아쿠아 시큐리티, ‘아쿠아 SW 공급망 보안 솔루션’ 출시

SW 공급망 공격 차단하는 업계 최초이자 유일의 엔드투엔드 솔루션
개발팀과 보안팀은 코드부터 런타임까지 SW 공급망 위험 해소 가능

[보안뉴스 김영명 기자] 선도적인 순수 클라우드 네이티브 보안업체 아쿠아 시큐리티(Aqua Security, 이하 ‘아쿠아’)가 업계 최초이자 유일한 엔드투엔드(End-to-End) 방식의 ‘아쿠아 소프트웨어 공급망 보안 솔루션(Aqua Software Supply Chain Security Solution)’을 출시했다.

▲소프트웨어 공급망 보안 솔루션의 일부인 아쿠아 오픈소스 상태 평가 화면[이미지=아쿠아 시큐리티]

아쿠아 소프트웨어 공급망 보안 솔루션은 소프트웨어 개발 라이프사이클(Synchronous Data Link Control : SDLC) 전체를 보호하며, 클라우드 네이티브 애플리케이션에 대한 공격을 능동적으로 예방하고 차단할 수 있는 것이 특징이다.

아쿠아가 이번 솔루션을 개발, 출시한 것은 최근 SW 공급망에 대한 공격이 갈수록 늘어나고 있기 때문이다. 아쿠아가 분석한 데이터에 따르면 SW 공급망에 대한 공격은 연간 300%씩 증가하고 있다. 각국 정부도 심각성을 인지하고 대응에 나섰다. 미국 백악관은 최근 SW 개발 단계부터 공급망 보안을 강화해야 한다는 내용의 행정 명령도 발표했다.

아쿠아는 타사 아티팩트, 오픈소스 종속성, 고유한 개발자 툴셋과 환경을 겨냥한 공격 등이 공급망 위험의 원인이라고 판단하고 있다. 아쿠아는 이러한 SW 공급망 위험에 대처하고자 기존 공급망 솔루션의 기능을 확대해 애플리케이션과 기초 인프라를 망라하며 코드부터 런타임까지 공급망 위험에 대처할 수 있는 솔루션을 공급하게 됐다.

이번에 출시된 솔루션은 아쿠아 통합형 클라우드 네이티브 애플리케이션 보호 플랫폼(Cloud Native Application Protection Platform : CNAPP)의 일부다. 공급망 솔루션이 포함된 최초의 CNAPP로서, 아쿠아는 차원이 다른 통합 역량과 엔드투엔드 보호 기능으로 CNAPP 카테고리를 새롭게 쓰고 있다. 아쿠아 소프트웨어 공급망 보안 솔루션은 △코드 스캐닝 △CI/CD 형상 관리 △파이프라인 보안 △차세대 SBOM △오픈소스 상태 평가 등의 기능이 있다.

첫 번째로 ‘코드 스캐닝’은 개발자 워크플로 중단 없이 몇 분 안에 코드를 스캔할 수 있다. 오픈소스 클라우드 네이티브 보안 스캐너의 엔터프라이즈 버전인 아쿠아 트리비 프리미엄(Aqua Trivy Premium)을 통해 코드 안에 숨어 있는 취약점과 기타 위험의 수정이 가능해 더욱 빠르게 개발하고 안전성을 확보했다.

두 번째는 ‘CI/CD 형상 관리’ 기능으로 연속 통합 및 연속 배포(CI·CD) 툴체인의 보안을 확보해 제로 트러스트 DevOps 환경을 조성할 수 있다. 최소 권한 액세스를 적용해 보안 위험을 낮추고 컴플라이언스 요건의 충족이 가능하다. DevOps 플랫폼(GitHub, Jenkins, Nexus 등)의 구성 오류를 손쉽게 찾아 수정할 수 있으며, 필수 보안 확인 누락, 사용자 계정 일괄 변경, 민감한 코드 리포지토리 변경 등 내부 위협을 찾아낼 수 있다.

세 번째는 ‘파이프라인 보안’으로 신규 또는 위반 CI 파이프라인을 찾아내 한 번의 클릭으로 조직 전체에 맞춤형 보안 보장 정책을 적용할 수 있다. 프로덕션 파이프라인에 구체적인 집행 방식을 설정해 신규 아티팩트의 서명 여부를 확인하고, 취약점과 시크릿, IaC 구성 오류를 확인해준다.

네 번째는 ‘차세대 SBOM’으로 기본적인 SBOM(소프트웨어 자재명세서) 생성에 그치지 않고, 코드 변경부터 빌드 프로세스, 최종 아티팩트 생성에 이르기까지 모든 단계와 조치를 빠짐없이 기록해준다. 사용자는 서명을 통해 코드 이력을 검증하고, 자기가 만든 코드가 개발 툴체인에서 나온 코드와 동일한지 확인할 수 있다.

다섯 번째는 ‘오픈소스 상태 평가’로 오픈소스 코드의 상태와 평판을 평가할 수 있다. 아쿠아는 품질, 보전성, 인기도, 공급망 사고 위험도를 기준으로 오픈소스 패키지를 하나하나 평가한다. 아쿠아 솔루션은 위험한 코드가 코드베이스에 들어오지 못하도록 자동으로 차단하고, 위험한 패키지를 개발자에게 실시간으로 알려준다.

아미르 저비(Amir Jerbi) 아쿠아 최고기술책임자(CTO) 겸 공동 창업자는 “다른 벤더는 모두 중요한 부분을 놓치고 있다”며 “빌드에 집중하는 솔루션, 코드와 빌드에 집중하는 솔루션도 있지만, 코드, 빌드, 배포, 런타임 전 단계에서 보안 조치를 취하는 솔루션은 아쿠아뿐”이라고 말했다. 그는 이어 “이제 개발팀과 보안팀은 아무런 걱정 없이 클라우드 네이티브 애플리케이션 개발 역량을 기르고 공급망 공격을 예방할 수 있게 됐다”고 설명했다.

한편, 아쿠아는 이번 SW 공급망 보안 솔루션 출시를 통해 지난해 12월에 인수한 아르곤 시큐리티(Argon Security)와의 기술 통합을 완성했으며, 소프트웨어 공급망 보안 평가를 예약할 수 있다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)