코드 서명 위탁 금지

코드 서명 위탁 금지

⚠ 코드 서명 서비스를 위탁받아 제공하는 것은 보안 및 법적 위험을 초래할 수 있습니다. 아래의 사항을 철저히 준수해야 합니다.

✅ 우리가 코드 서명 서비스를 위탁받으면 안되는 이유

1️⃣ 법적 문제 발생 가능성

• 전자서명법 및 전자서명인증업무준칙 준수: 제3자 서명이 법적으로 제한되지 않았는지 확인
• ISMS 및 ISO 27001 인증 필요: 정보보호 인증 대상 여부 검토 및 보안 감사 준비
• CA(인증기관) 정책 확인: CA 계약 위반 여부 점검

2️⃣ 보안 관리 요구 사항

• HSM(하드웨어 보안 모듈) 사용: 서명 키 보호 필수
• 접근 통제 및 로그 관리: 서명 요청자의 신원 확인 및 승인 절차 구축
• 제3자 보안감사 대응: 위탁 기업 및 보안 인증 기관의 감사를 대비한 문서화 필수

3️⃣ 주의해야 할 리스크

• 보안 사고 발생 시 책임 문제: 악성코드 서명 시 법적 책임 발생 가능
• 위탁 기업과 계약 문제: 계약서에 '보증 책임 없음' 조항 포함 필요
• 인증서 폐기 및 비상 대응: 서명 키 유출 시 즉각적인 대응 계획 마련 필수

📌 결론

• 코드 서명 위탁 제공은 법적으로 가능할 수도 있으나, 철저한 보안 조치가 필수
• HSM 사용, 접근 통제, 보안 감사 대비 등 강력한 보안 절차 필요
• CA 정책 및 계약 조건을 확인하여 위탁 서명이 허용되는지 검토
• 보안 사고 발생 시 책임 소재가 복잡해질 수 있으므로 법적 대응 방안 마련