Aqua Security의 Trivy가 Docker Hub 공급망 공격을 분석하여 CI/CD 파이프라인에 취약 컨테이너 이미지 검증 자동화 전략 제시

Context

공개 레지스트리의 컨테이너 이미지 중 검증되지 않은 이미지를 배포하면서 백도어 및 자격증명 탈취자가 내재된 손상된 이미지가 운영 환경에 배포되는 사건이 발생했다. 조직들이 이미지 무결성 검증 절차 없이 공개 이미지를 신뢰하고 사용함으로써 공급망 공격에 노출되었다.

Technical Solution

• Trivy를 이용한 이미지 스캔 자동화: trivy image --severity HIGH,CRITICAL 명령으로 빌드/배포 전 HIGH 및 CRITICAL 취약점 필터링
• 빌드 전 기본 이미지 검증: GitHub Actions에서 trivy image ubuntu:22.04로 베이스 이미지 스캔 후 취약점 발견 시 배포 중단
• 빌드 후 애플리케이션 이미지 검증: 컨테이너 빌드 직후 trivy image myapp:${{ github.sha }}로 최종 이미지 스캔 실행
• Syft를 이용한 SBOM 생성 및 분석: syft 도구로 SPDX 형식의 소프트웨어 부품 명세서 생성 후 trivy sbom으로 알려진 취약점과 대조
• 프라이빗 레지스트리 미러링 전략: 공개 이미지를 pull → 스캔 → 프라이빗 레지스트리에 push하는 3단계 검증 프로세스 구현

Key Takeaway

CI/CD 파이프라인에 빌드 전/후 단계별 이미지 스캔을 의무화하고 프라이빗 레지스트리를 게이트웨이로 운영하면 공급망 공격으로 인한 손상된 이미지의 프로덕션 배포를 차단할 수 있다. 이미지 서명 검증, Kubernetes 어드미션 컨트롤러, 런타임 모니터링을 계층적으로 적용하는 방어 심층 전략이 필수적이다.