내 코드는 멀쩡한데 취약점이 200개 뜨는 이유
도커 이미지를 빌드하고 보안 스캐너를 돌려본 분이라면, 화면 가득 뜨는 빨간 취약점(CVE) 목록에 한숨 쉰 경험이 있을 거예요. 분명 내가 짠 코드는 깨끗한데도 수십, 수백 개가 잡히거든요. 그런데 그 대부분은 내 애플리케이션이 아니라 베이스 이미지에 딸려온 것들이에요. ubuntu나 debian 같은 베이스 이미지에는 셸(터미널), 패키지 매니저, 각종 시스템 유틸리티가 잔뜩 들어 있는데, 정작 내 앱을 돌리는 데는 안 쓰면서 취약점만 잔뜩 안고 있는 거죠.
이 문제를 줄이려는 흐름이 바로 '미니멀(minimal)' 또는 '디스트로리스(distroless)' 이미지예요. 이번에 Minimus라는 곳이 이런 하드닝(보안 강화)된 미니멀 이미지를 무료로 풀었어요. 그동안 이 영역은 유료 상품 비중이 컸던 터라, 무료 카드는 꽤 의미가 있어요.
어떻게 취약점을 거의 0으로 만드나
원리는 생각보다 직관적이에요. 공격 표면을 줄이는 것, 즉 '없애버리면 취약점도 없다'는 발상이거든요. 일반 이미지는 디버깅 편의를 위해 셸, 패키지 매니저(apt, yum 같은 것), 각종 라이브러리를 다 넣어둬요. 하지만 미니멀 이미지는 내 앱이 실행되는 데 꼭 필요한 최소한의 파일만 남기고 전부 들어내요. 셸도 없고, 패키지 매니저도 없고, 불필요한 시스템 라이브러리도 없는 거죠.
이렇게 하면 좋은 점이 줄줄이 따라와요. 첫째, 이미지 용량이 확 줄어서 다운로드(pull)와 배포가 빨라져요. 둘째, 들어있는 패키지 자체가 적으니 CVE도 거의 0에 수렴하고요. 셋째, 보안 면에서 특히 중요한데요, 혹시 컨테이너가 공격자에게 뚫리더라도 셸이 없어서 공격자가 할 수 있는 게 별로 없어요. 보통 침투한 공격자는 셸을 열어 명령어를 실행하고 다른 곳으로 퍼지려 하는데, 그 셸 자체가 이미지에 없으니 발판을 못 만드는 거죠. 여기에 정적 링크(필요한 라이브러리를 실행 파일 안에 미리 박아넣는 방식)까지 더하면 의존성도 더 깔끔해져요.
이미 치열한 시장, Minimus의 무료 카드
이 분야는 사실 경쟁이 뜨거워요. 원조 격은 구글의 distroless 이미지예요. 셸도 패키지 매니저도 없는 런타임 전용 이미지로, 이 개념을 대중화시킨 주인공이죠. 그다음 Chainguard Images가 등장했는데, Wolfi라는 자체 배포판을 기반으로 'CVE 0개'를 전면에 내세워 인기를 끌었어요. 다만 본격적으로 쓰려면 유료 비중이 컸고요. 가벼운 이미지의 대명사인 Alpine도 있는데, 용량은 작지만 musl이라는 표준과 살짝 다른 C 라이브러리를 써서 가끔 호환성 문제가 생기는 게 흠이에요.
Minimus는 이 판에 '하드닝된 미니멀 이미지를 무료로'라는 카드를 들고 들어온 셈이에요. 도입 비용이 0이라는 건 사이드 프로젝트나 스타트업 입장에서 진입 장벽을 크게 낮춰주거든요.
다만 미니멀 이미지에는 분명한 트레이드오프가 있어요. 디버깅이 불편하다는 점이에요. 셸이 없으니 docker exec로 컨테이너에 들어가 ls나 cat을 쳐볼 수가 없거든요. 이건 보통 쿠버네티스의 kubectl debug 같은 임시 디버그 컨테이너(잠깐 붙였다 떼는 도구 컨테이너)를 옆에 붙이거나, 빌드용 이미지와 실행용 이미지를 나누는 멀티스테이지 빌드로 풀어요. 빌드할 땐 도구가 가득한 이미지를 쓰고, 최종 실행 이미지에는 결과물만 미니멀 이미지에 얹는 방식이죠.
한국 개발자에게 주는 시사점
쿠버네티스로 서비스를 운영하거나, 금융·공공처럼 보안 컴플라이언스가 빡빡한 환경에 계신 분이라면 이건 바로 도움이 돼요. 보안 점검 때 'CVE 몇 개 이하' 같은 기준을 맞춰야 하는 경우, 베이스 이미지만 미니멀로 바꿔도 스캐너 결과가 극적으로 깨끗해지거든요. 이미지가 작아지면 레지스트리 저장 비용과 배포 시간도 줄어서, 트래픽이 많은 서비스일수록 체감 이득이 커요.
당장 도입이 부담스럽다면, 적어도 '멀티스테이지 빌드 + 미니멀 런타임 이미지' 조합은 꼭 익혀두길 권해요. 요즘 컨테이너 보안의 사실상 표준 패턴이라, 면접에서든 실무에서든 알아두면 분명히 쓸 일이 와요.
마무리
한 줄로 정리하면, 가장 안전한 코드는 '아예 들어있지 않은 코드'라는 거예요. 미니멀 이미지는 이 원칙을 컨테이너에 그대로 적용한 결과물이고요. 여러분의 현재 도커 이미지, 마지막으로 용량과 취약점 수를 확인해본 게 언제인가요? 한번 스캔만 돌려봐도 들어낼 게 한가득일지 몰라요.
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공