2026 헤드리스 임대 클라우드 Mac CI의 Xcode 자동·수동 코드 서명
홍콩·일본·한국·싱가포르·미국에서 Apple Silicon 클라우드 Mac으로 아카이브를 옮긴 iOS 팀도 코드 서명 때문에 여전히 시간을 잃습니다. Xcode가 “고장”이라서가 아니라, 노트북에서는 괜찮았던 CODE_SIGN_STYLE 선택이 헤드리스 SSH, 공유 키체인, “항상 허용”을 누를 수 없는 CI와 충돌하기 때문입니다. 이 2026 가이드는 원격 빌더를 위해 자동과 수동 서명을 비교하고, 결정 매트릭스와 키체인 + xcodebuild 실무 체크리스트를 제공합니다. 릴리스 파이프라인 다음 단계로 원격 Archive, 서명 최적화, IPA보내기 + ASC API를 함께 참고하세요.
헤드리스 클라우드 Mac에서만 서명이 터지는 이유(로컬에서는 “잘 됨”)
많은 엔지니어가 “자동 서명”을 “설정 제로”로 오해합니다. ssh로만 접속하는 임대 Mac에서는 다음 제약이 즉시 드러납니다.
- GUI 신뢰 프롬프트 없음 — 개인키나 배포 인증서에 대한 최초 접근은 사전 승인이 필요합니다. 그렇지 않으면
xcodebuild는 나타나지 않을 대화 상자를 기다립니다. - 공유 로그인 키체인 — 5개의 병렬 파이프라인이 같은 키체인을 잠금 해제하면 간헐적인
errSecInternalError나 불일치한 아이덴티티로 레이스가 드러납니다. - 프로비저닝 주기 — 배포 프로파일은 대략 12개월 주기로 갱신됩니다. 갱신을 잊은 자동 파이프라인은 망가질 때까지 “녹색”으로 보입니다.
- 익스텐션 타깃 — App Clip이나 Share Extension 번들 ID를 수동 맵에서 빼먹으면
codesign후반에 실패해 18~40분의 컴파일 시간을 날립니다.
security find-identity -v -p codesigning, 정책이 허용하면 defaults read com.apple.dt.Xcode, 활성 구성에 대한 xcodebuild -showBuildSettings로 확인된 CODE_SIGN_STYLE.
자동 vs 수동: CI에서 Xcode가 실제로 의미하는 것
자동은 허용된 경우 Xcode와 Apple 개발자 API에 프로파일 선택을 위임합니다. 수동은 타깃마다 프로비저닝 프로파일 UUID를 고정합니다. 어느 쪽도 키체인의 유효한 인증서가 필요하며, 빌드 중 누가 프로비저닝 입력을 바꿀 수 있는지가 달라집니다.
| 차원 | 자동 | 수동 |
|---|---|---|
| 프로파일 드리프트 | 자격 증명이 있으면 -allowProvisioningUpdates로 갱신 가능 |
CI가 새 .mobileprovision을 올리거나 빠르게 실패해야 함 |
| 컴플라이언스 / 변경 통제 | 감사 로그에서 정확한 프로파일 바이트 증명이 어려움 | git 또는 객체 스토리지에 버전된 아티팩트로 다루기 쉬움 |
| 멀티 타깃 앱 | 팀 설정이 깨끗하면 Xcode가 번들 ID를 동기화 | 임베디드 타깃마다 명시적 매핑 필요 |
| 헤드리스 친화성 | ASC API + 키체인 잠금 해제가 자동화되면 강함 | 런타임 프로파일 변경이 금지된 보안 정책이면 강함 |
결정 매트릭스: 다음 Mac을 빌리기 전에 레인을 고르기
| 시나리오 | 권장 스타일 | 메모 |
|---|---|---|
| 빠르게 움직이는 스타트업, 단일 앱, 소규모 팀 | 자동 + ASC API | 브랜치별 키체인 또는 일회용 macOS 계정과 병행. |
| 은행 / 규제 엔터프라이즈 | 수동 + 아티팩트 스토어의 서명된 프로파일 | CI에서 -allowProvisioningUpdates 비활성화, 프로파일을 비밀과 동급으로 취급. |
| 많은 번들 ID를 가진 화이트라벨 | 수동 | CI 메타데이터에서 plist 맵 생성, Xcode만으로 손수 편집하지 않기. |
| 24GB RAM 공유 베어메탈 Mac mini M4 | 둘 다 가능 | 제품마다 스타일이 섞이면 macOS 사용자로 분리. |
키체인 규율: 진짜 컨트롤 플레인
자동이든 수동이든 키체인은 공통 병목입니다. 다음을 표준화하세요.
- CI 역할당 서명 아이덴티티 하나 — 모든 엔지니어의 Apple Development 인증서를 빌더에 넣지 않기.
- 키체인 파일로 분할 — 예:
~/Library/Keychains/ci-signing.keychain-db를 작업의KEYCHAIN_PATH로 참조. - 비대화형 잠금 해제 — 보안이 승인한
security unlock-keychain호출을 Runbook에 기록하고, API 키와 같은 주기로 비밀번호 순환. - 작업 후 잠금 — 멀티 테넌트에서는 선택이지만 노출 시간을 줄임.
security set-key-partition-list -S apple-tool:,apple: -s -k "" -D "iPhone Distribution: Your Team" ~/Library/Keychains/login.keychain-db
효과가 큰 xcodebuild 플래그와 설정
CODE_SIGN_STYLE 외에 로컬 노트북과 SSH 빌더에서 가장 자주 어긋나는 설정입니다.
CODE_SIGN_IDENTITY— Release에서iPhone Distribution과Apple Development를 명시적으로 고정.DEVELOPMENT_TEAM— 프로비저닝 프로파일 팀 ID와 일치해야 함. 오타는 “프로파일 없음”처럼 보임.PROVISIONING_PROFILE_SPECIFIER— 수동에서는 월간 로테이션 시 raw UUID보다 specifier 선호.-allowProvisioningUpdates— 자동에 강력하나 기업에서는 금지. 파이프라인 린트로 정책을 코드화.
원격 팀에게 특유한 공유 클라우드 Mac 함정
빌더가 싱가포르에 있고 개발자가 유럽에 있어도 지연 시간이 서명을 깨뜨리는 경우는 드뭅니다. 대신 시계 오차가 문제가 됩니다. ntp를 건강히 유지하고, 대략 120초를 넘기면 Apple으로의 TLS가 불투명하게 실패할 수 있습니다. 또한 ASC API 스로틀이 아시아 아침 머지 피크와 겹치지 않도록 프로파일 갱신 작업을 오프피크에 배치하세요.
갱신된 배포 인증서 가져오기 등 최초 대화형 작업은 Runbook에 따라 VNC를 사용한 뒤, 재현 가능한 순수 SSH CI로 돌아갑니다.
FAQ: 임대 Mac에서 자동 vs 수동 서명
| 질문 | 답변 |
|---|---|
| 타깃마다 스타일을 섞어도 되나요 | 기술적으로는 가능하나 실무에서는 피하세요 — 하이브리드는 지원이 따라가기 어렵습니다. |
| 아카이브 후 export 서명은 어디서 검증하나요 | IPA보내기 + ASC API로 ExportOptions 맵과 서명 결정을 맞추세요. |
| ASC에 가장 가까운 MacXCode 리전은 | 테스터와 법적 거주지에 맞추세요. 노드 비교는 요금, SSH 기준은 도움말을 참고하세요. |
서명 처리량에 Mac mini M4 베어메탈이 여전히 중요한 이유
Swift가 큰 바이너리를 내고 codesign이 중첩 프레임워크를 다시 봉인할 때 서명은 의외로 CPU에 묶입니다. Mac mini M4의 통합 메모리는 링커 출력을 상주시키고, 과할당 VM에서 흔한 원격 디스크 스왑을 피합니다. MacXCode의 HK / JP / KR / SG / US로 TestFlight 검증 팀 근처에 서명 호스트를 두면서도 리전 전반에 동일한 SSH 자동화를 유지할 수 있습니다.
한 줄: 자격 증명 갱신을 안전하게 자동화할 수 있으면 자동, 컴플라이언스가 프로파일 바이트 동결을 요구하면 수동. 어느 쪽이든 Xcode를 탓하기 전에 키체인 스토리를 장악하세요. 용량 계획은 요금, 연결 체크리스트는 도움말을 이어서 보세요.
Dedicated M4 builders for predictable signing
1 TB / 2 TB NVMe · HK · JP · KR · SG · US · SSH / VNC
