오픈소스 소프트웨어 사용이 급증하면서 공급망 단계에서의 보안 취약점 문제가 주요 이슈로 부상하고 있다. 수많은 패키지와 종속성으로 구성된 현대 애플리케이션은 취약점 노출 가능성이 높고, 이를 개발 단계에서 적시에 관리하는 데 어려움이 따른다는 지적이 이어져 왔다.
이 같은 문제를 해결하기 위한 방안으로 글로벌 소프트웨어 보안 기업 체인가드(Chainguard)가 테트리어스를 통해 국내 시장 공략을 본격화하고 있다. 체인가드는 오픈소스 이미지를 매일 재빌드하여 취약점을 제거한 형태로 제공하는 방식으로 소프트웨어 공급망의 근본적인 안전성을 확보하는 모델을 제시한다.
체인가드의 핵심 기술은 널리 사용되는 오픈소스 프로젝트를 기반으로 생성된 이미지를 매일 재빌드하고, 그 과정에서 발견된 취약점을 제거해 Zero-CVE 상태로 제공하는 것을 목표로 하고 있다.
이를 통해 기업은 배포 이후 스캔 과정에서 취약점을 발견하는 기존 방식에서 벗어나 개발 초기부터 안전한 구성요소를 사용하는 형태의 보안 내재화를 구현할 수 있다.
체인가드는 컨테이너 이미지뿐 아니라 언어 라이브러리, 호스트 이미지 등 다양한 아티팩트를 동일한 방식으로 제공하며, SBOM·서명·SLSA 기반 검증 등 공급망 보안 요소를 기본 적용해 안전성을 강화했다. 불필요한 패키지를 제거한 최소 구성 이미지로 공격 표면을 줄인 것도 특징이다.
국내에서는 IT·보안 전문기업 테트리어스가 체인가드의 공식 파트너로서 기술 도입과 운영을 지원한다. 테트리어스는 한국 기업의 개발 환경과 규제 요건에 맞춘 도입 전략을 제공하고, 금융·제조·이커머스 등 다양한 산업군을 대상으로 컨설팅과 기술 지원을 진행할 예정이다.
테트리어스는 특히 온프레미스 및 폐쇄망 등 복잡한 운영 환경에서도 체인가드 기술을 적용할 수 있도록 아키텍처 설계, 교육, 운영 가이드를 제공하는 등 현장 중심의 지원 체계를 구축하고 있다. 최근 국내에서 공급망 공격과 대형 보안 사고 발생이 증가하면서 체인가드 도입을 검토하는 기업이 늘고 있다는 것이 회사 측 설명이다.
전문가들은 오픈소스 기반 개발이 일반화된 만큼 취약점 탐지·패치 중심의 기존 보안 방식만으로는 증가하는 공급망 위험을 충분히 대응하기 어렵다고 지적한다. 체인가드와 같은 '선제적 무해화' 모델을 통해 개발 단계에서부터 안전한 이미지를 사용하는 방식이 점차 확산될 것이라는 전망이 나온다.
업계 관계자는 “기업들은 반복적인 취약점 대응 업무로 인한 비용 부담이 커지고 있으며, 이를 근본적으로 줄일 수 있는 공급망 보안 솔루션에 대한 관심이 높아지고 있다”며 “체인가드와 테트리어스의 협력은 국내 DevSecOps 환경에 새로운 선택지를 제시할 것”이라고 말했다.
이원지 기자 news21g@etnews.com
