Sigstore Fulcio

개요

Sigstore Fulcio는 소프트웨어 공급망의 신뢰성을 보장하기 위해 개발된 오픈소스 인증기관(Certificate Authority, CA)으로, 개발자의 ID(OIDC 기반)를 바탕으로 코드 서명용 단기 X.509 인증서를 발급합니다. GitHub Actions, GitLab CI 같은 자동화 환경과 자연스럽게 연동되며, 코드 서명의 투명성과 검증 가능성을 확보하는 Sigstore 생태계의 핵심 구성요소입니다.

---

1. 개념 및 정의

• Sigstore: 코드 서명과 검증을 위한 오픈소스 프로젝트 세트 (Fulcio, Rekor, Cosign 등 포함)
• Fulcio: OIDC(OpenID Connect) 인증을 통해 인증서를 발급하는 CA 서버
• 기능 요약: 인증서 발급, 서명자 ID 추적, 투명 로그와 연동

---

2. 특징

항목	설명	기존 PKI 대비 차별점
단기 인증서 발급	수 분~수 시간 유효한 인증서 사용	장기 키 노출 리스크 감소
OIDC 기반 ID 확인	GitHub, Google, GitLab 등 계정 연계	CSR 제출 없이 자동 발급 가능
투명 로그 연동	발급 이력은 Rekor로 공개	서명 위조·중복 방지 가능

인증서 생성 과정을 개발 파이프라인에 자연스럽게 통합합니다.

---

3. 구성 요소

구성 요소	설명	역할
Fulcio Server	인증서 발급 서버	OIDC 인증자와 ID 검증 후 발급 수행
Certificate Bundle	X.509 + OIDC Claim 포함 PEM	공개 서명 정보 저장용
CT(Log) + Rekor 연동	공개 투명성 확보	발급 내역 증거로 저장

Fulcio는 별도 CSR 없이 OIDC 계정 기반으로 즉시 인증서를 생성합니다.

---

4. 기술 요소 및 통합성

기술	설명	활용 예
OIDC Federation	다양한 OAuth 제공자 연동	GitHub Actions → Fulcio ID 검증
SPIFFE/SPIRE 연동	서비스 ID 기반 인증	컨테이너 내부 프로세스 계측 가능
Keyless Signing	개인 키 저장 없이 서명 가능	서명 + Rekor log + 인증서 통합 구조

GitOps, CI/CD, KMS를 포함한 다양한 DevSecOps 체계에 적용 가능합니다.

---

5. 장점 및 기대 효과

항목	설명	기대 효과
공급망 위조 방지	ID 기반 서명 검증 체계 제공	코드 위조 시도 차단
운영 단순화	인증서 발급과정 자동화	PKI 운영 비용 최소화
신뢰 체계 투명화	누구나 서명 내역 확인 가능	감사 추적 간소화

서명 주체 식별과 코드 무결성 검증을 동시에 해결합니다.

---

6. 활용 사례 및 고려사항

사례	설명	고려사항
GitHub Actions 빌드 서명	워크플로우에서 자동 서명 및 로그 저장	OIDC 연동 인증 설정 필요
컨테이너 이미지 서명	OCI 이미지에 서명 후 Rekor에 등록	cosign과 함께 사용 필수
OSS 공급망 검증	오픈소스 릴리즈 검증 시 사용	공개 서명 로그를 기반으로 신뢰 판단

OIDC 제공자 인증 안정성과 Rekor 연결 상태가 중요합니다.

---

7. 결론

Sigstore Fulcio는 코드 서명 체계를 탈중앙화하고, 자동화된 ID 기반 인증서를 통해 소프트웨어 공급망 전반의 신뢰도를 강화하는 역할을 합니다. Rekor, Cosign 등 Sigstore 생태계와의 통합을 통해, 보안과 투명성을 모두 충족하는 DevSecOps 체계를 구축할 수 있습니다.