- Published on
2026년 컨테이너 레지스트리는 더 이상 docker push 한 줄로 끝나지 않는다. Docker Hub의 가격 정책 변화 이후 GHCR가 사실상 OSS 표준이 되었고, Harbor가 CNCF graduated 프로젝트로 셀프호스팅의 기본값이 되었으며, Zot이 OCI-only 단순성으로 emerging 영역을 차지했다. ECR Public이 무료 Quay 대안으로 자리잡고, Google Artifact Registry가 GCR을 완전히 대체했다. 그리고 그 위에 Cosign + Sigstore의 서명, in-toto의 공급망 증언, CycloneDX·SPDX SBOM, ORAS의 generic OCI artifact까지 — 레지스트리는 이미지 저장소가 아니라 공급망 보안의 중심 허브가 되었다. 이 글은 13개 레지스트리·서명 도구·SBOM 표준을 한 호흡에 비교하고, 토스·카카오 페이·메르카리·LINE의 실전 선택을 따라가며, 누가 무엇을 골라야 하는지 매트릭스로 정리한다.