더 안전한 컨테이너 생태계를 위한 Docker: 무료 Docker Hardened Images 공개

• Docker Hardened Images(DHI) 는 보안이 강화된 최소 구성의 프로덕션용 컨테이너 이미지로, 모든 개발자가 무료로 사용할 수 있도록 Apache 2.0 라이선스로 공개됨
• DHI는 Alpine과 Debian 기반으로 제작되어 기존 워크플로에 쉽게 통합 가능하며, SBOM·SLSA Build Level 3·투명한 CVE 공개를 통해 신뢰 가능한 보안 기반 제공
• 기업용 DHI Enterprise는 7일 이내의 CVE 패치 SLA, 규제 산업용(FIPS, STIG) 이미지, 맞춤형 빌드 인프라를 포함하며, Extended Lifecycle Support(ELS) 는 최대 5년의 추가 보안 지원 제공
• Adobe, Qualcomm, Google, MongoDB, Anaconda 등 주요 기업들이 DHI를 채택하거나 파트너로 참여해 소프트웨어 공급망 보안 강화에 동참
• Docker는 이번 조치를 통해 모든 개발자와 조직이 기본적으로 안전한 컨테이너 환경에서 시작할 수 있는 산업 표준을 구축함

Docker Hardened Images 개요

• Docker Hardened Images(DHI) 는 2025년 5월 출시된 이후 1,000개 이상의 이미지와 Helm 차트를 강화한 보안 중심 이미지 세트
  • 2025년 12월부터 모든 개발자에게 무료 및 오픈소스로 제공
  • Apache 2.0 라이선스로 배포되어 사용·공유·수정에 제약 없음
• Docker Hub는 월 200억 회 이상의 이미지 풀을 기록하며, 전 세계 2,600만 명 이상의 개발자가 컨테이너 생태계에 참여
• 공급망 공격이 2025년에 600억 달러 이상의 피해를 초래하며 2021년 대비 3배 증가, 이에 대응하기 위한 보안 강화 필요성 강조

DHI의 주요 특징

• 투명성과 최소화를 핵심으로 하는 보안 이미지 구조
  • Distroless 런타임을 사용해 공격 표면을 최소화하면서 필수 개발 도구 유지
  • 모든 이미지에 완전한 SBOM과 SLSA Build Level 3 출처 정보 포함
  • 공개 CVE 데이터 기반 평가로 취약점 은폐 없이 투명성 유지
  • 모든 이미지에 진위 검증 서명 포함
• Alpine 및 Debian 기반으로 기존 개발팀이 최소한의 변경으로 도입 가능
  • Docker의 AI Assistant가 기존 컨테이너를 분석해 대응되는 강화 이미지 추천 또는 자동 적용 지원(현재 실험 단계)
• 보안 기본값을 유지하면서도 이미지 크기를 최대 95%까지 축소
  • DHI Enterprise에서는 CVE 거의 0 수준 보장

DHI Enterprise 및 ELS

• DHI Enterprise
  • 규제 산업 및 정부 기관을 위한 FIPS·STIG 대응 이미지 제공
  • CIS 벤치마크 준수, 7일 이내 중요 CVE 수정 SLA 제공
  • 이미지 커스터마이징, 런타임 구성, 인증서·패키지 추가 등 완전한 제어 가능
  • Docker의 빌드 인프라를 통해 빌드 출처 및 규정 준수 자동 관리
• DHI Extended Lifecycle Support(ELS)
  • DHI Enterprise의 유료 확장 옵션으로, 최대 5년간 추가 보안 패치 제공
  • 업스트림 지원 종료 후에도 지속적인 CVE 패치, SBOM 업데이트, 서명 및 감사 가능성 유지

생태계 확장 및 파트너십

• DHI는 Google, MongoDB, CNCF, Snyk, JFrog Xray 등과 협력해 보안 공급망 통합 추진
  • Snyk과 JFrog Xray는 DHI를 스캐너에 직접 통합
  • CNCF는 DHI가 오픈소스 생태계 강화에 기여한다고 평가
• Adobe, Qualcomm, Attentive, Octopus Deploy 등 기업이 DHI를 통해 규정 준수 및 보안 수준 향상 달성
• MongoDB, Anaconda, Socket, Temporal, CircleCI, LocalStack 등 주요 기술 기업들이 DHI의 개방성과 보안성을 지지

Docker Hardened Helm Charts 및 MCP Servers

• Hardened Helm Charts를 통해 Kubernetes 환경에서도 DHI 이미지 활용 가능
• Hardened MCP Servers로 Mongo, Grafana, GitHub 등 주요 MCP 서버의 보안 강화 버전 제공
  • 향후 보안 라이브러리·시스템 패키지 등으로 확장 예정
  • 목표는 애플리케이션의 main() 함수부터 전체 스택까지 보안 확보

Docker의 철학과 비전

• 기본 이미지가 애플리케이션 보안을 결정하므로, 완전한 투명성과 검증 가능한 신뢰성 확보가 핵심
• DHI는 보안이 기본값인 개발 환경을 제공하며, 모든 개발자와 조직이 동일한 수준의 보안 기반에서 시작 가능
• 이번 무료 공개는 10여 년 전 Docker Official Images를 무료로 제공했던 정신의 연장선
  • 명확한 문서, 일관된 유지보수, 오픈 파트너십을 통해 산업 전반의 보안 수준 향상

시작 방법

• Docker Hardened Images 카탈로그에서 무료 사용 가능
• 공식 문서를 통해 워크플로에 통합
• 파트너 프로그램 참여로 보안 생태계 강화 가능
• Docker는 컨테이너 보안의 미래를 함께 구축할 개발자 참여를 환영

결론

• Docker는 DHI를 통해 모든 개발자에게 보안이 기본값인 컨테이너 환경을 제공
• 이번 조치는 소프트웨어 공급망 보안의 산업 표준화를 가속하며, 오픈소스 협력 기반의 지속 가능한 보안 생태계 구축을 목표로 함