받은 계약서가 진짜일까? PDF 위·변조 확인하는 법 (SHA-256 지문 대조)
2026년 6월 21일
전자서명이 편리해진 만큼, 받는 입장에선 한 번쯤 이런 의심이 듭니다. “이 PDF, 중간에 금액이나 날짜가 슬쩍 바뀐 건 아닐까?” 종이 계약서라면 도장이나 필적으로 가늠하지만, PDF는 겉모습만 봐서는 위·변조를 알아차리기 어렵습니다.
다행히 PDF에는 종이에 없는 무기가 있습니다. 바로 파일의 디지털 지문입니다. 이 글에서는 받은 계약서가 진짜인지, 내용이 한 글자도 바뀌지 않았는지 직접 확인하는 방법을 정리합니다.
PDF 위·변조, 왜 눈으로는 못 잡을까
PDF는 텍스트와 이미지를 편집할 수 있는 형식입니다. 솜씨 좋게 손대면 금액·날짜·서명 위치가 바뀌어도 ‘겉보기엔 멀쩡한’ 파일이 됩니다. 그래서 사람의 눈 대신 두 가지 장치로 진본을 가립니다.
- 감사추적(audit trail) — 누가, 언제, 어떤 IP에서, 어떤 방식으로 서명했는지를 남긴 기록.
- 문서 지문(SHA-256 해시) — 파일 내용이 1바이트라도 바뀌면 완전히 달라지는 ‘디지털 지문’.
방법 1. 감사추적 증명서 확인
제대로 된 전자서명 서비스는 서명이 완료되면 감사추적 증명서(PDF)를 함께 만들어 둡니다. 여기에는 서명자, 서명 시각, 접속 IP, 본인확인 수단(이메일 링크/OTP 등)이 기록돼 있어, 분쟁이 생겼을 때 ‘누가 언제 동의했는지’를 보여 주는 증거가 됩니다. 프리싸인은 완료 문서에 문서 고유 식별자와 서명 완료 시각까지 함께 새겨 둡니다.
방법 2. 진위확인 — SHA-256 지문 대조 (제3자도 가능)
가장 확실한 방법은 지문 대조입니다. 원본 서명이 완료될 때 그 PDF의 SHA-256 지문이 서버에 기록됩니다. 나중에 보유한 완료 PDF를 그대로 올리면, 그 파일의 지문을 그 자리에서 다시 계산해 기록된 진본 지문과 일치하는지를 대조합니다. 내용이 한 글자라도, 아니 1바이트라도 바뀌면 지문이 완전히 달라져 ‘불일치’로 잡힙니다.
여기서 핵심은 이게 ‘조회’가 아니라 ‘파일 대조’라는 점입니다. 서버의 문서를 검색하거나 열람하는 게 아니라, ‘지금 가지고 있는 이 파일이 진본과 똑같은가’만 비교합니다. 그래서 문서 내용이나 개인정보가 노출되지 않고, 상대방이든 법원이든 파일만 들고 있으면 누구나 안전하게 검증할 수 있습니다.
위·변조가 의심될 때 체크리스트
- 진위확인에 보유한 PDF를 올려 지문이 ‘일치’로 나오는지 본다. (불일치면 원본과 다른 파일이라는 신호)
- 감사추적 증명서의 서명 시각·서명자가 내가 알고 있는 사실과 맞는지 확인한다.
- 문서에 새겨진 고유 식별자·완료 시각이 손대지 않은 채 그대로인지 본다.
- 금액·날짜·이름 등 핵심 항목이 상대가 보관한 사본과 같은지 맞춰 본다.
처음부터 안전하게 서명받으려면
받은 뒤 검증하는 것도 중요하지만, 처음부터 감사추적과 지문이 남는 서비스로 주고받는 것이 가장 깔끔합니다. 프리싸인은 모든 완료 문서에 감사추적 증명서와 SHA-256 지문을 남기므로, 시간이 지나도 누구나 진본을 확인할 수 있습니다.
자주 묻는 질문
Q. 진위확인을 하려면 가입해야 하나요?
아니요. 보유한 완료 PDF만 있으면 누구나 가입 없이 올려서 대조할 수 있습니다.
Q. 어떤 원리로 진짜인지 가려내나요?
올린 PDF의 SHA-256 지문을 그 자리에서 다시 계산해, 원본이 완료될 때 기록된 진본 지문과 비교합니다. 내용이 1바이트라도 바뀌면 지문이 달라져 ‘불일치’로 나옵니다.
Q. 업로드한 계약서가 저장되나요?
아니요. 지문 대조에만 사용되고 내용은 보관·열람되지 않습니다. 별도 조회가 아니라 파일 대조 방식이라 더 안전합니다.
Q. 지문이 ‘불일치’로 나오면 어떻게 하나요?
원본과 다른 파일(수정·재저장·변조 포함)이라는 뜻입니다. 상대가 보관한 원본과 다시 대조해 보세요.