클라우드 네이티브 보안 기업 아쿠아시큐리티는 미국 행정명령(EO) 14028을 준수하는 소프트웨어(SW) 공급망 보안 증명을 제공한다고 21일 밝혔다.

아쿠아의 소프트웨어 공급망 보안은 전체 소프트웨어 개발 라이프사이클에 걸쳐 보안 기능을 수행하는 포괄적 솔루션이다. 소프트웨어 제공업체가 EO 요건을 준수하고 증명하도록 지원한다.

아쿠아가 준수한다고 밝힌 것은 미국 정부의 '국가 사이버 보안 개선을 위한 행정명령'이다. 연방정부에서 제로 트러스트(Zero Trust) 아키텍처를 구현하도록 요구하고, 미국 연방기관에 SW 내장 제품을 납품할 경우 SW 자재명세서(SBOM, Software Bill of Materials) 제출을 의무화토록 하는 것이 골자다.

미국 정부의 행정명령은 써드파티 SW 기업이 미국의 사이버보안을 강화하고 악의적 사이버 행위자로부터 보호하기 위해 충족하거나 초과 달성해야 하는 모든 SW 공급망 요건을 열거하고 있다.

국내에서도 미국의 행정명령을 주목하고 있다. 지난 10월 과학기술정보통신부와 한국인터넷진흥원의 주도로 발족한 '제로트러스트·공급망 보안 포럼'에서도 같은 내용이 다뤄졌다.

드로 다비도프(Dror Davidoff) 아쿠아 시큐리티 CEO 겸 공동 창업자는 "이번 행정 명령은 글로벌 소프트웨어 공급업체에 막대한 영향을 미친다. 미 정부에 판매하거나 정부와 거래하는 기업에 소프트웨어를 판매한다면 명령 준수를 입증해야 한다"며 "소프트웨어 공급망 공격이 고도화되고 규모가 커짐에 따라 민간 부문은 반드시 선제적 사이버보안 조처를 취해야 한다. EO 14028은 미국 정부가 사이버 사고를 예방하려는 중요하고 대담한 조처다"고 밝혔다.

미국 정부는 행정명령 14028에 이어 공개된 'SW 개발 관행을 통한 SW 공급망 보안 강화'를 통해 기관들이 구매하는, 또는 이미 구매한 SW가 행정명령을 준수해야 하는 유효일을 열거했다. 2023년 1월 12일까지 기관 최고정보책임자(CIO)에게 요건을 전달하고, 6월 11일까지 중요 SW에 대한 준수 증명서를 취합하고, 9월 14일까지 모든 SW에 대해 준수 증명서를 취합하도록 했다.

이와 관련 아쿠아는 SW 기업이 행정명령의 요건을 준수하도록 증명하고 있다. 구축 한달 내 기업이 행정명령 내용의 준수 요건을 완수하도록 지원하며 초기 및 지속적 준수 증명을 위한 리포팅 및 관리 역량을 제공한다는 설명이다.

다비도프 CEO는 "시간이 가고 있다. 명령 준수 기한이 약 10개월 밖에 남지 않았다. 아쿠아는 소프트웨어 벤더가 준수 요건을 쉽게 충족하도록 해 줄 뿐만 아니라 소프트웨어 공급망 공격을 예방할 수 있다는 자신감을 갖게 해 준다"고 피력했다.