DCT 이용률 0.05% 미만으로 인한 TUF 포기와 OCI 기반 서명 체계 전환

Context

컨테이너 이미지 무결성 보장을 위해 TUF 기반의 Notary v1을 도입했으나, 개발자에게 Offline Key 관리 책임을 전가한 설계로 인해 실무 적용에 실패함. 레지스트리별 별도 TUF 서버 운영에 따른 오버헤드와 복잡한 서명 프로세스가 병목 지점으로 작용함.

Technical Solution

• Manifest Digest에 대한 Detached Signature 구조를 채택하여 이미지 불변성 유지 및 외부 서명 저장 방식 구현
• Notary v1의 TUF 기반 분산 키 관리 체계를 폐기하고 OCI Distribution Specification v1.1.0의 Referrers API를 통한 Registry 내 서명 저장으로 전환
• 개발자의 Private Key 직접 관리 부담을 제거하기 위해 OIDC 및 Short-lived Token 기반의 자동 서명 메커니즘 도입
• Root Certificate 배포 용도로만 TUF를 제한적으로 활용하고, 실제 이미지 검증은 Sigstore 및 Notary v2(Notation)로 이관
• PyPI의 Trusted Publishers 사례와 유사하게 서명 주체를 개발자에서 자동화된 백엔드 시스템으로 변경하여 사용성 개선