오픈소스 소프트웨어 보안 기술을 전문 제공하는 스택록(Stacklok)이 시리즈 A 규모의 1,750만 달러 투자를 유치했다고 16일 발표했다.
최근 오픈소스 라이브러리 시장은 급성장하고 있으며, 배포된 코드 70~90%는 오픈소스를 활용했다는 통계도 존재한다. 거기다 오픈소스 코드로 학습해서 만든 AI 코딩 도구도 인기가 높아지고 있는데, 대표적인 AI 코딩 도구인 코파일럿에서 생성한 코드 중 최대 40%가 보안 취약점을 가지고 있다는 연구도 있다. 스택록은 이런 새로운 소프트웨어 개발 환경 속에서 보안 공격 패턴도 진화하고 있다는 점에 집중해 스택록을 설립했다.
스택록은 “지난 몇 년 동안 소프트웨어 공급망, 즉 개발자가 혁신하고 새로운 기능을 구축하는 환경을 집중적으로 노리는 정교한 공격들이 등장했다”라며 “스택록은 시그스토어(Sigstore)와 비슷하게 오픈소스 프로젝트의 장점을 활용하여 보안 문제를 해결할 수 있는 엔터프라이즈급 솔루션을 개발하고 있다”라고 설명했다.
스택록의 플랫폼은 개발 환경과 통합해 사용하면서 오픈소스 코드의 보안 위험 요소를 파악하며, 블록체인 기술을 활용해 코드의 위변조를 방지하는 것이 특징이다. 아직 기술 세부사항을 공개하지 않았으나 시그스토어를 기업에서 쓰기 좋게 편의성을 더한 형태로 내놓을 것으로 보인다.
스택록을 만든 설립자들은 오픈소스 업계에 오래 있었던 전문가다. 먼저 공동설립자 겸 CEO인 크레이그 맥루키(Craig McLuckie)는 쿠베너티스을 개발한 인물로, 구글에서 컴퓨트 엔진 프로젝트를 이끌었으며, VM웨어에서 탄주(Tanzu) 기술을 연구했다. 다른 공동 설립자 겸 CTO 루크 힌즈(Luke Hinds)은 레드햇 엔지니어 출신으로 오픈소스 보안 기술 프로젝트인 시그스토어를 개발했으며, 오픈소스 시큐리티 재단(Open Source Security Foundation, OpenSSF)의 이사회 임원이다.
스택록 CTO 루크 힌즈는 “스택록의 목표는 시그스토어와 같은 오픈소스 기술을 활용하여 소프트웨어 공급망의 무결성을 보호함으로써 개발자가 안심하고 작업하고 코드 작성이라는 핵심 목표에 집중할 수 있도록 하는 것”이라며 “소프트웨어 공급망에 절실히 필요한 엔드투엔드 출처 증명과 인사이트를 제공할 것”이라고 설명했다.
jihyun_lee@idg.co.kr
