레드햇, ‘프로젝트 허밍버드’ 공개…클라우드 네이티브 개발과 제로 CVE 전략 가속화

글로벌 오픈소스 솔루션 선도기업 레드햇(Red Hat)이 레드햇 구독 고객 대상 얼리 액세스 프로그램 ‘프로젝트 허밍버드(Project Hummingbird)’를 발표했다. 프로젝트 허밍버드는 최소 구성으로 강화된 컨테이너 이미지 카탈로그를 제공한다. IT 조직이 더 나은 소프트웨어에 대한 지속적 수요에 대응할 수 있도록 보안을 저해하지 않고 보다 빠르게 소프트웨어를 제공할 수 있도록 지원한다.

IT 리더들은 종종 애플리케이션 개발 속도와 시스템 보안 사이에서 타협점을 찾아야 하는 상황에 직면한다. 특히 AI 보조 도구 및 AI 생성 코딩 도구의 개발 주기가 빨라지면서 시장 출시 속도(time-to-market)가 애플리케이션 환경을 좌우하고 있지만, 이러한 개발 속도는 다면적이고 복잡한 소프트웨어 구성요소를 관리해야 하는 현실과 상충하기도 한다. 이에 따라 CIO는 비즈니스 속도에 맞춰 움직이기 위해 잠재적 프로덕션 시스템 리스크를 감수하거나, 지나치게 보수적으로 접근해 경쟁사의 혁신 속도에 뒤처지는 상황 사이에 선택을 강요받는다.

프로젝트 허밍버드는 속도와 리스크 완화라는 상충된 요구 사항을 모두 충족하기 위해 불필요한 구성 요소를 제거한 검증된 마이크로 사이즈 컨테이너 이미지 카탈로그를 제공한다. 제공되는 구성 요소에는 ▲닷넷(.NET), 고(Go), 자바(Java), 노드(Node) 등 최신 프로그래밍 언어 및 런타임 ▲마리아DB(MariaDB), 포스트그레SQL(PostgreSQL) 등 핵심 개발용 데이터베이스 ▲엔진엑스(NGINX), 캐디(Caddy) 등 웹 서버 및 프록시 ▲현대적 애플리케이션 스택을 구성하는 기타 필수 기반 요소 등이 포함된다.

프로젝트 허밍버드는 이러한 보다 간결하고 프로덕션에 바로 사용 가능한 이미지를 제공함으로써 패키지 통합 및 취약점 관리에 소요되는 시간과 노력을 줄이고 더 빠르고 효과적인 혁신에 리소스를 집중할 수 있도록 한다.

프로젝트 허밍버드가 제공하는 주요 기능은 다음과 같다.

• ‘제로-CVE(Zero-CVE)’ 상태: 프로젝트 허밍버드 이미지는 알려진 취약점이 없으며 기능 테스트도 완료해 이미지가 실질적으로 유용하고 안정적임을 보장한다.
• 최소화되고 강화된 컨테이너 카탈로그: 레드햇 고객들이 가장 많이 요청한 프로덕션 레디(production-ready) 컨테이너를 선별해 제공함으로써 개발자가 차별화된 애플리케이션 개발에 필요한 요소만 제공하고 공격 표면을 줄인다.
• 완전한 SBOM(소프트웨어 자재명세서, Software Bill of Materials): 사용자가 이미지 내용을 검증하고 현대적 컴플라이언스 요구 사항을 충족할 수 있도록 한다.
• 전체 프로덕션 지원 제공: 프로젝트 허밍버드가 정식 출시되면 레드햇 구독 고객은 레드햇의 강화되고 문서화된 소프트웨어 공급망과 엔터프라이즈 전문성을 포함한 모든 구독 혜택을 이용할 수 있다.

또한 지원되지 않는 프로젝트 허밍버드 이미지는 레드햇 유니버셜 베이스 이미지(Red Hat Universal Base Image, 이하 UBI)를 포함한 다른 레드햇 제품군과 유사한 모델을 따라 일반 공급 시 무료로 제공되고 재배포가 가능하다. 프로젝트 허밍버드는 페도라 리눅스(Fedora Linux) 구성 요소에서 시작된 오픈소스 개발 프로세스를 통해 구축됐다. 페도라 리눅스는 레드햇 엔터프라이즈 리눅스(Red Hat Enterprise Linux, 이하 RHEL) 개발의 업스트림 소스 역할을 한다.

레드햇은 30년 넘게 전 세계 다양한 산업의 기업에 프로덕션 환경에서 바로 사용할 수 있는 강화된 오픈소스 기술을 제공해왔다. 제로 CVE 상태는 구성 요소가 복잡한 환경에서 제대로 작동하지 않거나 통합이 어렵거나 개발자가 필요로 하는 기능을 제공하지 못하면 무의미하다. 레드햇은 핵심 시스템에서 오픈소스 코드를 실행하는 미묘한 차이를 이해하며 이러한 심층적인 엔터프라이즈 전문성이 프로젝트 허밍버드의 근간이다.

거너 헬렉슨(Gunnar Hellekson), 레드햇 엔터프라이즈 리눅스 부문 부사장 겸 총괄 매니저는 "오늘날 비즈니스의 속도는 소프트웨어의 속도에 달려 있다. 공급망 공격이 증가하면서 조직은 빠른 혁신과 보안 유지 중 하나를 선택해야 하는 상황에 놓이고 있다. 프로젝트 허밍버드는 클라우드 네이티브 애플리케이션 구축을 위한 최소화되고 신뢰할 수 있으며 투명한 제로 CVE 기반을 제공하여 이러한 절충안을 없애기 위해 설계됐다. 이를 통해 취약점을 줄이고 개발 및 IT 보안 팀이 속도, 민첩성, 보안 및 안정성을 갖춘 상태에서 명확하게 비즈니스 가치를 실현할 수 있도록 지원한다”고 말했다.