소프트웨어 공급망 보안 위협 증가

소프트웨어 공급망은 소프트웨어 개발을 위한 다양한 구성 요소와 프로세스로 구성되어 있으며, 최근 들어 매우 불안정해지고 있습니다. 한 설문 조사에 따르면, 88%의 기업이 소프트웨어 공급망 보안 문제가 조직 전반에 걸쳐 위험을 초래한다고 인식하고 있습니다.

오픈 소스 코드, 보안 취약하게 유지

오픈 소스 공급망 구성 요소는 잘 유지 관리하기 어렵기 때문에 특히 문제가 큽니다. Synopsys의 2023년 보고서에 따르면, 기업의 89%가 사용 중인 코드베이스에 4년 이상 오래된 오픈 소스 도구가 포함되어 있음을 발견했습니다. Ponemon Institute의 2024년 보고서는 절반 이상의 조직이 소프트웨어 공급망 공격을 경험했다고 밝혔습니다. 이렇게 발생한 공격은 2026년까지 경제에 총 810억 달러의 손실을 초래할 수 있다고 Juniper Research는 추산합니다.

소켓, 보안 취약점 탐지 기술로 4천만 달러 투자 유치

이러한 문제를 해결하기 위해 소켓(Socket)이라는 스타트업이 오픈 소스 코드에서 보안 취약점을 탐지하는 도구를 제공하며, 4천만 달러의 투자를 유치했습니다. 이 회사는 스탠포드 대학교의 웹 보안 강사이자 설립자인 Feross Aboukhadijeh가 2020년에 설립했습니다.

전통적인 보안 도구의 한계와 소켓의 역할

Aboukhadijeh는 전통적인 보안 도구가 현대 소프트웨어 개발의 도전에 충분히 대응하지 못한다고 믿게 되었습니다. 앱이 작동하는 데 필요한 수천 개의 종속성(dependency)은 기존 도구로 해결하기 어려운 보안 위험을 야기한다고 밝혔습니다. 소켓의 스캐너는 오픈 소스 구성 요소에서 백도어 같은 악의적 활동이나 난독화된 코드를 탐지하여 개발자에게 알립니다.

AI와의 통합으로 보안 요약 제공

소켓은 Anthropic과 OpenAI의 생성적 AI API와 통합하여 보안 취약점 요약을 생성합니다. 또한 오픈 소스 코드가 재사용에 적법한 면허를 받았는지 확인하는 기능도 제공합니다. Aboukhadijeh는 소켓이 오픈 소스 소프트웨어를 많이 의존하는 엔지니어링 팀과 애플리케이션 보안 팀을 위한 것이라고 설명했습니다.

소프트웨어 공급망 보안 시장의 성장과 소켓의 경쟁자

소프트웨어 공급망 보안 플랫폼 시장은 2027년까지 35억 달러까지 성장할 것으로 예상됩니다. 그 가운데 소켓의 경쟁자로는 Oligo, Endor, Chainguard 등이 있습니다. 하지만 Aboukhadijeh는 소켓이 다른 도구에서 놓칠 수 있는 민감 데이터 유출 코드까지 포착할 수 있다는 점에서 차별성을 가지고 있다고 주장합니다.

투자 라운드와 향후 계획

소켓은 최근 시리즈 B 투자 라운드에서 엘라드 길, 안드리센 호로위츠, 야후 공동 창업자 제리 양 등의 투자자들로부터 지원을 받았습니다. 현재 소켓은 100명 이상의 고객을 보호하며 전 세계 100만 명 이상의 개발자를 지원하고 있습니다. 이를 기반으로 2024년에는 매출이 400% 증가할 것으로 예상됩니다. 소켓은 연말까지 직원 수를 50명으로 늘리고 엔지니어링, 제품, 디자인 및 판매 부문에 집중할 계획입니다.

출처 : Socket lands a fresh $40M to scan software for security flaws