2025.07.01 (화)

  • 네이버포스트
  • X
  • Facebook

아쿠아 시큐리티, 아쿠아 SW 공급망 보안 솔루션 출시

SW 공급망 공격 차단해주는 업계 최초이자 유일의 엔드투엔드 솔루션
개발팀과 보안팀은 코드부터 런타임까지 SW 공급망 위험 해소 가능

 

[더테크 뉴스] 아쿠아 시큐리티(이하 아쿠아)는 업계 최초이자 유일한 엔드투엔드 방식의 아쿠아 소프트웨어 공급망 보안 솔루션(Aqua Software Supply Chain Security Solution)을 출시했다고 25일 밝혔다.  

 

이번에 선보인 아쿠아 소프트웨어 공급망 보안 솔루션은 소프트웨어 개발 라이프사이클(SDLC) 전체를 보호하며, 클라우드 네이티브 애플리케이션에 대한 공격을 능동적으로 예방하고 차단할 수 있는 것이 특징이다.

 

아쿠아가 이번 솔루션을 개발, 출시한 것은 최근 SW 공급망에 대한 공격이 갈수록 늘어나고 있기 때문이다. 실제 아쿠아의 자체 데이터에 따르면, SW 공급망에 대한 공격은 연간 300%씩 증가하고 있다. 각국 정부도 심각성을 인지하고 대응에 나서는 중이다. 

 

아쿠아는 타사 아티팩트, 오픈 소스 종속성, 고유한 개발자 툴셋과 환경을 겨냥한 공격 등이 공급망 위험의 원인이라고 판단하고 있다. 

 

아쿠아는 이러한 SW 공급망 위험에 대처하고자 기존 공급망 솔루션의 기능을 확대하고 있다. 이 같은 기능 확대를 통해 아쿠아는 애플리케이션과 기초 인프라를 망라해 코드부터 런타임까지 공급망 위험에 대처할 수 있는 솔루션을 공급하게 됐다.

 

아쿠아 시큐리티 최고기술책임자(CTO)이자 공동 창업자 아미르 저비는 “다른 벤더들은 모두 중요한 부분을 놓치고 있다. 빌드에 집중하는 솔루션도 있고, 코드와 빌드에 집중하는 솔루션도 있지만, 코드, 빌드, 배포, 런타임 전 단계에서 보안 조치를 취할 수 있는 솔루션은 오로지 아쿠아뿐이다. 이제 개발팀과 보안팀은 아무런 걱정 없이 클라우드 네이티브 애플리케이션 개발 역량을 기르고 공급망 공격을 예방할 수 있게 됐다”라고 설명했다.

 

IBM의 Systems Sciences Institute 보고서에 따르면, 실행 단계에서 버그를 수정할 경우 설계 단계에서 수정할 때보다 여섯 배나 비용이 더 든다. 또한 시험 단계에서 버그를 수정하면 설계 단계에서 수정할 때보다 비용이 15배 더 들어간다고 지적했다. 

 

아쿠아 소프트웨어 공급망 보안 솔루션은 코드와 빌드 단계에서 경보와 수락 게이트를 활용해 개발 라이프사이클 초기에 위험을 적극적으로 완화해준다. 이 보장 정책은 자동화가 가능하며, 개발 보안팀의 피드백 반영 시간을 줄이고 관련 비용을 절감할 수도 있다.

 

이번에 출시된 솔루션은 아쿠아 통합형 클라우드 네이티브 애플리케이션 보호 플랫폼(Cloud Native Application Protection Platform, CNAPP)의 일부이다. 공급망 솔루션이 포함된 최초의 CNAPP로서, 아쿠아는 차원이 다른 통합 역량과 엔드투엔드 보호 기능으로 CNAPP 카테고리를 새롭게 정의하고 있다. 

 

새로운 기능을 보면, 개발자 워크플로 중단 없이 몇 분 안에 코드를 스캔할 수 있다. 오픈 소스 클라우드 네이티브 보안 스캐너의 엔터프라이즈 버전인 아쿠아 트리비 프리미엄(Aqua Trivy Premium)을 통해 코드 안에 숨어 있는 취약점과 기타 위험을 수정할 수 있다. 덕분에 개발이 더 안전해지고 빨라진다.

 

연속 통합/연속 배포(CI/CD) 툴체인의 보안을 확보해 제로 트러스트 DevOps(데브옵스) 환경을 조성할 수 있다. 최소 권한 액세스를 적용해 보안 위험을 낮추고 컴플라이언스 요건을 충족할 수 있다. DevOps 플랫폼(GitHub, Jenkins, Nexus 등)의 구성 오류를 손쉽게 찾아 수정할 수 있다. 필수 보안 확인 누락, 사용자 계정 일괄 변경, 민감한 코드 리포지토리 변경 등 내부 위협을 찾아낼 수 있다.

 

신규 또는 위반 CI 파이프라인을 찾아내 클릭 한 번으로 조직 전체에 맞춤형 보안 보장 정책을 적용할 수 있다. 프로덕션 파이프라인에 구체적인 집행 방식을 설정해 신규 아티팩트의 서명 여부를 확인하고, 취약점과 시크릿, IaC 구성 오류를 확인해준다.

 

기본적인 SBOM(소프트웨어 자재명세서) 생성에 그치지 않고, 코드 변경부터 빌드 프로세스, 최종 아티팩트 생성에 이르기까지 모든 단계와 조치를 빠짐없이 기록해준다. 사용자는 서명을 통해 코드 이력을 검증하고, 자기가 만든 코드가 개발 툴체인에서 나온 코드와 동일한지 확인할 수 있다.

 

오픈 소스 코드의 상태와 평판을 평가할 수 있다. 아쿠아는 품질, 보전성, 인기도, 공급망 사고 위험도를 기준으로 오픈 소스 패키지를 하나하나 평가한다. 아쿠아 솔루션은 위험한 코드가 코드베이스에 들어오지 못하도록 자동으로 차단하고, 위험한 패키지를 개발자에게 실시간으로 알려준다.

 

아쿠아 아미르 저비 CTO는 “아쿠아 플랫폼은 업계 최고의 CNAPP이다. 아쿠아는 기존의 동적 위협 분석 및 런타임 보호 기능에 소프트웨어 공급망 보안 기능까지 추가해 포괄적인 심층 방어막을 만들고, 클라우드 네이티브에 대한 공격을 즉시 차단해 준다”라고 강조했다.

 

조명의 의 전체기사 보기

Copyright @더테크 (TEC TECH) Corp. All rights reserved.

배너

많이 본 뉴스

더보기