Rekor

개요

Rekor는 Sigstore 생태계의 핵심 구성 요소로, 코드 서명, 컨테이너 이미지, 아티팩트 등의 서명 정보를 영구적이고 투명하게 기록하는 투명성 로그(Transparency Log) 시스템입니다. 블록체인 유사 구조로 데이터 변경 불가능성을 보장하며, 소프트웨어 공급망의 신뢰성과 추적 가능성을 향상시키는 핵심 역할을 수행합니다.

---

1. 개념 및 정의

• Rekor: 소프트웨어 아티팩트에 대한 서명/해시를 저장하는 공개 로그 시스템
• Transparency Log: 누구나 접근 가능한 로그로 변경 불가능성을 보장
• 기능 요약: 증명 가능 서명 저장, 무결성 확인, 감사 로그 제공

---

2. 특징

항목	설명	비교 대상
불변성 보장	Append-only Merkle Tree 기반	일반 DB 대비 위변조 방지 강함
공개 접근성	누구나 로그 조회 및 증명 가능	폐쇄형 서명 시스템과 대비됨
서명 데이터 분리 저장	인증서, 해시, 서명 등을 분리 저장	키 없이도 검증 정보 확보 가능

투명성과 무결성 검증을 기반으로 신뢰 체계를 구성합니다.

---

3. 구성 요소

구성 요소	설명	역할
Rekor Server	로그 엔트리 수집 및 저장 API 제공	CLI/HTTP 통해 아티팩트 업로드
Merkle Tree Log	해시 기반 트리로 엔트리 저장	감사 및 증명 생성에 활용
Rekor CLI	서명 및 로그 업로드/조회 툴	개발 파이프라인에 통합 가능

API-first 구조로 다양한 시스템과 연계 가능합니다.

---

4. 기술 요소 및 연계성

기술	설명	활용 예
Merkle Inclusion Proof	로그에 포함된 증거 제공	감사 검증 자동화 가능
Sigstore Fulcio 연동	서명 인증서 로그화	Keyless signing 신뢰 기반 제공
Cosign 통합	컨테이너 이미지 서명 후 Rekor 저장	sbom/log 서명 투명성 강화

서명 → Rekor → 검증으로 이어지는 신뢰 경로 확보가 가능합니다.

---

5. 장점 및 효과

항목	설명	기대 효과
공급망 감사 가능성	릴리즈 이력 및 서명 내역 확인 가능	소프트웨어 위조 탐지 가능
공개 표준화	OSSF 및 CNCF 기반 표준 사용	생태계 확장 및 도입 용이
DevSecOps 통합	자동화된 서명 검증 파이프라인 구현	릴리즈 품질 및 보안 강화

공개 감사 체계를 통해 개발과 보안을 자연스럽게 연결합니다.

---

6. 활용 사례 및 고려사항

사례	설명	고려사항
OSS 프로젝트 릴리즈	릴리즈 해시/서명을 Rekor에 저장	공개키 관리와 연결 시 보안 강화
SaaS 운영 이미지 서명	컨테이너 CI 파이프라인 자동화	서명 누락 시 배포 제한 정책 필요
SBOM 및 정책 검증	소프트웨어 구성 검증 내역 기록	문서/메타데이터 정합성 확보 필요

서명자와 배포자 간 책임 분리가 가능해집니다.

---

7. 결론

Rekor는 신뢰할 수 있는 소프트웨어 공급망 구축을 위한 핵심 인프라로, 서명의 투명성과 무결성을 보장하는 공개 로그를 통해 오픈소스 생태계의 보안 수준을 끌어올리고 있습니다. Fulcio, Cosign과 함께 DevSecOps의 중심 도구로 자리매김하고 있으며, 소프트웨어 안전성 검증을 위한 사실상의 표준으로 자리잡고 있습니다.