[헤럴드경제=김현일 기자] 클라우드 네이티브 보안 기업 아쿠아 시큐리티(Aqua Security)가 소프트웨어 공급망 공격을 예방하고 지속적 통합·지속적 배포(CI·CD) 파이프라인의 무결성을 보장하는 파이프라인 무결성 스캐닝(pipeline integrity scanning)을 추가했다고 15일 밝혔다.

아쿠아의 파이프라인 무결성 스캐너는 의심스러운 행태와 멀웨어를 실시간으로 탐지 및 차단해주고, 소프트웨어 빌드 프로세스에서 코드 변조를 예방하고 위협에 대응한다. 업계 최초로 선보이는 이 솔루션을 통해 기업은 가장 공격적인 공급망 위협을 전략적으로 중단시키는 역량을 갖출 수 있게 된다.

소프트웨어 공급망 공격이 늘어나고 위협 환경이 끊임없이 변화하면서 따라 기업에게는 보안 베스트 프랙티스를 소프트웨어 개발 라이프사이클 전반에 통합시키는 것이 요구된다.

아미르 저비(Amir Jerbi) 아쿠아 시큐리티 CTO는 “솔라윈즈(SolarWinds) 사태로 소프트웨어 빌드 프로세스의 무결성이 침해됐을 때의 파괴적 효과와 지속적으로 소프트웨어 무결성을 검증해야 하는 필요성이 입증됐다”며 “우리의 새로운 파이프라인 무결성 스캐너는 현대적 개발 프로세스의 무결성을 확보하고 이런 파괴적 소프트웨어 공급망 공격을 예방해야 하는 업계의 가장 시급한 요구를 해결해준다”고 말했다.

개발자는 파이프라인 무결성 스캐닝을 빌드 파이프라인과 연결해서 빌드 파이프라인을 모니터하고 빌드 운영의 기준선(베이스라인)을 정의한다. 빌드 파이프라인이 어떻게 실행되는지, 정상적 환경에서 일반적인 네트워크 활동, 파일 액세스 패턴, 프로세스 활동이 어떤 것인지 파악할 수 있다.

아울러 기준선에서 멀어지는 모든 것을 탐지한다. 기준선이 확립되면 스캐너가 이 상태에서 멀어지는 모든 것을 탐지해 특이하거나 이상 활동에 대한 알림을 통해 빌드 프로세스의 무결성을 보장해준다.

또한, 공격 벡터를 최소화해준다. 파이프라인 드리프트를 지속적으로 스캐닝해 CI·CD 파이프라인의 보안 간극을 해소한다. 이를 통해 개발팀은 소프트웨어 빌드 프로세스의 초기 단계부터 코드 변조를 예방하고 개발 툴의 무결성을 유지할 수 있다.

저비 CTO는 “이런 유형의 솔루션은 아쿠아가 최초로 선보이는 것이다”며 “다른 소프트웨어 공급망 보안 툴은 코드 스캐닝이나 소프트웨어 자재 명세서 또는 SBOM과 같은 빌드 아티팩트의 정적 분석에만 집중해 이런 유형의 공급망 공격을 탐지하고 중단시키기에는 불충분하다는 사실이 입증됐다”고 설명했다.

파이프라인 무결성 스캐닝은 코드와 모든 개발 인프라, 파이프라인 프로세스를 보호하는 소프트웨어 공급망 솔루션에 포함되며 이를 통해 기업은 보다 빠르고 안전하게 혁신을 구현하고 선보일 수 있다.