[정보통신신문=박광하기자]

클라우드 네이티브 보안 솔루션 기업 아쿠아 시큐리티(Aqua Security)는 엔드투엔드(End-to-End) 방식의 '아쿠아 소프트웨어 공급망 보안 솔루션(Aqua Software Supply Chain Security Solution)'을 최근 출시했다.

이번에 선보인 아쿠아 소프트웨어 공급망 보안 솔루션은 소프트웨어 개발 라이프사이클(SDLC) 전체를 보호하며, 클라우드 네이티브 애플리케이션에 대한 공격을 능동적으로 예방하고 차단할 수 있는 게 특징이다.

아쿠아가 이번 솔루션을 개발, 출시한 것은 최근 SW 공급망에 대한 공격이 갈수록 늘어나고 있기 때문이다.

실제로, 아쿠아의 자체 데이터에 따르면 SW 공급망에 대한 공격은 연간 300%씩 증가하고 있다. 각국 정부도 심각성을 인지하고 대응에 나섰다. 미국의 경우 백악관은 최근 SW 개발 단계부터 공급망 보안을 강화해야 한다는 내용의 행정 명령을 발표하기도 했다.

아쿠아는 타사 아티팩트, 오픈 소스 종속성, 고유한 개발자 툴셋과 환경을 겨냥한 공격 등이 공급망 위험의 원인이라고 판단하고 있다.

아쿠아는 이러한 SW 공급망 위험에 대처하고자 기존 공급망 솔루션의 기능을 확대하고 있다. 이 같은 기능 확대를 통해 아쿠아는 애플리케이션과 기초 인프라를 망라해 코드부터 런타임까지 공급망 위험에 대처할 수 있는 솔루션을 공급하게 됐다.

아쿠아 시큐리티의 최고기술책임자(CTO)이자 공동 창업자인 아미르 저비(Amir Jerbi)는 "다른 벤더들은 모두 중요한 부분을 놓치고 있다. 빌드에 집중하는 솔루션도 있고, 코드와 빌드에 집중하는 솔루션도 있지만, 코드, 빌드, 배포, 런타임 전 단계에서 보안 조치를 취할 수 있는 솔루션은 오로지 아쿠아뿐이다. 이제 개발팀과 보안팀은 아무런 걱정 없이 클라우드 네이티브 애플리케이션 개발 역량을 기르고 공급망 공격을 예방할 수 있게 됐다"고 설명했다.

IBM의 Systems Sciences Institute 보고서에 따르면 실행 단계에서 버그를 수정할 경우 설계 단계에서 수정할 때보다 여섯 배나 비용이 더 든다. 또한 시험 단계에서 버그를 수정하면 설계 단계에서 수정할 때보다 비용이 15배 더 들어간다고 지적했다.

아쿠아 소프트웨어 공급망 보안 솔루션은 코드와 빌드 단계에서 경보와 수락 게이트를 활용해 개발 라이프사이클 초기에 위험을 적극적으로 완화해준다. 이 보장 정책은 자동화가 가능하며, 개발 보안팀의 피드백 반영 시간을 줄이고 관련 비용을 절감할 수도 있다.

미국의 음식주문 배달플랫폼 그럽헙(Grubhub)의 조셉 엘바즈(Joseph Elbaz) 애플리케이션 보안 부문장은 "애플리케이션에 취약점과 백도어를 심기 위해 소스 코드와 종속성을 노리는 공격자가 많다. 아쿠아의 보장 정책은 소프트웨어 공급망 프로세스와 결과물에 보안을 적극 적용해 위험을 식별하고 해소한다. 이것이야말로 출시 품질을 높이는 가장 좋은 방법"이라고 말했다.

이번에 출시된 솔루션은 아쿠아 통합형 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP, Cloud Native Application Protection Platform)의 일부다. 공급망 솔루션이 포함된 최초의 CNAPP로서, 아쿠아는 차원이 다른 통합 역량과 엔드투엔드 보호 기능으로 CNAPP 카테고리를 새롭게 정의하고 있다.

아쿠아 소프트웨어 공급망 보안 솔루션의 새 기능은 다음과 같다.

개발자 워크플로 중단 없이 몇 분 안에 코드를 스캔할 수 있다. 오픈 소스 클라우드 네이티브 보안 스캐너의 엔터프라이즈 버전인 아쿠아 트리비 프리미엄(Aqua Trivy Premium)을 통해 코드 안에 숨어 있는 취약점과 기타 위험을 수정할 수 있다. 덕분에 개발이 더 안전해지고 빨라진다.

연속 통합/연속 배포(CI/CD) 툴체인의 보안을 확보해 '제로 트러스트' DevOps(데브옵스) 환경을 조성할 수 있다. 최소 권한 액세스를 적용해 보안 위험을 낮추고 컴플라이언스 요건을 충족할 수 있다. DevOps 플랫폼(GitHub, Jenkins, Nexus 등)의 구성 오류를 손쉽게 찾아 수정할 수 있다. 필수 보안 확인 누락, 사용자 계정 일괄 변경, 민감한 코드 리포지토리 변경 등 내부 위협을 찾아낼 수 있다.

신규 또는 위반 CI 파이프라인을 찾아내 클릭 한 번으로 조직 전체에 맞춤형 보안 보장 정책을 적용할 수 있다. 프로덕션 파이프라인에 구체적인 집행 방식을 설정해 신규 아티팩트의 서명 여부를 확인하고, 취약점과 시크릿, IaC 구성 오류를 확인해준다.

기본적인 소프트웨어 자재명세서(SBOM) 생성에 그치지 않고, 코드 변경부터 빌드 프로세스, 최종 아티팩트 생성에 이르기까지 모든 단계와 조치를 빠짐없이 기록해준다. 사용자는 서명을 통해 코드 이력을 검증하고, 자기가 만든 코드가 개발 툴체인에서 나온 코드와 동일한지 확인할 수 있다.

오픈소스 코드의 상태와 평판을 평가할 수 있다. 아쿠아는 품질, 보전성, 인기도, 공급망 사고 위험도를 기준으로 오픈 소스 패키지를 하나하나 평가한다. 아쿠아 솔루션은 위험한 코드가 코드베이스에 들어오지 못하도록 자동으로 차단하고, 위험한 패키지를 개발자에게 실시간으로 알려준다.

아미르 저비 아쿠아 CTO는 "아쿠아 플랫폼은 업계 최고의 CNAPP이다. 아쿠아는 기존의 동적 위협 분석 및 런타임 보호 기능에 소프트웨어 공급망 보안 기능까지 추가해 포괄적인 심층 방어막을 만들고, 클라우드 네이티브에 대한 공격을 즉시 차단해 준다"고 강조했다.

한편, 이번 SW 공급망 보안 솔루션 출시를 통해 아쿠아는 2021년 12월 인수한 아르곤 시큐리티(Argon Security)와의 기술 통합을 완성했다. 아쿠아를 통해 소프트웨어 공급망 보안 평가를 예약할 수 있다.

박광하 기자 다른기사 보기