DHI 도입을 통한 ClickHouse CVE 제거 및 프로덕션 배포 승인 가속화

Context

Ubuntu 22.04 기반의 표준 ClickHouse 이미지 사용 중 불필요한 기본 패키지로 인한 다수의 Critical CVE 발생. 실제 런타임에 사용되지 않는 라이브러리가 보안 스캐너에 검출됨에 따라 보안 팀의 배포 차단 및 리스크 예외 처리 과정의 병목 발생.

Technical Solution

• 최소 실행 환경 기반의 Docker Hardened Images(DHI) 전환을 통한 공격 표면(Attack Surface) 최소화
• runtime 단계에서 apt 패키지 매니저를 완전히 제거하여 임의 도구 설치 및 지속성 확보 경로 차단
• ClickHouse 실행에 불필요한 curl, wget 등 네트워크 유틸리티 배제로 CVE-2021-31879 등의 취약점 원천 제거
• SLSA Level 3 Provenance 및 SRLabs 독립 검증을 통한 이미지 신뢰성 확보 및 보안 심사 프로세스 간소화
• 기존 XML 설정, 볼륨 마운트, 포트 매핑을 유지하며 이미지 레퍼런스만 변경하는 하위 호환 설계 적용