[더테크 뉴스] 아쿠아 시큐리티(이하 아쿠아)가 미국 행정명령(EO) 14028을 준수한다는 소프트웨어 공급망 보안 증명을 제공한다고 21일 밝혔다.  

미 정부의 국가 사이버 보안 개선을 위한 행정명령은 제로트러스트 아키텍처를 연방정부에서 구현하도록 요구하고, 미 연방기관에 SW 내장 제품을 납품할 경우 SBOM(Software Bill of Materials, SW의 구성요소를 식별하기 위한 명세서) 제출을 의무화해야 한다. 

이번 미 정부의 행정명령은 써드파티 소프트웨어 기업이 미국의 사이버보안을 강화하고, 미국을 악의적 사이버 행위자로부터 보호하기 위해 충족하거나 초과 달성해야 하는 모든 소프트웨어 공급망 요건을 열거하고 있다.

드로 다비도프 아쿠아 시큐리티 CEO 겸 공동 창업자는 “이번 행정명령은 글로벌 소프트웨어 공급업체에 막대한 영향을 미친다. 미 정부에 판매하거나 정부와 거래하는 기업에 소프트웨어를 판매한다면 명령 준수를 입증해야 한다”며 “소프트웨어 공급망 공격이 고도화되고 규모가 커짐에 따라 민간 부문은 반드시 선제적 사이버보안 조처를 취해야 한다”고 밝혔다.

아쿠아의 소프트웨어 공급망 보안은 전체 소프트웨어 개발 라이프사이클을 보호하는 솔루션으로 소프트웨어 제공업체가 EO 요건을 준수하고 증명하도록 지원한다. 또한 솔루션 구축 한 달 내에 기업이 준수 요건을 완수하도록 지원하며 초기 및 지속적 준수 증명을 위한 리포팅 및 관리 역량을 포함한다. 

구체적으로는 ▲수반되는 증명을 통해 개발 환경의 안전한 구성을 보장(섹션 4e i-ii) ▲수반되는 증명을 통해 코드의 출처를 신뢰할 수 있고 코드 취약점이 교정됐음을 증명(섹션 4e iii-v) ▲내부 및 써드파티 코드에 대해 기원(provenance) 데이터를 관리하고, 출시되는 제품별로 SBOM 확보(섹션 4e vi-vii) ▲수반되는 증명을 통해 안전한 개발 프로세스를 유지(섹션 4e ix) ▲수반되는 증명을 통해 데이터 정합성 및 사용 중인 오픈소스 소프트웨어의 기원 유지(섹션 4e x)를 통해 EO 14028 준수를 보장한다.