아쿠아 시큐리티, ‘파이프라인 무결성 스캐닝’ 제공... 공급망 보안 강화

실시간 eBPF 모니터링 기술로 빌드 및 배포 과정 전반에 걸쳐 코드 변조 예방

[보안뉴스 박은주 기자] 클라우드 네이티브 보안을 제공하는 아쿠아 시큐리티(Aqua Security)가 소프트웨어 공급망 공격을 예방하고 CI/CD(지속적 통합/지속적 배포) 파이프라인의 무결성을 보장하는 파이프라인 무결성 스캐닝(Pipeline Integrity Scanning)을 추가했다고 15일 밝혔다.

[로고=아쿠아 시큐리티]

아쿠아의 파이프라인 무결성 스캐너는 eBPF 기술을 기반으로 의심스러운 행태와 멀웨어를 실시간으로 탐지 및 차단해 주고, 소프트웨어 빌드 프로세스에서 코드 변조를 예방하고 위협에 대응한다. 이 솔루션을 통해 기업은 거대 공격면을 생성하고, 가장 공격적인 공급망 위협을 전략적으로 제지할 수 있는 역량을 갖출 수 있게 된다.

아쿠아 시큐리티는 소프트웨어 공급망 공격이 증가하고 위협 환경이 끊임없이 변화함에 따라 기업은 이제 보안 베스트 프랙티스를 소프트웨어 개발 라이프사이클 전반에 통합시켜야 한다고 말했다. 해당 베스트 프랙티스 중 하나로 소프트웨어 무결성 검증(Software Integrity Validation)이 SLSA, NIST의 보안 소프트웨어 개발 프레임워크(NIST Secure Software Development Framework) 및 CIS의 소프트웨어 공급망 벤치마크(CIS Software Supply Chain Benchmark)를 포함한 공급망 보안을 위한 산업 프레임워크의 핵심 요건으로 언급되고 있다.

아미르 저비(Amir Jerbi) 아쿠아 시큐리티 CTO는 “솔라윈즈(SolarWinds) 사태로 소프트웨어 빌드 프로세스의 무결성이 침해됐을 때의 파괴적 효과를 경험했고, 지속적으로 소프트웨어 무결성을 검증해야 하는 필요성이 입증됐다”며 “우리의 새로운 파이프라인 무결성 스캐너는 현대적 개발 프로세스의 무결성을 확보하고 이런 파괴적인 소프트웨어 공급망 공격을 대비해야 하는 업계의 시급한 요구를 해결한다”고 말했다.

아쿠아의 파이프라인 무결성 스캐너는 공급망 공격의 특징인 의심스러운 행태나 멀웨어를 탐지한다. 또한, 아쿠아 노틸러스(Aqua Nautilus) 연구팀이 정립한 행동 시그니처(Behavioral Signatures)를 활용해 현재 활동 중인 클라우드 네이티브 공격 기반으로 제로데이 위협을 탐지한다.

개발자는 파이프라인 무결성 스캐닝을 빌드 파이프라인과 연결해서 다음을 지원할 수 있다고 설명했다.
- 빌드 파이프라인을 모니터하고 빌드 운영의 기준선(베이스라인)을 정의한다. 빌드 파이프라인 실행 방법과 알려진 정상적 환경에서 일반적인 네트워크 활동, 파일 액세스 패턴, 프로세스 활동이 어떤 것인지 개발팀이 파악할 수 있다.
- 기준선에서 멀어지는 모든 것을 탐지한다. 기준선이 확립되면 스캐너가 이 상태에서 멀어지는 모든 것(드리프트)을 탐지(예상치 못한 파일 변경, 의심스러운 URL 과의 커뮤니케이션, 다운로드된 악성 실행 파일 사용을 포함)해 특이하거나 이상한 모든 활동에 대한 얼러트를 통해 빌드 프로세스의 무결성을 보장해 준다.
- 공격 벡터를 최소화한다. 파이프라인 드리프트를 지속적으로 스캐닝해 CI/CD 파이프라인의 보안 간극을 해소한다. 개발팀은 소프트웨어 빌드 프로세스의 가장 초기 단계부터 코드 변조를 예방하고 개발 툴의 무결성을 유지할 수 있다.
- 보증 정책을 설정한다. 안전한 개발 프랙티스를 확대하고 소프트웨어 무결성을 보증하기 위해 보증 정책(Assurance Policies)을 적용한다. 의심스러운 활동의 징후가 보이는 새로운 빌드의 완성을 차단할 수 있다. 이를 통해 개발자는 개발 프로세스 단계에서 위험에 대응할 수 있다.

저비 CTO는 “이런 유형의 솔루션은 아쿠아가 최초로 선보이는 것”이라며 “다른 소프트웨어 공급망 보안 툴은 코드 스캐닝이나 소프트웨어 자재 명세서 또는 SBOM과 같은 빌드 아티팩트의 정적 분석에만 집중한다. 이것도 중요하긴 하지만 이런 유형의 공급망 공격을 탐지하고 중단시키기에는 불충분하다는 사실이 입증됐다”고 설명했다.

아쿠아의 파이프라인 무결성 스캐너는 자사의 견고한 오픈소스 런타임 보안 및 리눅스 포렌식 센서인 트레이시(Tracee)를 활용한다. eBPF 기술은 경량 기능 덕분에 빌드 런타임에 대한 가시성을 제공하고 영향을 최소화하면서 실시간으로 위협을 감지할 수 있다. 개발팀은 eBPF 기반 스캐닝 및 정책을 통해 원본 빌드의 드리프트를 탐지 및 차단시켜 무단 액세스로부터 소프트웨어를 보호하고 공급망 공격을 예방할 수 있다.

이러한 역동적인 기술은 코드 스캐닝, CI/CD 태세 관리, 차세대 SBOM을 포함한 기존의 시프트 레프트(shift-left) 성능을 보완해 포괄적인 보호 성능을 제공한다.

파이프라인의 무결성 스캐닝은 코드와 모든 개발 인프라, 파이프라인 프로세스를 보호하는 소프트웨어 공급망(Software Supply Chain Security) 솔루션에 포함된다. 해당 보안 서비스는 ‘아쿠아 클라우드 보안 플랫폼(Aqua Cloud Security Platform)’을 통해 제공된다. 클라우드와 개발 환경을 연결해 런타임에 발생하는 리스크에 대한 코드를 추적하고, 이어서 리스크를 해결할 수 있는 개발자까지 연결시켜 보안 프로그램의 운영 효율을 높혀준다.

아쿠아의 파이프라인 무결성 스캐너에 대한 보다 자세한 내용은 블로그에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)