가. 도커 허브에서의 이미지 정보 확인
1. 도커 허브(Docker Hub) 정의
- 도커 이미지를 저장하고 공유하기 위한 클라우드 기반의 중앙 저장소 서비스이다.
- 도커를 이용하여 도커 이미지를 다운로드 받을 시 특정 경로를 입력하지 않으면 기본적으로 도커 허브에서 다운로드한다.
2. 도커 이미지 분류
- 다운로드 하고자하는 도커 이미지가 존재하는지 확인하기 위해서는 도커 허브에 접속하여야 한다.
- 아래의 링크를 클릭하여 도커 허브에 접속한다.
Docker Hub Container Image Library | App Containerization
Software supply chain Secure Your Supply Chain with Docker Hardened Images Use Docker's enterprise-grade base images: secure, stable, and backed by SLAs for Ubuntu, Debian, Java, and more. Regularly scanned and maintained with CVE remediation and long-term
hub.docker.com
- 도커 허브에 업로드된 이미지 리스트를 확인하기 위해 아래의 경로대로 클릭한다.
경로: 'Explore' → 'Docker Official Images'
- 도커허브에는 아래와 같이 이미지를 세가지로 분류하고 있다.
- 안정성과 보안을 위해 최대한 'Docker Official Image'나 'Verified Publisher'로 분류된 도 이미지를 다운받아야 한다.
| 분류 | 설명 |
| Docker Official Image (도커 공식 이미지) | Docker에서 직접 관리하고 유지보수한 이미지로 안정성/보안/최신 업데이트가 보장된다. |
| Verified Publisher (검증된 조직) | Docker가 검증한 신뢰할 수 있는 기업이나 조직에서 제공되는 이미지다. |
| Sponsored OSS (후원된 오픈소스) | 오픈소스 커뮤니티에서 업로드된 이미지로, Docker에서 품질과 보안을 검토한다. |
3. 도커 이미지 정보 확인 방법
- 도커 허브에 업로드된 도커 이미지는 아래의 사진과 같이 나열되어 있다.
- 도 이미지를 고를때에는 인증여부, 다운로드 횟수, 추천 수를 참고하여야 한다.
① 게시자의 ID 정보가 없을 경우, 이미지 이름만 출력됨
② 게시자의 ID 정보가 있을 경우, 이미지 이름 앞에 ID 정보가 붙어서 출력됨
③ 다운로드 횟수
④ 추천 수
⑤ 마지막 업데이트 날짜
- 도커 이미지를 클릭하고 'Overview'를 클릭하면 이미지가 사용하는 포트 번호, 실행 명령어, 해쉬 값 등의 정보를 확인할 수 있다.
① 도커 이미지 상세정보(포트 번호, 실행 명령어, 다이제스트 값 등이 적혀져 있음)
② 특정 버전 선택 기능
③ 이미지 고유 식별 값으로 이미지 내용을 sha256 해쉬 값으로 출력, 무결성 검증 시 사용한다.
④ 해당 이미지 다운로드 명령어
⑤ ⑥ 도커 이미지 실행 명령어, 이미지에서 사용하는 포트번호가 적혀져 있다.
- 'Tag' 클릭 시 해당 이미지에 대한 취약점 개수가 다섯가지로 분류되어 표시된다.
- 최대한 'Critical severity', 'High severity' 취약점이 없는 이미지를 선택하여야 한다.
① 도커 이미지 버전 별 상세정보
② 취약점을 다섯가지로 분류하여 표시(Critical severity, High severity, Medium severity, Low severity, Unspecified severity)
③ 도커 이미지의 해시 값(SHA 256)을 출력
- 'Digest'를 선택하면 레이어 별로 어떤 CVE 취약점이 존재하는지 확인할 수 있다.
- High 취약점이 있다고 무조건 안쓰는게 아니라 해당 취약점이 내가 사용하려고 하는 환경에 영향을 미치는지 알아보고 쓸지말지 결정해야한다.
① 선택한 도커 이미지의 운영체제를 선택
② 도커 이미지는 오버랩(기존꺼 위에 쌓음)되어 이루어진다. 클릭 시 오버랩된 레이어 별로 취약점 확인이 가능하다.
느낌표로 표시된 항목은 이미지를 까서 확인하기전까지는 무슨내용인지 알 수 없다는 의미로, 악성코드가 들어가있을 수도 있다.
③ 정보를 취약점 별로 분류하여 보여준다.
④ 정보를 패키지 별로 분류하여 보여준다.
⑤ 취약점에 대한 상세 정보를 보여준다. Fixable에 체크되어진 항목은 이미 조치되었다는 뜻이다.
나. 도커 명령어로 이미지 정보 확인
- 다운로드 된 도커 이미지 출력
docker images
- 다운로드 된 도커 이미지의 상세 정보 출력
docker inspect tomcat
① 이미지의 태그 이름
② 이미지의 다이제스트 해시(실제 레지스트리에서 사용하는 고유 식별값)
③ 이미지가 생성된 날짜
④ 컨테이너가 외부에 노출하는 포트
⑤ 컨테이너 실행 시 환경 변수
⑥ 컨테이너 시작 시 실행되는 명령
⑦ 기본 작업 디렉터리
⑧ 이미지가 지원하는 시스템 아키텍처, 운영체제
⑨ 이미지가 여러 계층(layers)으로 이루어진 경우 각 레이어의 해시 값 목록 (이미지의 구성 히스토리)
⑩ 최근 태그가 적용된 시간
'클라우드 취약점 진단 · 모의해킹 > 컨테이너 보안' 카테고리의 다른 글
| 도커 이미지/컨테이너 관리 명령어 정리 (0) | 2025.11.19 |
|---|---|
| 도커 계정생성/로그인/2차인증 방법 정리 (0) | 2025.11.19 |
| OS별 도커 설치 방법 정리(Windows, Unix 등) (0) | 2025.11.19 |