최근 소프트웨어 개발 환경에서 보안은 운영 단계뿐만 아니라 빌드 단계로 확대되고 있다. 공급망 공격은 개발 도구, 코드 저장소, 빌드 프로세스를 통해 침투하고 있어, CI/CD 파이프라인 전반에 걸친 실시간 보안 대응이 절실한 상황이다. 기존 스캐너나 에이전트로는 시프트 레프트 보안 모델 내에서 발생하는 이상 행위를 포착하기 어렵다는 지적이 제기되고 있다.

소프트웨어 공급망 보안 솔루션 기업 인비지리스크(InvisiRisk)가 소프트웨어 공급망 보안을 강화하는 AI기반 빌드 보안 AI 에이전트(Build Security AI Agent)를 공개했다. 이 솔루션은 소프트웨어 빌드 시점에 작동하는 프록시 역할의 방화벽 기능을 통해 실시간 위협 탐지와 자동 정책 적용을 지원한다.

AI 기반 빌드 방화벽 ‘BAF’로 이상 탐지와 정책 생성 자동화

인비지리스크의 빌드 시큐리티 AI 에이전트는 빌드 프로세스 중 발생하는 네트워크 트랜잭션을 실시간 분석하며, 기존 개발 도구가 인지하지 못한 보안 위협을 포착한다. 핵심 기능인 빌드 애플리케이션 방화벽(BAF)은 심층 패킷 분석 기술을 기반으로 빌드 단계에서의 이상 징후 및 비정상 행위를 탐지한다.

이 에이전트는 스캔 후 분석 결과를 바탕으로 인비지리스크의 IR 프로텍트(IR Protect)를 통해 실시간 정책을 시행한다. 특히, 기준 빌드와 비교해 발생한 이상 징후를 자동 식별하고, 규정 준수 기관인 NIST, CISA, CMMC 요건을 만족하도록 구성 오류와 예외 상황을 보완해준다.

이 솔루션은 빌드 초기부터 최종 배포까지의 전 과정에서 보안 취약점을 실시간으로 탐지하고, 규정 준수 리스크를 최소화하며, 전체 소프트웨어 공급망의 보안 강도를 높이는 데 기여한다. 특히 시프트 레프트(Shift-Left) 보안 전략을 실제 환경에 적용하려는 기업에게 강력한 보완 수단으로 작용하고 있다.

인비지리스크는 향후 다양한 CI/CD 환경, 프로그래밍 언어, 산업 도메인에 맞춰 솔루션을 확장하고, 글로벌 파트너사와의 협력을 통해 보급을 확대할 계획이다.

데이비드 풀라스키 인비지리스크 공동 창립자는 “시중에 수백 가지의 빌드 보안 도구가 존재하지만, 많은 공격이 이를 우회하고 있다.  우리는 실제 빌드 트랜잭션을 확인함으로써 각 애플리케이션에 최적화된 정책을 자동 생성하고, 이를 클릭 한 번으로 글로벌 보안 정책에도 적용할 수 있도록 설계했다.”라며, “기술의 복잡성보다는 실질적인 빌드 보호와 자동화된 정책 적용에 집중하라.”는 조언도 덧붙였다.