클라우드 네이티브 보안업체 아쿠아 시큐리티(이하 아쿠아)는 엔드투엔드 방식의 ‘아쿠아 소프트웨어 공급망 보안 솔루션’을 출시했다고 밝혔다.

이번에 선보인 아쿠아 소프트웨어 공급망 보안 솔루션(Aqua Software Supply Chain Security Solution)은 소프트웨어 개발 라이프사이클(SDLC) 전체를 보호하며, 클라우드 네이티브 애플리케이션에 대한 공격을 능동적으로 예방하고 차단할 수 있는 것이 특징이다.

아쿠아가 이번 솔루션을 개발, 출시한 것은 최근 SW 공급망에 대한 공격이 갈수록 늘어나고 있기 때문이다.

실제로, 아쿠아의 자체 데이터에 따르면 SW 공급망에 대한 공격은 연간 300%씩 증가하고 있다. 각국 정부도 심각성을 인지하고 대응에 나섰다. 미국의 경우 백악관은 최근 SW 개발 단계부터 공급망 보안을 강화해야 한다는 내용의 행정 명령을 발표하기도 했다.

아쿠아는 타사 아티팩트, 오픈 소스 종속성, 고유한 개발자 툴셋과 환경을 겨냥한 공격 등이 공급망 위험의 원인이라고 판단하고 있다.

이러한 SW 공급망 위험에 대처하고자 아쿠아는 기존 공급망 솔루션의 기능을 확대하고 있다. 이 같은 기능 확대를 통해 아쿠아는 애플리케이션과 기초 인프라를 망라해 코드부터 런타임까지 공급망 위험에 대처할 수 있는 솔루션을 공급하게 되었다.

아쿠아 시큐리티의 최고기술책임자(CTO)이자 공동 창업자인 아미르 저비(Amir Jerbi)는 “다른 벤더들은 모두 중요한 부분을 놓치고 있다. 빌드에 집중하는 솔루션도 있고, 코드와 빌드에 집중하는 솔루션도 있지만 코드, 빌드, 배포, 런타임 전 단계에서 보안 조치를 취할 수 있는 솔루션은 오로지 아쿠아뿐이다. 이제 개발팀과 보안팀은 아무런 걱정 없이 클라우드 네이티브 애플리케이션 개발 역량을 기르고 공급망 공격을 예방할 수 있게 되었다”라고 말명했다.

IBM의 Systems Sciences Institute 보고서에 따르면 실행 단계에서 버그를 수정할 경우 설계 단계에서 수정할 때보다 여섯 배나 비용이 더 든다. 또한 시험 단계에서 버그를 수정하면 설계 단계에서 수정할 때보다 비용이 15배 더 들어간다고 지적했다.

아쿠아 소프트웨어 공급망 보안 솔루션은 코드와 빌드 단계에서 경보와 수락 게이트를 활용하여 개발 라이프사이클 초기에 위험을 적극적으로 완화해준다. 이 보장 정책은 자동화가 가능하며, 개발 보안팀의 피드백 반영 시간을 줄이고 관련 비용을 절감할 수도 있다.

아쿠아의 아미르 저비 CTO는 “아쿠아 플랫폼은 업계 최고의 CNAPP이다. 아쿠아는 기존의 동적 위협 분석 및 런타임 보호 기능에 소프트웨어 공급망 보안 기능까지 추가하여 포괄적인 심층 방어막을 만들고, 클라우드 네이티브에 대한 공격을 즉시 차단해 준다”라고 말했다.

한편, 이번 SW 공급망 보안 솔루션 출시를 통해 아쿠아는 2021년 12월 인수한 아르곤 시큐리티(Argon Security)와의 기술 통합을 완성했다. 아쿠아를 통해 소프트웨어 공급망 보안 평가를 예약할 수 있다.

★정보보안 대표 미디어 데일리시큐!★