GitLab은 패키지 저장소 메타데이터의 무결성을 보장하기 위해 사용되는 GPG 키의 만료일을 기존 2026년 2월 27일에서 2028년 2월 6일로 연장했습니다. 이번 조치는 보안 정책을 준수하면서도 키 교체에 따른 사용자 혼란을 최소화하기 위해 키 자체를 새로 발급하는 대신 유효 기간만 늘리는 방식을 채택했습니다. 2026년 2월 17일 이전에 GitLab 저장소를 설정한 기존 사용자들은 패키지 설치 시 오류를 방지하기 위해 반드시 신규 키를 갱신해야 합니다.

GPG 키 연장 배경과 목적

GitLab은 배포되는 공식 패키지(Omnibus, GitLab Runner)의 무결성을 검증하기 위해 apt 및 yum 저장소 메타데이터에 GPG 서명을 적용하고 있습니다.
키가 탈취되었을 경우의 노출 범위를 제한하고 보안 정책을 준수하기 위해 만료 기간을 정기적으로 갱신합니다.
키를 완전히 새로 교체(Rotation)할 경우 모든 사용자가 신뢰 키를 수동으로 교체해야 하는 번거로움이 발생하므로, 기존 키의 만료일을 연장하여 사용자 중단을 최소화했습니다.

대상 사용자 및 기술적 세부 사항

대상 키 지문(Fingerprint): F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F
2026년 2월 17일 이전에 로컬 장비에 GitLab 저장소를 구성한 기존 사용자는 새로운 만료일이 반영된 키를 다시 가져와 등록해야 합니다.
해당 날짜 이후에 처음으로 설치를 진행하는 신규 사용자는 공식 가이드를 따르면 별도의 추가 작업 없이 연장된 키가 적용됩니다.

공개 키 갱신 방법

GitLab 공식 패키지 서버(https://packages.gitlab.com/gpg.key)에서 최신 공개 키를 직접 다운로드하여 시스템에 추가할 수 있습니다.
GPG 키 서버에서 packages@gitlab.com 이메일이나 위의 키 지문을 검색하여 공개 키 사본을 갱신하는 것도 가능합니다.
보다 구체적인 저장소 메타데이터 서명 검증 방법은 GitLab의 Omnibus 공식 문서 및 GitLab Runner 설치 문서를 통해 확인할 수 있습니다.

기존 사용자들은 패키지 업데이트가 중단되지 않도록 만료일 이전에 반드시 키를 갱신하시기 바랍니다. 관련하여 기술적인 문제나 도움이 필요한 경우 GitLab의 omnibus-gitlab 이슈 트래커를 통해 문의할 수 있습니다.