[사진= 레드햇 제공]
레드햇이 보안 취약점(CVE)을 '제로(0)' 수준으로 낮춘 초경량 컨테이너 이미지를 선보였다. 인공지능(AI) 코딩 도구 확산으로 빨라진 개발 속도에 맞춰, 보안 무결성이 검증된 마이크로 이미지를 제공해 소프트웨어(SW) 공급망 신뢰도를 높이겠다는 전략이다.

레드햇은 24일 구독 고객을 대상으로 한 얼리 액세스 프로그램 '프로젝트 허밍버드'를 발표했다.

프로젝트 허밍버드는 불필요한 구성 요소를 제거해 크기를 줄이고 보안을 강화한 '마이크로 사이즈 컨테이너 이미지' 카탈로그 서비스다. 기업 IT 조직이 애플리케이션 개발 속도와 시스템 보안성 사이에서 겪는 타협의 문제를 해결하기 위해 설계됐다.

최근 챗GPT 등 생성형 AI를 활용한 코딩이 보편화되면서 앱 개발 주기는 비약적으로 단축됐다. 반면 복잡해진 SW 구성요소 관리와 보안 위협은 기업 최고정보책임자(CIO)의 고민거리였다.

레드햇은 이 프로젝트를 통해 △닷넷(.NET) △고(Go) △자바(Java) △노드(Node) 등 최신 프로그래밍 언어와 △마리아DB·포스트그레SQL 등 데이터베이스(DB) △엔진엑스(NGINX) 등 웹 서버를 포함한 필수 기반 요소를 제공한다.

핵심은 '제로-CVE' 상태 보장이다. 제공되는 모든 이미지는 알려진 보안 취약점이 제거된 상태로 제공되며, 기능 테스트를 완료해 안정성을 확보했다. 또한 SW 자재명세서(SBOM)를 함께 제공해 사용자가 이미지 내용을 검증하고 컴플라이언스 요건을 충족할 수 있도록 했다.

이를 통해 개발자는 패키지 통합이나 취약점 관리에 들이는 시간을 줄이고, 검증된 이미지를 즉시 프로덕션 환경에 투입할 수 있게 된다.

프로젝트 허밍버드는 레드햇 엔터프라이즈 리눅스(RHEL)의 업스트림인 '페도라 리눅스' 기반으로 구축됐다.

정식 출시 후 레드햇 구독 고객은 엔터프라이즈급 기술 지원을 받을 수 있으며, 비구독 환경에서도 레드햇 유니버셜 베이스 이미지(UBI) 모델을 따라 무료 재배포가 가능하다.

거너 헬렉슨 레드햇 부사장은 “공급망 공격이 증가하며 조직은 혁신 속도와 보안 유지 중 하나를 선택해야 하는 상황”이라며 “프로젝트 허밍버드는 신뢰할 수 있는 최소화된 기반을 제공해 기업이 속도와 보안, 안정성을 동시에 확보하도록 지원할 것”이라고 말했다.