모든 개발자를 위한 Docker Hardened Images, 완전 무료가 된 이유

컨테이너는 이제 대부분의 개발자에게 프로덕션으로 가는 기본 경로입니다.

그리고 그 중심에 있는 Docker가 'Docker Hardened Images(DHI)'를 전 세계 개발자에게 완전히 무료이자 오픈 소스로 공개했습니다.

이제 첫 docker pull 순간부터, 누구나 안전한 베이스 이미지를 기본값으로 사용할 수 있게 된 것입니다.

왜 이 변화가 중요한지, 무엇이 달라졌는지, 그리고 개발자로서 어떻게 활용하면 좋을지 정리해보겠습니다.

소프트웨어 공급망 공격 폭발, 왜 베이스 이미지가 답인가

최근 몇 년간 소프트웨어 공급망 공격은 사실상 '모든 단계'를 노리고 있습니다.

언어, 패키지 매니저, 빌드 시스템, 배포 경로, 컨테이너 레지스트리까지, 코드가 지나가는 모든 경로가 공격 표면입니다.

2025년에는 공급망 공격으로 인한 피해액이 600억 달러를 넘었고, 2021년 대비 3배 이상 증가했습니다.

이런 환경에서 가장 먼저 손봐야 할 지점이 바로 컨테이너 베이스 이미지입니다.

애플리케이션은 결국 베이스 이미지 위에서 실행되고, 이 첫 레이어가 얼마나 깨끗하고 투명한지에 따라 전체 보안 수준이 결정됩니다.

Docker는 이 지점을 '기본값부터 안전하게(default secure)' 만들기 위해 Docker Hardened Images를 내놓았고, 이제 이걸 모두에게 개방했습니다.

Docker Hardened Images란? 최소·보안·투명성 3박자

Docker Hardened Images(DHI)는 한마디로 말해 프로덕션에 바로 올려도 될 수준으로 강화된 베이스 이미지 세트입니다.

단순히 "슬림 이미지"가 아니라, 다음 세 가지를 중심에 둔 설계 철학을 가지고 있습니다.

첫째, 최소화된 공격 표면입니다.

DHI는 디스트로리스(distroless)에 가까운 런타임을 사용해, 불필요한 도구와 라이브러리를 과감히 제거합니다.

그 결과 이미지 크기가 기존 대비 최대 95%까지 줄어들 수 있고, 공격자가 이용할 수 있는 표면도 함께 줄어듭니다.

둘째, 완전한 투명성입니다.

많은 벤더가 취약점(CVE) 정보를 축소하거나, 자체 점수 체계를 도입해 위험을 낮춰 보이게 만들기도 합니다.

DHI는 정반대 접근을 택합니다.

• 모든 이미지에는 완전한 SBOM(Software Bill of Materials)이 포함되고

• 모든 빌드에는 SLSA Build Level 3 수준의 프로비넌스(provenance)가 제공되며

• 취약점은 공개 CVE 데이터를 기반으로 숨김 없이 공개됩니다.

"스캐너는 초록불인데, 실제로는 뭐가 있는지 모르는 상황"을 없애겠다는 것입니다.

셋째, 신뢰할 수 있는 기반입니다.

DHI는 완전히 새로운 리눅스를 만든 것이 아니라, 이미 업계에서 가장 널리 쓰이는 Alpine과 Debian을 토대로 강화된 이미지를 제공합니다.

덕분에 기존 Debian/Alpine 기반 워크로드를 사용하는 팀이라면 비교적 적은 변경으로 바로 옮길 수 있습니다.

무료 + 오픈 소스로 전환, 무엇이 어떻게 달라졌나

2025년 5월, Docker는 처음으로 Hardened Images를 공개했고, 이후 1,000개가 넘는 이미지와 Helm Chart를 강화해 카탈로그에 추가했습니다.

이번 발표는 한 가지를 더 크게 바꿉니다.

이제 Docker Hardened Images는 전 세계 2,600만+ 개발자가 제한 없이 쓸 수 있는, 완전 무료 오픈 소스 프로젝트가 되었습니다.

라이선스는 Apache 2.0으로,

• 자유롭게 사용

• 재배포

• 수정 및 파생 이미지 제작

이 모두를 제약 없이 할 수 있습니다.

핵심 메시지는 아주 직설적입니다.

"모든 개발자와 모든 애플리케이션은, 지금부터 DHI를 제한 없이 써도 된다. 그리고 써야 한다."

돈을 내야 하는 지점은 '기능 제한'이 아니라 운영 SLA와 규제 요건, 커스터마이징, EOL 이후 패치 같은 고급 요구 사항일 뿐입니다.

즉, 보안 자체는 프리미엄 기능이 아니다라는 입장을 실천하고 있습니다.

엔터프라이즈가 선택한 이유: 투명성과 SLA

DHI는 이미 여러 기업에서 실제로 선택받고 있습니다.

Adobe, Qualcomm 같은 엔터프라이즈는 엄격한 규제와 컴플라이언스를 충족하기 위해 Docker Hardened Images를 도입했고,

Attentive, Octopus Deploy 같은 스타트업은 "보안 + 컴플라이언스를 확보해야 대기업 고객을 설득할 수 있다"는 이유로 DHI를 택했습니다.

DHI Enterprise(상용 버전)는 특히 다음과 같은 이유로 선택받고 있습니다.

• 7일 이내 치명적 CVE 패치 보장(향후 1일 이하 목표)

• FIPS, FedRAMP, STIG, CIS Benchmarks 등 규제·가이드라인 대응

• 조직별 맞춤 커스터마이징(추가 패키지, 인증서, 키, 스크립트 등)

• Docker의 빌드 인프라를 활용하는 이미지 라이프사이클 관리

많은 조직이 "우리가 직접 이 수준의 패치를, 이 속도로, 이 기간 동안 유지할 수 있는가?"라는 질문에서 결국 답을 찾지 못합니다.

DHI는 그 부담을 서비스 형태로 가져가고, 개발팀은 애플리케이션 로직에 집중할 수 있도록 합니다.

Kubernetes·MCP까지 확장되는 '하드닝' 생태계

컨테이너 이미지만 안전하면 끝일까요?

Docker는 거기서 멈추지 않습니다.

이미 DHI를 활용하는 Hardened Helm Charts가 공개되어 있어, Kubernetes 환경에서도 강화된 이미지를 그대로 활용할 수 있습니다.

K8s에서 바로 가져다 쓸 수 있는 '보안이 기본 적용된 배포 단위'가 생긴 셈입니다.

여기에 더해 Docker는 최신 에이전틱 앱의 핵심 인터페이스인 MCP 서버까지 하드닝 영역을 확장하고 있습니다.

이제 Mongo, Grafana, GitHub 등 개발자가 많이 사용하는 MCP 서버들도 Hardened 버전으로 실행할 수 있습니다.

Docker의 목표는 꽤 야심 찹니다.

"애플리케이션을 main() 함수부터 아래까지, 전 스택을 안전하게 만들 수 있게 하는 것."

이를 위해 앞으로는 하드닝된 라이브러리, 시스템 패키지, 기타 필수 컴포넌트까지 확대하겠다고 예고했습니다.

개발자 경험: 마이그레이션은 어렵지만, 덜 아프게

베이스 이미지를 바꾸는 작업은 말처럼 간단하지 않습니다.

FROM 한 줄만 바꾸고 끝나는 일은 거의 없다고 봐야죠.

패키지 경로가 다를 수도 있고, 사용하던 시스템 유틸리티가 사라질 수도 있고, CI/CD 파이프라인이 깨질 수도 있습니다.

Docker도 이 점을 인정합니다.

그래서 "개발자 경험(DX)을 최대한 덜 아프게 만드는 것"을 설계의 또 다른 축으로 삼았습니다.

DHI는 이미 널리 쓰이는 Debian/Alpine 기반이기 때문에, 마이그레이션 시 충격을 줄일 수 있습니다.

또 한 가지 흥미로운 지점은 Docker AI Assistant입니다.

이 도구는 기존 컨테이너를 분석해 대응되는 Hardened Image를 추천하거나, 자동으로 치환해주는 기능을 실험 중입니다.

아직은 초기 단계지만, 실사용 사례를 모으면서 빠르게 GA(정식 기능)가 될 예정입니다.

즉, "마이그레이션이 쉽다"는 말 대신, "어렵다는 걸 인정하고, 그 어려움을 줄이는 도구를 같이 제공하겠다"는 쪽에 가깝습니다.

세 가지 경로: 무료 DHI, Enterprise, 그리고 ELS

이번 발표로 DHI는 하나의 제품이 아니라, 서로 다른 요구를 채우는 세 가지 경로로 정리되었습니다.

첫째, Docker Hardened Images – 무료 버전입니다.

모든 개발자를 위한 기본값으로,

• 최소화된 공격 표면

• 투명한 SBOM과 CVE 정보

• Alpine/Debian 기반의 친숙한 환경

을 무료이자 오픈 소스로 제공합니다.

개인 프로젝트, 스타트업, 오픈 소스 프로젝트라면 이 단계만으로도 상당 수준의 보안 향상을 얻을 수 있습니다.

둘째, Docker Hardened Images Enterprise입니다.

보안과 규제가 비즈니스의 핵심 변수인 기업을 위한 옵션입니다.

• FIPS 지원, STIG 준비 상태

• CIS Benchmarks 준수

• 치명적 CVE 7일 이내 패치 SLA

• 무제한 커스터마이징과 전체 카탈로그 접근

특히 금융, 공공, 대형 SaaS 기업 등 "감사와 규제가 일상"인 조직이라면 선택지가 매우 제한적인데, DHI Enterprise는 그 요구를 직접 겨냥합니다.

셋째, DHI Extended Lifecycle Support(ELS)입니다.

소프트웨어 보안에서 가장 골치 아픈 지점 중 하나가 "EOL 이후"입니다.

리눅스 배포판이나 런타임이 공식 지원을 종료하면,

• 취약점은 계속 발견되는데

• 공식 패치는 더 이상 나오지 않고

• 스캐너는 온통 빨간불이고

• 감사 대응은 점점 힘들어집니다.

ELS는 여기에 최대 5년 추가 보안 커버리지를 제공합니다.

CVE 패치, SBOM 업데이트, 서명과 감사 가능성까지 계속 이어져, "리플랫폼을 미루면서도 보안을 포기하지 않는" 선택지를 제공합니다.

어떻게 시작할까? 지금 할 수 있는 세 가지

DHI를 도입하는 방법은 생각보다 단순합니다.

먼저, 개발자가 할 수 있는 일은 다음과 같습니다.

지금 사용하는 이미지 중 가장 중요한 것부터, DHI로 대체 가능한 것이 있는지 찾아보는 것입니다.

베이스 이미지 한 줄을 바꾸고, 애플리케이션이 제대로 동작하는지 테스트해보는 것만으로도 꽤 많은 인사이트를 얻을 수 있습니다.

Docker 문서와 카탈로그에서 DHI 이미지를 찾아 바로 실험해볼 수 있습니다.

조직 차원에서는 다음 단계를 병행하면 좋습니다.

보안팀과 함께 SBOM, CVE 정책, 규제 요구사항을 검토해, 무료 DHI로 충분한지, Enterprise/ELS가 필요한지 판단해보는 것입니다.

특히 장기 운영 시스템, 규제 산업, 정부·공공 관련 워크로드는 초기에 전략을 명확히 해두는 게 좋습니다.

그리고 컨테이너·Kubernetes·MCP를 함께 사용하는 팀이라면, Helm Charts와 Hardened MCP 서버까지 한 흐름으로 도입해보는 것이 이상적입니다.

"이미지는 Hardened인데, 그 위에서 도는 시스템이 취약하다"는 불균형을 줄일 수 있습니다.

시사점: 보안은 더 이상 '선택 옵션'이 아니다

Docker Hardened Images가 무료·오픈 소스로 전환된 것은, 단순히 하나의 제품 정책 변경이 아닙니다.

컨테이너 생태계 전체에 대해, Docker가 이렇게 선언한 것과 같습니다.

"보안은 프리미엄 기능이 아니라, 기본 제공돼야 한다."

이 변화의 의미는 세 가지로 정리할 수 있습니다.

첫째, 개발자가 더 이상 보안과 생산성을 맞바꾸지 않아도 된다는 점입니다.

이미 프로덕션 수준으로 강화된 이미지를 기본값으로 사용하는 것만으로, 많은 위험을 초기에 제거할 수 있습니다.

둘째, 투명성이 새로운 신뢰의 기준이 된다는 점입니다.

숨겨진 CVE, 독자적인 취약점 점수, 불분명한 빌드 출처가 아니라, SBOM·SLSA·공개 CVE 데이터를 기반으로 한 명확한 보안 상태가 업계 표준으로 자리 잡을 가능성이 높습니다.

셋째, 공급망 보안은 혼자 하는 싸움이 아니라는 사실입니다.

MongoDB, Google, CNCF, Anaconda, Socket, Temporal, CircleCI, LocalStack 등 이미 많은 파트너가 DHI에 올라타고 있습니다.

보안이 강한 생태계는 결국 서로 연결된 모든 조직의 이익입니다.

개발자 입장에서 할 일은 복잡하지 않습니다.

지금 쓰는 FROM 한 줄을 다시 보는 것부터 시작하면 됩니다.

"어차피 같은 기능을 할 수 있다면, 왜 더 안전한 걸 쓰지 않을까?"

Docker Hardened Images는 그 질문에 대한, 꽤 설득력 있는 답을 내놓고 있습니다.

출처 및 참고 : Hardened Images for Everyone | Docker