🔐 Docker 컨테이너에서 AppArmor `docker-default` Permission Denied 문제 해결하기

CI/CD 배포 중 docker stop 명령이 permission denied 오류를 내뱉은 적 있으신가요?
Docker 그룹과 sudo 권한을 모두 가진 계정임에도 불구하고 발생하는 이슈의 원인은 대부분 Linux AppArmor의 docker-default 프로파일입니다.

이 글에서는 공식 문서를 기반으로, AppArmor docker-default를 우회하거나 비활성화하는 방법을 정리합니다.

---

🧩 문제 상황

sudo docker stop eventor-front-blue-1
# Error response from daemon: cannot stop container: eventor-front-blue-1: permission denied

• eventor 계정은 Docker 그룹에도 속해 있고, sudo 권한도 있음
• 그런데도 docker stop 명령에서 권한 오류

---

🕵️ 원인: AppArmor docker-default의 제한

• Docker는 컨테이너마다 docker-default라는 AppArmor 보안 프로파일을 기본으로 적용합니다.
• 이 프로파일은 컨테이너 내부 프로세스의 행동을 제한합니다.
• Docker가 자동으로 tmpfs에 생성해 커널에 로드하므로, /etc/apparmor.d/와 같은 경로에 존재하지 않습니다.
• 따라서 일반적인 방법으로는 비활성화나 언로드가 불가능합니다.

---

✅ 해결 방법: AppArmor 비활성화 (unconfined 설정)

1. Docker CLI에서 AppArmor 우회

docker run --rm -it --security-opt apparmor=unconfined hello-world

--security-opt apparmor=unconfined 옵션을 통해 AppArmor 적용 없이 컨테이너를 실행합니다.

---

2. docker-compose.yml에 적용

services:
  eventor-front-blue:
    image: dlrudgjs104/eventor-front:blue-1
    container_name: eventor-front-blue-1
    ports:
      - "8001:8080"
    volumes:
      - ./blue-1-logs:/app/logs
    security_opt:
      - apparmor=unconfined

이 설정을 적용하면 docker-default가 아예 적용되지 않습니다.

---

❌ 시도해도 안 되는 방법

sudo apparmor_parser -R /etc/apparmor.d/docker
# File not found...

• docker-default는 파일이 아니라 메모리 상의 동적 프로파일입니다.
• 따라서 이 방법으로는 제거할 수 없습니다.

---

🛠 AppArmor 자체를 비활성화하는 방법 (Ubuntu 계열)

AppArmor가 너무 제한적이라면, 시스템 레벨에서 AppArmor를 완전히 비활성화하는 방법도 있습니다.

sudo aa-remove-unknown
sudo systemctl restart docker

• aa-remove-unknown: 시스템에 등록되지 않은 AppArmor 프로파일 제거
• systemctl restart docker: Docker 재시작 (변경 사항 반영)

⚠️ 주의
이 방법은 재부팅 시 AppArmor가 다시 활성화됩니다.
완전한 해제를 위해서는 GRUB 설정 변경 등 영구 설정이 필요합니다.