OpenInfra & Cloud Native Days Korea 2022는 OpenStack, Kubernetes, OCP, Ceph 커뮤니티가 합동으로 개최하는 국내 최대 규모 오픈소스 인프라스트럭처 커뮤니티 행사로 코엑스에서 11월 1일 약 1,000명이 넘는 개발자들이 오프라인으로 참가해 성황리에 진행됐다.
AI Secu는 제로원에이아이에서 주도한 클라우드 컨테이너 이미지 보안 취약점 관리 오픈소스로, 클라우드 컨테이너 이미지 저장소 레지스트리의 본인 계정과 관리할 프로젝트를 지정해두면 이후 해당 저장소에 저장되는 클라우드 컨테이너 이미지에 대한 보안 취약점이 자동으로 분석되고 관리하는 기능을 제공한다.
AI Secu에서는 기존 컨테이너 이미지의 취약점을 수동으로 관리하는 방식에서 벗어나, 다양한 클라우드 컨테이너 이미지들의 '최신 보안 취약점'들을 한 곳에서 보다 효율적으로 관리할 수 있다. 기존 컨테이너 이미지 레지스트리에서 제공해주는 보안 취약점 관리는 해당 레지스트리에 저장하는 컨테이너 이미지만 한정돼 관리할 수 있는 반면, AI Secu에서는 특정 플랫폼에 종속되지 않고 다양한 플랫폼에 저장된 이미지를 한 곳에서 관리할 수 있다. 따라서 온프레미스(On-premise), 프라이빗 클라우드(priviate cloud), 하이브리드 클라우드(hybrid cloud), 멀티 클라우드(multi cloud) 환경에서 기업에 맞는 최적화된 방식으로 실시간 보안 시스템 구축을 할 수 있다.
AI Secu는 기존의 보안 취약점 추적 방식보다 높은 효율을 가지고 있다. 클라우드 컨테이너 이미지를 매번 밑바닥에서부터 분석하는 것에서 벗어나 OS 패키지, 프로그래밍 언어 패키지 등 클라우드 컨테이너 이미지의 구성요소를 소프트웨어 재료명세서(SBOM, software bill of materials)로 저장해 불필요한 반복 작업을 줄여 높은 효율을 가질 수 있게 됐다.
소프트웨어 보안 리스크 파악을 위해 2021년 미국 연방정부가 행정 명령을 통해 연방정부와 사업 계약을 맺은 기업의 소프트웨어의 재료명세서(SBOM) 제출을 의무화하면서, SBOM의 관리와 최신 보안 취약점 스캐닝은 기업에게 가장 중요한 보안 소프트웨어 필수 사항이 되고 있다.
AI Secu에서 관리되는 클라우드 컨테이너 이미지 취약점은 매일 하루에 한 번씩 새로 발견된 취약점을 업데이트해 취약점을 반영한다. 이를 통해 사람이 직접 반복 관리하지 않아도 처음에 설정만 해두면 자동으로 관리될 수 있다.
제로원에이아이에서는 AI Secu 소프트웨어를 서비스형 소프트웨어(SaaS, software as a service)로 제공한다. 기업형 SaaS에서는 오픈소스로 공개된 기능 이외에 기업에 더욱 특화된 많은 기능을 제공하며, 그 중 하나로 클라우드 컨테이너 이미지를 프로젝트 단위로 관리할 수 있는 기능이 있다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]