Multi-Stage Build를 통한 이미지 최적화 및 Attack Surface 최소화

Context

단일 Dockerfile 구조로 인한 빌드 도구와 런타임 환경의 혼재가 이미지 크기 비대화를 초래함. 이로 인한 느린 Pull 속도와 불필요한 패키지 포함에 따른 보안 취약점 노출이 주요 한계점으로 작용함.

Technical Solution

• FROM 명령어를 다중 사용하여 빌드 환경(Builder)과 실행 환경(Final)을 물리적으로 분리한 구조 설계
• AS 키워드를 통한 각 빌드 단계의 별칭 지정으로 단계 간의 명확한 역할 정의
• COPY --from 지시어를 사용하여 빌드 단계에서 생성된 최종 Artifact(Binary 등)만 런타임 이미지로 전송하는 선택적 복제 메커니즘 적용
• SDK, 컴파일러, 테스트 프레임워크 등 빌드 타임 의존성을 최종 이미지에서 완전히 배제하여 런타임 최소화
• Alpine, Scratch 등 초경량 Base Image 채택을 통한 OS 레이어 오버헤드 제거

Impact

• 10MB 규모의 Go Binary가 단일 빌드 시 1GB까지 비대해지는 문제 해결
• Node.js 환경에서 500MB 이상의 node_modules 등 개발 의존성 제거를 통한 이미지 크기 획기적 감소

Key Takeaway

빌드 환경과 런타임 환경의 엄격한 분리는 단순한 용량 절감을 넘어 보안 공격 표면을 줄이는 핵심적인 Security-by-Design 전략임.