더 안전한 컨테이너 생태계를 위한 Docker: 무료 Docker Hardened Images 공개

(docker.com)

2P by GN⁺ 1일전 | ★ favorite | 댓글 1개

Docker Hardened Images(DHI) 는 보안이 강화된 최소 구성의 프로덕션용 컨테이너 이미지로, 모든 개발자가 무료로 사용할 수 있도록 Apache 2.0 라이선스로 공개됨
DHI는 Alpine과 Debian 기반으로 제작되어 기존 워크플로에 쉽게 통합 가능하며, SBOM·SLSA Build Level 3·투명한 CVE 공개를 통해 신뢰 가능한 보안 기반 제공
기업용 DHI Enterprise는 7일 이내의 CVE 패치 SLA, 규제 산업용(FIPS, STIG) 이미지, 맞춤형 빌드 인프라를 포함하며, Extended Lifecycle Support(ELS) 는 최대 5년의 추가 보안 지원 제공
Adobe, Qualcomm, Google, MongoDB, Anaconda 등 주요 기업들이 DHI를 채택하거나 파트너로 참여해 소프트웨어 공급망 보안 강화에 동참
Docker는 이번 조치를 통해 모든 개발자와 조직이 기본적으로 안전한 컨테이너 환경에서 시작할 수 있는 산업 표준을 구축함

Docker Hardened Images 개요

Docker Hardened Images(DHI) 는 2025년 5월 출시된 이후 1,000개 이상의 이미지와 Helm 차트를 강화한 보안 중심 이미지 세트
- 2025년 12월부터 모든 개발자에게 무료 및 오픈소스로 제공
- Apache 2.0 라이선스로 배포되어 사용·공유·수정에 제약 없음
Docker Hub는 월 200억 회 이상의 이미지 풀을 기록하며, 전 세계 2,600만 명 이상의 개발자가 컨테이너 생태계에 참여
공급망 공격이 2025년에 600억 달러 이상의 피해를 초래하며 2021년 대비 3배 증가, 이에 대응하기 위한 보안 강화 필요성 강조

DHI의 주요 특징

투명성과 최소화를 핵심으로 하는 보안 이미지 구조
- Distroless 런타임을 사용해 공격 표면을 최소화하면서 필수 개발 도구 유지
- 모든 이미지에 완전한 SBOM과 SLSA Build Level 3 출처 정보 포함
- 공개 CVE 데이터 기반 평가로 취약점 은폐 없이 투명성 유지
- 모든 이미지에 진위 검증 서명 포함
Alpine 및 Debian 기반으로 기존 개발팀이 최소한의 변경으로 도입 가능
- Docker의 AI Assistant가 기존 컨테이너를 분석해 대응되는 강화 이미지 추천 또는 자동 적용 지원(현재 실험 단계)
보안 기본값을 유지하면서도 이미지 크기를 최대 95%까지 축소
- DHI Enterprise에서는 CVE 거의 0 수준 보장

DHI Enterprise 및 ELS

DHI Enterprise
- 규제 산업 및 정부 기관을 위한 FIPS·STIG 대응 이미지 제공
- CIS 벤치마크 준수, 7일 이내 중요 CVE 수정 SLA 제공
- 이미지 커스터마이징, 런타임 구성, 인증서·패키지 추가 등 완전한 제어 가능
- Docker의 빌드 인프라를 통해 빌드 출처 및 규정 준수 자동 관리
DHI Extended Lifecycle Support(ELS)
- DHI Enterprise의 유료 확장 옵션으로, 최대 5년간 추가 보안 패치 제공
- 업스트림 지원 종료 후에도 지속적인 CVE 패치, SBOM 업데이트, 서명 및 감사 가능성 유지

생태계 확장 및 파트너십

DHI는 Google, MongoDB, CNCF, Snyk, JFrog Xray 등과 협력해 보안 공급망 통합 추진
- Snyk과 JFrog Xray는 DHI를 스캐너에 직접 통합
- CNCF는 DHI가 오픈소스 생태계 강화에 기여한다고 평가
Adobe, Qualcomm, Attentive, Octopus Deploy 등 기업이 DHI를 통해 규정 준수 및 보안 수준 향상 달성
MongoDB, Anaconda, Socket, Temporal, CircleCI, LocalStack 등 주요 기술 기업들이 DHI의 개방성과 보안성을 지지

Docker Hardened Helm Charts 및 MCP Servers

Hardened Helm Charts를 통해 Kubernetes 환경에서도 DHI 이미지 활용 가능
Hardened MCP Servers로 Mongo, Grafana, GitHub 등 주요 MCP 서버의 보안 강화 버전 제공
- 향후 보안 라이브러리·시스템 패키지 등으로 확장 예정
- 목표는 애플리케이션의 main() 함수부터 전체 스택까지 보안 확보

Docker의 철학과 비전

기본 이미지가 애플리케이션 보안을 결정하므로, 완전한 투명성과 검증 가능한 신뢰성 확보가 핵심
DHI는 보안이 기본값인 개발 환경을 제공하며, 모든 개발자와 조직이 동일한 수준의 보안 기반에서 시작 가능
이번 무료 공개는 10여 년 전 Docker Official Images를 무료로 제공했던 정신의 연장선
- 명확한 문서, 일관된 유지보수, 오픈 파트너십을 통해 산업 전반의 보안 수준 향상

시작 방법

Docker Hardened Images 카탈로그에서 무료 사용 가능
공식 문서를 통해 워크플로에 통합
파트너 프로그램 참여로 보안 생태계 강화 가능
Docker는 컨테이너 보안의 미래를 함께 구축할 개발자 참여를 환영

결론

Docker는 DHI를 통해 모든 개발자에게 보안이 기본값인 컨테이너 환경을 제공
이번 조치는 소프트웨어 공급망 보안의 산업 표준화를 가속하며, 오픈소스 협력 기반의 지속 가능한 보안 생태계 구축을 목표로 함

▲

GN⁺ 1일전 [-]

Hacker News 의견들

Docker의 Hardened Images(DHI) 가 이제 모두에게 무료로 제공됨
규제 산업(은행, 보험, 정부 기관 등)에서는 이런 보안 강화 이미지에 관심이 많을 것 같음
- 예전에 무료 레지스트리를 유료로 전환했던 사례 이후로, Docker의 무료 정책을 신뢰하기 어려움
  업계 전반에 bait and switch 패턴이 너무 흔해짐
- VulnFree CEO로서 보기에, 이번 발표는 단순한 마케팅 전략으로 보임
  Chainguard의 성장세가 Docker보다 훨씬 크고, Docker는 그 흐름을 따라잡으려는 듯함
- 이미지를 pull하려 했는데 401 에러가 발생했음. 로그인 필요? 무료라기엔 이상한 접근 방식임
- 로그인 게이트가 걸려 있어서 시도조차 하기 싫어졌음. 불필요한 마찰임
- 이 발표문 자체가 LLM이 생성한 것 같은 느낌을 받음
Bitnami/VMWare/Broadcom의 Helm 차트 중단에 대한 Docker의 대응으로 보임
- 아마도 Chainguard의 급성장에 대한 반응일 것 같음. AI가 아닌 보안 이미지 분야에서 VC들이 수억 달러를 투자하고 있음
- 나도 그렇게 생각함
처음 봤을 때, 이건 단순히 교체 가능한 솔루션이 아님
로그인 요구가 있고, PAT(personal access token) 이 개인 계정에 묶여 있음
스타트업 입장에서는 엔터프라이즈 플랜 문의할 이유가 없음
CICD 환경 없이 로컬 개발용으로만 쓸 수 있다면 실용성이 떨어짐
- Docker for Teams는 월 15달러 수준이고, 엔터프라이즈 하든드 이미지는 오프라인 미러링이나 규제 대응용으로 별도임
  CVE 하든드 이미지의 핵심 가치는 규모에서의 신뢰성임. 팀 단위로 직접 스캔·패치하는 건 현실적으로 어렵기 때문임
하든드 이미지 시장이 포화 상태로 보임
Kubecon에서도 최소 3개 회사가 같은 서비스를 제공하고 있었음
Chainguard가 처음 시장을 열었고, 0 CVE 이미지로 스타트업 보안 심사를 통과시키는 데 큰 도움이 되었음
하지만 Minimus, Ironbank 등 경쟁자가 늘어나고 있음. 생태계에는 긍정적이지만, 시장이 그만큼 크진 않을 수도 있음
- 진짜 문제는 시장 포화가 아니라, Docker가 무료로 제공하면 시장 자체가 사라질 수도 있음
- Chainguard는 VM 이미지나 언어별 리포지토리로 확장 중이지만, 규제 산업 외에 유료 수요가 얼마나 있을지는 의문임
  Docker가 무료로 제공하면 진입 장벽이 낮아져서 시도해보기 쉬움
- Ironbank 이미지는 DoD 외 조직도 사용할 수 있음. 계정만 등록하면 됨
- VulnFree CEO로서, Chainguard가 가장 먼저 시작했는지는 모르겠지만, 여전히 미충족 수요가 존재함
- Ironbank는 사실 Chainguard보다 먼저 이런 걸 했음. 하지만 품질이 낮았고, 컨테이너를 자주 깨뜨리는 문제가 있었음
  glibc 버전 차이로 세그폴트가 나는 등, 하든드 과정이 단순히 바이너리 복사 수준이었음
  정부나 규제 산업에서는 여전히 수요가 크지만, 독립 사업으로는 지속 가능성이 낮음
  Chainguard는 창업자 명성 덕분에 버티는 느낌이고, 결국 리눅스 배포판 비즈니스 모델과 유사함
  리눅스 배포판을 이미 운영 중인 기업이라면 이런 서비스는 자연스러운 확장임
Docker 직원으로서, 보안 기본값(secure-by-default) 을 모든 개발자의 출발점으로 만들고 싶음
모든 이미지에 VEX 문서와 attestations, 메타데이터를 포함시켜 투명성을 높였음
베이스 이미지뿐 아니라 MCP 서버 등 스택 전반으로 확장할 계획임
엔터프라이즈 티어에서는 지속 패치 SLA, FIPS 변형, 보안 커스터마이징 등을 유료로 제공함
이를 통해 커뮤니티에는 무료 카탈로그를 유지할 수 있음
- 예시로 든 PHP 이미지 스펙 의 Dockerfile 형식이 생소함
  이걸 빌드할 수 있는 도구가 따로 있는지 궁금함
Docker의 무료 정책은 언제든 유료로 바뀔 수 있다는 불안감이 있음
예전의 Docker Desktop, Registry 사례가 그랬음
- 이런 사례가 다시 발생하면, 기업들이 무료 서비스 의존에 신중해질 것임
  예: Google G Suite 무료 계정 중단 집단소송
- 더 짜증나는 건, Docker가 자체 레지스트리 외 설정을 막았던 점임
  그래서 Red Hat이 Podman을 만들었음
Bitnami가 무료 하든드 이미지를 중단한 시점과 Docker의 발표가 겹친 게 흥미로움
또 다른 “무료 후 유료 전환” 시나리오가 반복될까 걱정됨
Docker는 늘 VC 성장 전략을 따르는 듯함
1. 무료로 생태계 확보
2. 사용자 락인 후 유료화
3. 수익화
- 우리 팀은 Bitnami 이미지에서 이미 인프라를 옮겼음. Docker는 더 이상 신뢰하지 않음
Docker가 유지해야 하는 빌드 스크립트가 꽤 복잡함
예: Traefik 빌드 YAML
반면 Nix는 이미 대부분의 소프트웨어를 패키징했고, 컨테이너화도 추가 작업 없이 가능함
재현 가능한 빌드와 대규모 캐시 인프라가 이미 존재함
Docker가 이 수준에 도달하려면 커뮤니티 없이 자체적으로 모든 걸 구축해야 함
오픈소스라더니, Traefik 하든드 이미지 의 소스 코드가 보이지 않음
카탈로그 YAML 은 단순 설정 파일일 뿐, 빌드 파일이 아님
dhi라는 도구가 필요한 것 같은데, 문서가 없음
오프라인 환경에서 직접 빌드할 수 없다면 진정한 오픈소스라고 보기 어려움
VulnFree CEO로서 보기에, Docker의 이번 발표는 Chainguard의 모멘텀을 견제하기 위한 마케팅임
이 분야는 혁신이 부족하고, 대부분 Chainguard의 모델을 변형한 수준임
Chainguard의 투자 유치 이후 VC들이 “보안 이미지” 시장에 몰려들었고, Bitnami는 유료화를 시도했으며, Docker는 그 공백을 무료 제공으로 메움
하지만 소스코드를 공개하지 않는 이유는 명확함 — 공개하면 진입 장벽이 사라지기 때문임
현재 가격대에서는 직접 빌드하는 게 더 저렴함
VulnFree는 맞춤형 하든드 이미지로 개발팀의 워크플로우에 맞춰주는 것이 진짜 가치임

답변달기