학습 목표Docker CLI와 containerd·runc 등 OCI 런타임 계층을 설명할 수 있다.Linux namespace와 cgroup이 격리·자원 제한에 어떻게 쓰이는지 설명할 수 있다.capabilities, rootless, 최소 권한 이미지로 공격 면을 줄이는 방법을 설명할 수 있다.컨테이너가 VM만큼 격리되지 않는다는 전제에서 보안을 설계할 수 있다.문제 상황docker run 한 줄이면 되는데, 컨테이너 안 프로세스가 호스트와 뭐가 다른지 모른다ps를 호스트에서 보면 컨테이너 PID도 보인다--privileged로 문제를 풀었다가 호스트 탈출 이슈를 본다컨테이너 = 가벼운 VM이 아니다이미지가 root로 돌고, latest 베이스에 쓸데없는 패키지가 잔뜩CVE 스캔할 때마다 수백 건 경..