컨테이너 이미지 관리
컨테이너 이미지는 소프트웨어 공급망의 핵심 요소입니다. 정보처리기사 시험에서는 컨테이너 레지스트리, 이미지 보안 스캔, 이미지 서명, Harbor가 핵심 출제 범위입니다.
컨테이너 레지스트리
- Docker Hub: 가장 큰 공개 레지스트리. 공식 이미지(Official Images)와 검증된 이미지(Verified Publisher) 구분
- ECR(Amazon Elastic Container Registry): AWS 관리형 레지스트리. IAM으로 접근 제어. 이미지 취약점 스캔 내장
- GCR(Google Container Registry)/Artifact Registry: GCP 레지스트리
- Harbor: CNCF 오픈소스 레지스트리. 취약점 스캔(Trivy/Clair), 이미지 서명, 복제(Replication), RBAC, 불변 아티팩트 정책
이미지 보안 스캔
- Trivy: Aqua Security의 오픈소스 취약점 스캐너. OS 패키지, 언어별 라이브러리(pip, npm, gem), 설정 파일(IaC), 비밀(Secrets) 스캔
- Clair: Red Hat의 정적 분석 도구. Harbor, Quay.io에 통합
- Grype: Anchore의 오픈소스 스캐너
- 스캔 시점: CI 파이프라인(빌드 시), 레지스트리 push 시, 런타임(배포 전)
이미지 서명과 무결성
- cosign(Sigstore): 컨테이너 이미지에 OCI 레지스트리에 서명 저장. keyless 서명(OIDC 기반)
- Notary v2(TUF 기반): CNCF 이미지 서명 표준. The Update Framework(TUF) 기반
- Admission Controller(K8s): 배포 전 이미지 서명 검증. 서명되지 않은 이미지 차단
이미지 최적화 보안 전략
- Distroless 이미지: Google 제공. OS 패키지 매니저, 셸 없는 최소 이미지. 공격 표면 최소화
- 멀티 스테이지 빌드: 빌드 도구를 최종 이미지에서 제외. 이미지 크기 감소 + 공격 표면 축소
- 비루트 사용자: Dockerfile에서 USER 명령으로 비루트 사용자 지정. 컨테이너 탈출 시 권한 제한
- 읽기 전용 파일시스템: readOnlyRootFilesystem: true. 런타임 파일 변경 방지
정보처리기사 기출 핵심 정리
- Harbor = 오픈소스 레지스트리, 취약점 스캔 + 서명 + RBAC 통합
- Trivy = OS·언어·IaC·Secrets 통합 스캔 도구
- cosign = Sigstore 기반 이미지 서명, keyless 지원
- Distroless = 셸 없는 최소 이미지, 공격 표면 최소화
- 멀티 스테이지 빌드 = 빌드 도구를 최종 이미지에서 제외