등 - 이 모든 것은 공개 DPP 계층에 대한 ‘대량 데이터 다운로드’의 형태이며, 모두 이 규정이 제정된 목적을 위한 사용입니다.
저희의 제안은 제17조에 명확성을 부여하는 문구를 추가하여 적용 범위를 등록 데이터로 제한하고, DPP 데이터에 대해서는 해당 부문별 위임 법령을 참조하도록 하는 것입니다. 그렇지 않으면 서비스 제공자는 서비스 시작 시 다음과 같은 선택의 기로에 서게 됩니다. 안전을 위해 공개 접근에 대한 요청 한도를 과도하게 제한하여 소비자 경험을 저해하거나, 접근을 개방해 둔 채 나중에 제17조에 따른 남용으로 분류될 위험을 감수하는 것 중 하나를 선택해야 합니다.
4. 서비스 출시 전 OpenAPI 사양 및 샌드박스 공개
제3조(b)항은 등록을 위한 API를 요구합니다. 제8조(5)항은 이를 등록을 위한 두 가지 채널 중 하나로 규정합니다. 그러나 이 규정은 API 계약서가 언제 공개되어야 하는지에 대해서는 언급하지 않습니다.
등록 워크플로우를 자동화하는 모든 서비스 제공자 및 대규모 카탈로그를 보유한 모든 경제 주체는 구현하고 실제 엔드포인트에 대해 테스트하기 위해 서비스 개시 훨씬 전에 API 사양을 확보해야 합니다. 발효 일주일 전에야 사양을 확인하게 되면, 통합 위험이 생태계 내 모든 제공자에게 전가됩니다.
따라서 우리는 다음과 같이 제안했습니다:
- 시행 최소 8주 전에 OpenAPI 3.1 사양을 공개할 것 - 2026년 7월 19일 시행을 기준으로 하면 2026년 5월 24일까지
- 서비스 제공업체와 제조사가 통합 작업을 수행하고 제8조(6)항에 따른 자동 검증을 테스트할 수 있는 샌드박스 환경을 병행하여 운영
- Semver를 따르는 버전 관리 정책 및 최소 18개월의 지원 종료 사전 공지 기간
추가 설계 제안: 등록 호출에 대한 이뎀포텐시 키, 대규모 카탈로그를 위한 일괄 등록, 웹훅 콜백을 통한 비동기 등록, 자동 검증 오류 시 기계 판독 가능한 오류 코드.
우리가 이를 추진하는 이유
의견 수렴은 점수를 모으는 게임이 아닙니다. 제출된 모든 의견이 최종본의 단 한 문장이라도 더 정확하게 만드는 데 기여한다면, 그 목적은 달성된 것입니다. 위원회는 실제로 이러한 기여 내용을 검토합니다. ESPR 절차 자체의 경험을 통해 알 수 있듯이, 기술적으로 타당한 의견은 최종 문서에 종종 반영됩니다.
어쨌든 저희는 등록 절차가 공고되는 대로 DPP 서비스 제공업체 목록에 등재되기를 신청할 예정입니다. 따라서 우리가 경쟁하는 규칙이 명확하고 공정한 경쟁의 장을 마련하는 것은 우리에게 직접적인 이익이 됩니다. 이 네 가지 의견 제출은 해당 목록이 단순한 마케팅용 라벨로 전락하지 않도록 하기 위한 우리의 구체적인 조치입니다.
참여를 원하시는 분
의견 수렴 기간은 2026년 5월 27일까지입니다. 의견은 EU의 모든 공용어로 제출할 수 있으며, 포털에 로그인해야 하며 제출된 내용은 공개됩니다. DPP를 발급하거나 검증할 주체(제조업체, 서비스 제공업체, 재활용업체, 당국 등)는 Have Your Say에서 이 이니셔티브에 대해 최소 한 번은 읽어보셔야 합니다. 짧고 전문적으로 정확한 의견 제출도 큰 도움이 됩니다.
저희 검증 도구 Transpareo Time Machine 는 사실 2번 항목에서 언급된 검증 필요성을 오픈소스 환경에서 이미 해결하고 있습니다. Transpareo-DPP를 독립적으로 검증하고자 하는 사람은, 유럽연합 집행위원회 등록부에 공식적으로 등록된 검증 엔드포인트를 기다릴 필요 없이, 이 도구를 통해 지금 당장 검증할 수 있습니다.