소프트웨어 개발하다 보면 꼭 마주치는 게 **코드사인(Code Signing)**입니다. 특히 프로그램을 배포할 때 "알 수 없는 게시자" 경고나 Gatekeeper 차단, SmartScreen 필터 때문에 골치 아픈 적 많으시죠?
이 포스트에서 코드사인이 뭔지, 왜 필요한지, 플랫폼별(Windows vs Apple) 차이, 인증서 종류까지 깔끔하게 정리해드릴게요!
1. 코드사인(Code Signing)이란?
소프트웨어에 디지털 서명을 붙여서
- 누가 만들었는지(게시자 증명)
- 배포 후 변조되지 않았는지(무결성 보장)
를 증명하는 기술입니다.
| 플랫폼 | 미서명 시 문제점 | 코드사인 후 효과 |
| Windows | SmartScreen 경고 ("인식되지 않는 앱") | 게시자 이름 표시 + 평판 쌓이면 경고 사라짐 |
| macOS | Gatekeeper 차단 ("손상된 앱") | 정상 실행 + 공증(Notarization) 통과 |
| iOS/tvOS | 설치/실행 자체 불가능 | App Store 또는 기업 배포 가능 |
2. 왜 코드사인이 필요한가?
- 보안 → 변조 방지
- 사용자 신뢰 → "알 수 없는 게시자" 대신 회사명 표시
- 플랫폼 강제 → Apple은 100% 필수, Windows도 실질적으로 필수(특히 배포 시)
- 평판(Reputation) 구축 → 다운로드/설치 수가 쌓여야 SmartScreen 경고 사라짐
3. 플랫폼별 코드사인 특징 (2025년 최신)
Windows 코드사인 – EV vs 일반(OV) 비교 완전 변경!
Microsoft가 2024년 8월부터 EV Code Signing OID를 루트 인증서에서 제거했습니다. → 이제 EV 인증서도 즉시 신뢰(Immediate Reputation) 없음 → 모든 코드사인 인증서가 동일하게 취급 (평판을 다운로드 수로 쌓아야 함)
| 구분 | 일반 코드사인 (OV) | EV 코드사인 (Extended Validation) |
| 심사 강도 | 사업자등록증 정도 | 사업자등록증 + 전화/서류 심사 + 하드웨어 토큰 필수 |
| 발급 시간 | 1~3일 | 3~10일 (토큰 배송 포함) |
| SmartScreen 평판 | 다운로드/설치 수로 쌓아야 함 | 2024년 8월 이후 동일 → 쌓아야 함 (즉시 신뢰 폐지) |
| 저장 매체 | 파일(.pfx) 또는 클라우드(HSM) | 반드시 하드웨어 토큰(USB) |
| 가격 (연간 기준) | 20~40만 원 | 50~80만 원 |
| 추천 대상 | 소규모/개인 개발자 | 대기업, 드라이버 배포, 최고 보안 필요 시 |
결론
- 즉시 신뢰를 원했다면? 이제 없어요!
- EV는 여전히 더 엄격한 심사 + 하드웨어 키 보호라는 보안 이점만 남음
- 평판 쌓는 팁: 파일 제출 → https://www.microsoft.com/en-us/wdsi/filesubmission (Microsoft가 검토 후 경고 제거 도와줌)
서명 도구: signtool.exe (타임스탬프 필수! /tr http://timestamp.sectigo.com 등)
Apple (macOS / iOS) 코드사인 – 변함 없음
- Apple Developer Program 가입 필수 (연 99달러 ≈ 13~14만 원)
- 종류
- Apple Development → 개발/테스트
- Apple Distribution → App Store
- Developer ID Application → 웹 배포용 (macOS)
- Developer ID Installer → .pkg 설치 패키지용
- macOS 웹 배포 시 Developer ID + 공증(Notarization) 100% 필수 (Gatekeeper 통과)
서명 도구: Xcode 자동 or codesign + notarytool
4. 인증서 발급 흐름 (간단)
Windows (EV 기준 – Sectigo/DigiCert/GlobalSign 등)
- CA 사이트 신청 → 사업자등록증 + 추가 서류 제출
- 전화 심사 + 결제 → USB 토큰 배송 (2주 정도)
- 토큰 드라이버 설치 → signtool로 서명
Apple
- developer.apple.com 가입
- Certificates → Developer ID Application 선택
- Mac에서 CSR 생성 → 업로드 → 다운로드 → 키체인 설치
5. 자주 하는 실수 & 최신 팁 (2025)
- 타임스탬프 꼭 넣기 → 인증서 만료 후에도 서명 유효
- Windows: 새 파일 처음 배포 시 무조건 SmartScreen 경고 → Microsoft에 파일 제출 필수!
- EV 토큰 분실 → 재발급 비용 + 시간 날림 (보관 주의)
- 평판 쌓기: 여러 사람이 다운로드/실행 → 자연스럽게 경고 사라짐 (Microsoft 비공개 기준)
- Cloud Signing (Azure Key Vault, DigiCert CertCentral 등) → CI/CD에서 편함 (EV는 여전히 토큰 필요)
마무리 – 2025년 코드사인 현실
- Windows: EV의 "즉시 신뢰"는 역사 속으로... 이제 EV는 보안 수준만 차이 → 개인/중소라면 일반(OV) 코드사인으로 충분! (가격 1/2)
- macOS/iOS: 여전히 Apple Developer Program + 공증이 왕
코드사인은 이제 "서명했다 = 끝"이 아니라 "서명 + 평판 쌓기" 입니다. 첫 배포 시 무조건 경고 나온다고 좌절하지 마세요 – Microsoft 제출 + 사용자 피드백으로 금방 해결돼요!
반응형
'IT관련' 카테고리의 다른 글
| 메이저 CA 코드사인 인증서 (DigiCert, Sectigo, GlobalSign 등) 사용 장단점 정리 (2025년 11월 최신 기준) (0) | 2025.11.18 |
|---|---|
| Windows 코드사인 평판(Reputation) 쌓기 완전 정복! (0) | 2025.11.18 |
| Microsoft 패스키 만드는 방법: 개인 계정 단계별 가이드 (0) | 2025.11.14 |
| 패스키(Passkey)란 무엇인가? 비밀번호 없는 미래의 인증 기술 (0) | 2025.11.14 |
| Windows Server에서 Node.js 서버를 서비스로 실행하는 방법 (0) | 2025.11.11 |