전자서명은 법적으로 유효한가요?

네. Pactery의 전자서명은 전자서명법 제3조에 따라 종이 서명과 동일한 법적 효력을 가집니다. 모든 서명에 감사추적인증서(Audit Trail)가 자동 생성됩니다.

서명을 받는 사람(수신자)도 비용이 드나요?

아니요. 수신자는 가입도, 결제도 필요 없습니다. 서명 링크를 받으면 바로 서명할 수 있습니다. 비용은 서명을 보내는 쪽만 부담합니다.

평생 무료 플랜은 정말 무료인가요?

네. 월 3건까지 기간 제한 없이 영구 무료입니다. 신용카드 등록도 필요 없고, 전자서명의 핵심 기능을 모두 사용할 수 있습니다.

선불(종량)과 후불(비즈니스)은 뭐가 다른가요?

종량은 크레딧을 미리 충전해서 쓰는 방식(개인·프리랜서용)이고, 비즈니스는 한 달간 사용한 만큼 월말에 한 번에 정산하는 방식(사업자용)입니다.

어떤 문서를 전자서명할 수 있나요?

근로계약서, 임대차계약서, 업무위탁계약서, NDA, 동의서, 위임장 등 거의 모든 문서를 전자서명할 수 있습니다. PDF를 업로드하면 바로 서명 요청을 보낼 수 있습니다.

모바일에서도 서명할 수 있나요?

네. 서명자는 별도 앱 설치 없이 모바일 브라우저에서 바로 서명할 수 있습니다. 터치로 직접 서명하거나, 미리 저장된 서명을 사용할 수 있습니다.

서명 완료 후 문서는 어떻게 보관되나요?

서명 완료된 문서는 감사추적인증서와 함께 안전하게 보관됩니다. 언제든 다운로드할 수 있고, 서명 이력과 타임스탬프를 확인할 수 있습니다.

기존 전자서명 서비스에서 옮겨올 수 있나요?

네. 가입 후 바로 사용할 수 있어 별도의 마이그레이션 작업이 필요 없습니다. 기존 서비스와 병행 사용도 가능합니다.

서명 검증

웹훅 요청이 진짜 팩터리에서 왔는지, 변조되지 않았는지 Pactery-Signature 헤더로 검증합니다.

헤더 형식

Pactery-Signature: t=1717570000, v1=5a2f8c...

t: 서명 생성 시각(epoch 초)
v1: {t}.{raw_body}를 웹훅 비밀키(whsec_...)로 HMAC-SHA256 한 값

검증 절차

t와 원문 본문을 .으로 이어 서명 대상 문자열을 만든다.
비밀키로 HMAC-SHA256을 계산한다.
결과를 v1과 상수 시간 비교한다.
t가 현재 시각과 5분 이상 차이 나면 재생 공격으로 보고 거절한다.

import crypto from 'crypto'

function verify(rawBody, header, secret) {
  const parts = Object.fromEntries(header.split(',').map(p => p.trim().split('=')))
  const signed = `${parts.t}.${rawBody}`
  const expected = crypto.createHmac('sha256', secret).update(signed).digest('hex')
  const ok = crypto.timingSafeEqual(Buffer.from(expected), Buffer.from(parts.v1))
  if (!ok) throw new Error('bad signature')
  if (Math.abs(Date.now() / 1000 - Number(parts.t)) > 300) throw new Error('stale')
}

검증은 반드시 **파싱 전 원문(raw body)**으로 해야 합니다. JSON으로 다시 직렬화한 문자열은 바이트가 달라질 수 있습니다.