클라우드 네이티브 보안업체 아쿠아 시큐리티 (Aqua Security, 이하 아쿠아)가 업계 최초 엔드투엔드(End-to-End) 방식의 '아쿠아 소프트웨어 공급망 보안 솔루션(Aqua Software Supply Chain Security Solution)'을 출시했다고 25일 밝혔다.

이번에 선보인 아쿠아 소프트웨어 공급망 보안 솔루션은 소프트웨어 개발 라이프사이클(SDLC) 전체를 보호하며, 클라우드 네이티브 애플리케이션에 대한 공격을 능동적으로 예방하고 차단할 수 있는 것이 특징이다.

아쿠아가 이번 솔루션을 개발, 출시한 것은 최근 SW 공급망에 대한 공격이 갈수록 늘어나고 있기 때문이다.

실제로, 아쿠아의 자체 데이터에 따르면 SW 공급망에 대한 공격은 연간 300%씩 증가하고 있다. 각국 정부도 심각성을 인지하고 대응에 나섰다.

미국은 최근 SW 개발 단계부터 공급망 보안을 강화해야 한다는 내용의 행정 명령을 발표한 바 있다.

아쿠아는 타사 아티팩트, 오픈 소스 종속성, 고유한 개발자 툴셋과 환경을 겨냥한 공격 등이 공급망 위험의 원인이라고 판단하고 있다.

아쿠아는 이러한 SW 공급망 위험에 대처하고자 기존 공급망 솔루션의 기능을 확대하고 있다. 이 같은 기능 확대를 통해 아쿠아는 애플리케이션과 기초 인프라를 망라해 코드부터 런타임까지 공급망 위험에 대처할 수 있는 솔루션을 공급하게 됐다.

아미르 저비(Amir Jerbi)아쿠아 시큐리티의 최고기술책임자(CTO)는 "다른 벤더들은 모두 중요한 부분을 놓치고 있다. 빌드에 집중하는 솔루션도 있고, 코드와 빌드에 집중하는 솔루션도 있지만, 코드, 빌드, 배포, 런타임 전 단계에서 보안 조치를 취할 수 있는 솔루션은 오로지 아쿠아뿐이다. 이제 개발팀과 보안팀은 아무런 걱정 없이 클라우드 네이티브 애플리케이션 개발 역량을 기르고 공급망 공격을 예방할 수 있게 됐다"고 설명했다.

미국의 음식주문 배달플랫폼 그럽헙(Grubhub)의 조셉 엘바즈(Joseph Elbaz) 애플리케이션 보안 부문장은 "애플리케이션에 취약점과 백도어를 심기 위해 소스 코드와 종속성을 노리는 공격자가 많다. 아쿠아의 보장 정책은 소프트웨어 공급망 프로세스와 결과물에 보안을 적극 적용하여 위험을 식별하고 해소한다. 이것이야말로 출시 품질을 높이는 가장 좋은 방법이다"고 말했다.