엘에스웨어(대표 김민수)는 오픈소스 통합 관리 솔루션 '포세라 위드 블랙덕(FOSSEra with Black Duck)' 기능을 고도화하고, SBOM 기반 공급망 보안과 AI 개발 환경 대응 역량을 강화했다고 27일 밝혔다.
포세라 위드 블랙덕은 소프트웨어 개발 수명주기별로 필요한 오픈소스 관리를 통합 수행할 수 있도록 지원하는 솔루션이다. 글로벌 1위 SCA 도구(Software Composition Analysis)인 블랙덕과 연동해 오픈소스 구성요소, 라이선스, 보안 취약점 정보를 통합적으로 관리할 수 있다.
최근 기업의 소프트웨어 개발 환경은 오픈소스 활용 확대, AI 코딩 도구 도입, 외부 AI 모델 반입, 클라우드 네이티브 및 컨테이너 기반 개발 확산으로 변화하고 있다. 이에 따라 단순 취약점 탐지를 넘어 소프트웨어 구성요소를 식별하고 위험도를 지속적으로 관리하는 SBOM(Software Bill of Materials, 소프트웨어 자재 명세서) 기반 공급망 보안 체계의 중요성이 커지는 추세다. 특히 제로트러스트 보안 체계가 확산되면서 개발·반입·빌드·배포·운영 전 과정에서 소프트웨어 구성요소와 공급망 보안 상태를 지속적으로 검증하는 관리 체계가 요구되고 있다.
이번 업데이트는 보안 패러다임 전환에 발맞춰 점검 영역의 전면 확장과 운영 안정성 강화에 초점을 뒀다고 회사 측은 설명했다. 미국 행정명령(EO 14028), EU 사이버복원력법(CRA) 등 주요국의 SBOM 제출 의무화 흐름이 국내 공공·금융권으로 빠르게 확산되고 있고, 외부에서 반입되는 AI 모델과 학습 데이터가 공급망 점검의 새로운 사각지대로 떠오르는 상황에서, 기업이 요구하는 보안 가시성을 끌어올리기 위해서다.
가장 주목되는 변화는 점검 대상 범위의 확장이다. 기존 소스코드·바이너리 중심 점검을 넘어, 서버에서 운영 중인 소프트웨어 구성요소까지 SBOM 단위로 추출·정밀 분석하는 기능이 추가됐다. 서버 에이전트 기반의 상시 점검 체계를 통해 운영 단계에서 발생하는 잠재 취약점도 실시간으로 식별·대응할 수 있게 됐다.
특히 일회성·이동형 점검이 필요한 환경을 위한 포터블 에이전트(Portable Agent) 기능도 새롭게 제공된다. 폐쇄망, 외부 협력사 환경, 일시적 점검 대상 서버 및 장비 등 영구 설치가 어려운 환경에서도 즉시 점검을 수행할 수 있어, 상시 점검 체계와 결합해 다양한 운영 환경을 지원한다.
생성형 AI 확산에 대응하는 AI 모델 반입 기능도 새롭게 도입됐다. 외부의 AI 모델과 관련 자산을 안전하게 반입하는 첫 단계 기능으로, 향후 AI 모델 자체에 대한 취약점 점검 기능까지 단계적으로 확대해 나갈 예정이다. 이를 통해 기업의 AI 도입 과정에서 발생할 수 있는 신종 공급망 리스크에 선제적으로 대응할 수 있다.
취약점 대응도 정교화했다. 기존 심각도 기반의 CVSS(Common Vulnerability Scoring System) 점수에 더해, 실제 공격 발생 가능성을 정량적으로 예측하는 EPSS(Exploit Prediction Scoring System)와 미국 CISA가 실제 악용 사례를 기반으로 관리하는 KEV(Known Exploited Vulnerabilities) 지표가 도입됐다.
이와 함께 영문으로만 제공되던 오픈소스 라이선스 전문·허용 범위·취약점 상세 정보 등 관련 정보들이 한글로 번역돼 제공된다.
규제 대응 측면에서도 한 단계 진전이 이뤄, SBOM 출력 표준인 SPDX와 CycloneDX의 지원 버전 범위가 확대됐으며, 블랙덕 엔진에서 선택한 정책에 따라 조직의 보안 정책과 오픈소스 사용 기준을 반영한 맞춤형 SBOM을 출력하는 기능도 추가됐다.
엘에스웨어 오픈소스사업본부 박준석 본부장은 “AI 개발 환경과 오픈소스 활용 확대는 기업의 개발 생산성을 높이는 동시에 새로운 보안 리스크를 만들고 있다”며 “오픈소스 국제 표준(ISO/IEC 5230) 인증을 보유한 오픈소스 거버넌스 전문 기업으로서, 포세라 위드 블랙덕의 지속적인 기능 고도화를 통해 국내 기업이 글로벌 수준의 SW 공급망 보안 체계를 손쉽게 구축할 수 있도록 지원해 나갈 것”이라고 말했다.
조호현 기자 hohyun@etnews.com