서버 SBOM 정밀 분석, KEV·EPSS·CVSS 종합 검토 기반 취약점 우선 조치대상 자동 식별, AI 모델 반입, 각종 정보 한글화 제공 등 신규 기능 대거 추가
폐쇄망·금융권·국방·엔터프라이즈 환경 대응력 강화로 오픈소스 공급망 보안 시장 공략 확대

[보안뉴스 한세희 기자] 엘에스웨어(대표 김민수)는 자사 오픈소스 통합 관리 솔루션 ‘포세라 위드 블랙덕’(FOSSEra with Black Duck) 기능을 고도화하고, 소프트웨어 자재명세서(SBOM) 기반 공급망 보안과 AI 개발 환경 대응 역량을 강화했다고 27일 밝혔다.

포세라 위드 블랙덕은 소프트웨어 개발 수명주기별로 필요한 오픈소스 관리를 통합 지원하는 솔루션이다. 글로벌 1위 소프트웨어 구성요소 분석(SCA, Software Composition Analysis) 도구인 블랙덕(Black Duck)과 연동해 오픈소스 구성요소, 라이선스, 보안 취약점 정보를 통합 관리할 수 있다. 프로젝트 단위 점검부터 조직 및 사업 단위의 오픈소스 거버넌스 운영까지 지원한다.


최근 기업의 소프트웨어 개발 환경은 오픈소스 활용 확대, AI 코딩 도구 도입, 외부 AI 모델 반입, 클라우드 네이티브 및 컨테이너 기반 개발 확산으로 빠르게 변화하고 있다. 이에 따라 단순 취약점 탐지를 넘어 소프트웨어 구성요소를 식별하고 위험도를 지속적으로 관리하는 SBOM 기반 공급망 보안 체계의 중요성이 커지고 있다. 특히 제로트러스트 보안 체계가 확산되면서 개발·반입·빌드·배포·운영 전 과정에서 소프트웨어 구성요소와 공급망 보안 상태를 지속 검증하는 관리 체계가 요구되고 있다.

이번 업데이트는 이러한 보안 패러다임 전환에 발맞춰 점검 영역의 전면 확장과 운영 안정성 강화에 초점을 맞췄다. 미국 행정명령(EO 14028), EU 사이버복원력법(CRA) 등 주요국의 SBOM 제출 의무화 흐름이 국내 공공·금융권으로 빠르게 확산되고 있고, 외부에서 반입되는 AI 모델과 학습 데이터가 공급망 점검의 새로운 사각지대로 떠오르는 상황에서, 기업이 요구하는 보안 가시성을 끌어올렸다.

제로트러스트 맞춤 보안... 서버 점검부터 AI 모델 반입까지, 유연한 에이전트 운영
주목되는 변화는 점검 대상 범위 확장이다. 기존 소스코드·바이너리 중심 점검을 넘어, 서버에서 운영 중인 소프트웨어 구성요소까지 SBOM 단위로 추출·정밀 분석하는 기능이 추가됐다. 서버 에이전트 기반 상시 점검 체계를 통해 운영 단계에서 발생하는 잠재 취약점도 실시간으로 식별·대응할 수 있게 됐다. 이는 빌드·배포 시점을 넘어 운영 전체 단계 가시성을 확보해야 한다는 제로트러스트 보안 원칙에 부합하는 변화다.

일회성·이동형 점검이 필요한 환경을 위한 포터블 에이전트(Portable Agent) 기능도 새롭게 제공된다. 폐쇄망, 외부 협력사 환경, 일시적 점검 대상 서버 및 장비 등 영구 설치가 어려운 환경에서도 즉시 점검을 수행, 상시 점검 체계와 결합해 다양한 운영 환경을 폭넓게 커버한다.

생성형 AI 확산에 대응하는 AI 모델 반입 기능도 새롭게 도입됐다. 외부 AI 모델과 관련 자산을 안전하게 반입하는 첫 단계 기능으로, 향후 AI 모델 자체에 대한 취약점 점검 기능까지 단계적으로 확대해 나갈 예정이다. 이를 통해 기업 AI 도입 과정에서 발생할 수 있는 신종 공급망 리스크에 선제적으로 대응할 수 있다.

취약점 대응 정교화... EPSS·KEV 지표 도입과 우선 조치대상 자동 식별
취약점 정보의 질도 정교해졌다. 기존 심각도 기반 CVSS(Common Vulnerability Scoring System) 점수에 더해, 실제 공격 발생 가능성을 정량적으로 예측하는 EPSS(Exploit Prediction Scoring System)와 미국 CISA가 실제 악용 사례를 기반으로 관리하는 KEV(Known Exploited Vulnerabilities) 지표가 새롭게 도입됐다.

포세라는 CVSS와 EPSS, KEV 세 가지 지표를 종합 검토해 우선 조치 대상을 자동 식별·제공한다. 보안 담당자는 단순 심각도(CVSS)뿐 아니라 실제 공격 발생 가능성(EPSS)과 실제 악용 여부(KEV)까지 함께 고려해 대응 우선순위를 도출할 수 있어, 한정된 인력으로도 가장 시급한 위협부터 효율적으로 처리할 수 있게 됐다.

이와 함께 영문으로만 제공되던 오픈소스 라이선스 전문·허용 범위·취약점 상세 정보 등 관련 정보들이 한글로 번역돼 제공된다. 국내 개발자와 법무·보안 검토 담당자가 별도 번역 과정 없이 즉시 의사결정에 활용할 수 있어, 실무 효율성과 정확도 향상이 기대된다.

SBOM 출력 형식 확장... 글로벌 규제 대응 강화
규제 대응 측면에서도 한 단계 진전이 이뤄졌다. SBOM 출력 표준인 SPDX와 CycloneDX의 지원 버전 범위가 확대됐으며, 블랙덕 엔진에서 선택한 정책에 따라 조직 보안 정책과 오픈소스 사용 기준을 반영한 맞춤형 SBOM을 출력하는 기능도 추가됐다. 이를 통해 글로벌 SBOM 제출 의무화 흐름과 제품, 고객사, 규제 대응 목적에 따른 SBOM 요구사항을 유연하게 충족할 수 있다.

폐쇄망 지원과 엔터프라이즈 안정성... 금융권 넘어 전 산업 확대
포세라 위드 블랙덕은 기능 강화와 함께 공급 체계도 안정화했다. 외부 인터넷이 차단된 폐쇄망 환경에서도 안정적으로 운영 가능한 구축 방안을 정교화했고, 대규모 트래픽과 다중 프로젝트가 공존하는 환경에서의 엔터프라이즈급 안정성도 보강했다.

특히 신한금융그룹·우리은행·현대캐피탈 등 까다로운 보안 요건이 적용되는 금융권에서 축적한 운영 노하우를 바탕으로, 소스코드부터 서버, AI 모델까지 단일 콘솔에서 관리하는 통합 환경을 구현해 보안·개발·운영 조직 간 협업 효율을 끌어올렸다. 최근 국방과학연구소 공급을 시작으로 금융권을 넘어 국방 및 공공 분야까지 레퍼런스를 확보했다. 안정성과 국내 친화적 기능을 바탕으로 향후 공공·제조·통신 등 전 산업으로 시장을 확대할 계획이다.

박준석 엘에스웨어 오픈소스사업본부장은 “AI 개발 환경과 오픈소스 활용 확대는 기업 개발 생산성을 높이는 동시에 새로운 보안 리스크를 만들고 있다”며 “이번 업데이트는 단순한 기능 추가를 넘어 SBOM·AI·제로트러스트로 대표되는 차세대 공급망 보안 패러다임에 선제 대응하기 위한 전략적 행보”라고 말했다.

이어 “오픈소스 국제 표준(ISO/IEC 5230) 인증을 보유한 오픈소스 거버넌스 전문 기업으로서, 포세라 위드 블랙덕의 지속적 기능 고도화를 통해 국내 기업이 글로벌 수준 SW 공급망 보안 체계를 손쉽게 구축할 수 있도록 지원할 것”이라고 밝혔다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>