SOCI 개념

SOCI는 컨테이너 이미지를 전체 다운로드하지 않고도 컨테이너를 먼저 실행할 수 있도록 지원하여 시작 시간(Cold Start)을 획기적으로 단축하는 지연 로딩(Lazy Loading) 기술입니다.
연구에 따르면 기존 컨테이너 환경에서는 시작 시간의 약 76%가 이미지 다운로드 및 압축 해제에 소요되지만, 컨테이너가 유의미한 작업을 시작하기 전까지 실제로 읽어 들이는 데이터는 전체 이미지의 약 6.4%에 불과합니다. SOCI는 이 점에 착안하여 실행에 필요한 조각만 먼저 가져오고, 나머지는 백그라운드에서 가져오는 하이브리드 전략을 취합니다

기존 컨테이너 이미지 처리 방식과 달라진 점

1. 실행 방식의 변화 (전체 다운로드 vs 지연 로딩)

• 기존 방식: 컨테이너 런타임이 이미지를 구성하는 모든 레이어를 다운로드하고 호스트 디스크에 압축을 풀어 병합(Snapshot)한 뒤에야 컨테이너를 시작할 수 있었습니다. 이미지 크기가 클수록 다운로드 시간이 길어져 컨테이너 실행이 지연되는 문제가 있었습니다.
• SOCI 방식: 전체 이미지를 다운로드하는 대신 인덱스(zTOC)를 먼저 확인하여 FUSE(Filesystem in Userspace)로 가상 파일시스템을 마운트한 뒤 즉시 컨테이너를 실행합니다. 이후 애플리케이션 구동 중 특정 파일에 접근하면 HTTP Range Request를 사용해 필요한 바이트 범위의 데이터만 레지스트리에서 즉시 다운로드(On-demand)하며, 나머지 전체 이미지는 백그라운드에서 계속 다운로드합니다.

2. 원본 이미지를 유지하는 별도 인덱스(SOCI Index) 아키텍처

• 기존: eStargz와 같은 다른 지연 로딩 포맷은 이미지 자체를 특수한 압축 형식으로 변환해야 했습니다.
• SOCI: 기존 컨테이너 이미지를 전혀 변환하지 않습니다. 대신 기존 이미지 레이어 내의 파일 위치와 압축 정보를 담은 SOCI 인덱스를 별도의 OCI 아티팩트로 생성하여 레지스트리에 저장합니다. 원본 이미지를 수정하지 않기 때문에 이미지의 다이제스트(Digest)나 보안 서명이 그대로 유지된다는 큰 장점이 있습니다.

3. 매니페스트 결합을 통한 배포 무결성 강화 (SOCI v2)

초기 SOCI(v1)는 컨테이너 이미지와 SOCI 인덱스가 느슨하게 연결되어 있어서, 이미지를 복제할 때 인덱스가 누락되거나 배포 중 인덱스가 삭제되면 일부 컨테이너는 지연 로딩이 되고 일부는 전체 다운로드가 발생하는 등 배포 일관성에 문제가 있었습니다.
새롭게 발표된 SOCI Index Manifest v2는 이미지 인덱스를 통해 컨테이너 이미지와 SOCI 인덱스를 암호학적으로 강력하게 결합합니다. 이를 통해 자동화된 파이프라인에서 인덱스 누락을 방지하고, 대규모 환경에서도 완벽하게 일관성 있고 안전한 컨테이너 배포 무결성을 보장합니다

SOCI가 오히려 성능을 저하시키는 케이스

이러한 한계가 있기 때문에 무조건 SOCI를 적용하기보다는 워크로드의 이미지 크기를 고려하고, 필요한 경우 인프라 환경(예: ECR)에 맞춰 동시 다운로드 수나 청크 크기(Span size) 같은 구성 매개변수를 적절히 튜닝하는 것이 중요

• 작은 크기의 컨테이너 이미지
  • 이미지 크기가 비교적 작은 경우(예: 250MB 미만), SOCI 인덱스를 다운로드하고 FUSE 가상 파일시스템을 마운트하는 과정에서 발생하는 오버헤드 때문에 오히려 손해를 볼 수 있습니다. 이런 경우에는 기존처럼 전체 이미지를 한 번에 다운로드하는 방식이 더 빠를 수 있습니다.
• 애플리케이션의 초기 파일 접근 패턴
  • SOCI의 효과는 단순히 전체 이미지 크기보다 애플리케이션의 '초기 파일 접근 패턴'에 매우 민감하게 반응합니다. 만약 애플리케이션이 시작 직후 흩어져 있는 수많은 파일에 무작위로 접근해야 한다면, 각 파일 조각(Span)을 온디맨드로 가져오기 위해 수많은 HTTP Range Request가 발생하여 병목 현상이나 성능 저하를 유발할 수 있습니다.
• 런타임(Runtime) 중의 지연 발생
  • 지연 로딩(Lazy Loading)은 이미지 다운로드에 필요한 전체 시간을 없애는 것이 아니라, '시작 시간(Startup)'에서 '실행 시간(Runtime)'으로 그 비용을 분산시키는 것입니다. 따라서 전체 이미지가 백그라운드에서 완전히 다운로드되기 전에 애플리케이션이 새로운 파일을 요청하게 되면, 네트워크를 통해 즉시 데이터를 가져와야 하므로 해당 파일을 처음 읽을 때 약간의 런타임 지연이 발생할 수 있습니다.

참고

• https://aws.amazon.com/ko/blogs/containers/improving-amazon-ecs-deployment-consistency-with-soci-index-manifest-v2/
• https://engineering.grab.com/docker-lazy-loading
• https://blog.a-cloud.co.kr/2025/07/04/aws-fargate%EC%97%90%EC%84%9C-soci-index-manifest-v2%EB%A1%9C-%EB%B0%B0%ED%8F%AC-%EC%9D%BC%EA%B4%80%EC%84%B1%EA%B3%BC-%EB%AC%B4%EA%B2%B0%EC%84%B1-%ED%99%95%EB%B3%B4%ED%95%98%EA%B8%B0/
• https://news.hada.io/topic?id=26985