[아이티비즈 김건우 기자] 엘에스웨어(대표 김민수)가 ‘포세라 위드 블랙덕(FOSSEra with Black Duck)’ 솔루션을 업데이트하고 오픈소스 공급망 보안 시장 공략 확대에 나선다.
엘에스웨어는 자사의 오픈소스 통합 관리 솔루션 ‘포세라 위드 블랙덕’의 기능을 고도화하고, SBOM 기반 공급망 보안과 AI 개발 환경 대응 역량을 강화했다고 27일 밝혔다.
포세라 위드 블랙덕은 소프트웨어 개발 수명주기별로 필요한 오픈소스 관리를 통합 수행할 수 있도록 지원하는 솔루션이다. 글로벌 SCA 도구(Software Composition Analysis)인 블랙덕과 연동해 오픈소스 구성요소, 라이선스, 보안 취약점 정보를 통합적으로 관리할 수 있으며, 프로젝트 단위 점검부터 조직 및 사업 단위의 오픈소스 거버넌스 운영까지 지원한다.
이번 업데이트는 보안 패러다임 전환에 발맞춰 점검 영역의 전면 확장과 운영 안정성 강화에 초점을 맞췄다. 미국 행정명령(EO 14028), EU 사이버복원력법(CRA) 등 주요국의 SBOM(Software Bill of Materials, 소프트웨어 자재 명세서) 제출 의무화 흐름이 국내 공공·금융권으로 빠르게 확산되고 있고, 외부에서 반입되는 AI 모델과 학습 데이터가 공급망 점검의 새로운 사각지대로 떠오르는 상황에서, 기업이 요구하는 보안 가시성을 한층 끌어올렸다는 평가다.
가장 주목되는 업데이트 변화는 점검 대상 범위의 확장이다. 기존 소스코드·바이너리 중심 점검을 넘어, 서버에서 운영 중인 소프트웨어 구성요소까지 SBOM 단위로 추출·정밀 분석하는 기능이 새롭게 추가됐다. 서버 에이전트 기반의 상시 점검 체계를 통해 운영 단계에서 발생하는 잠재 취약점도 실시간으로 식별·대응할 수 있게 됐다. 이는 빌드·배포 시점을 넘어 운영 전 단계의 가시성을 확보해야 한다는 제로트러스트 보안 원칙에 부합하는 변화다.
생성형 AI 확산에 대응하는 AI 모델 반입 기능도 새롭게 도입됐다. 외부의 AI 모델과 관련 자산을 안전하게 반입하는 첫 단계 기능으로, 향후 AI 모델 자체에 대한 취약점 점검 기능까지 단계적으로 확대해 나갈 예정이다. 이를 통해 기업의 AI 도입 과정에서 발생할 수 있는 신종 공급망 리스크에 선제적으로 대응할 수 있다.
또한 취약점 정보의 질도 한층 정교해졌다. 기존 심각도 기반의 CVSS(Common Vulnerability Scoring System) 점수에 더해, 실제 공격 발생 가능성을 정량적으로 예측하는 EPSS(Exploit Prediction Scoring System)와 미국 CISA가 실제 악용 사례를 기반으로 관리하는 KEV(Known Exploited Vulnerabilities) 지표가 새롭게 도입됐다.
포세라는 CVSS·EPSS·KEV 세 가지 지표를 종합적으로 검토하여 우선 조치 대상을 자동 식별·제공한다. 보안 담당자는 단순 심각도(CVSS)뿐 아니라 '실제 공격 발생 가능성(EPSS)'과 '실제 악용 여부(KEV)'까지 함께 고려해 대응 우선순위를 도출할 수 있어, 한정된 인력으로도 가장 시급한 위협부터 효율적으로 처리할 수 있게 됐다.
이와 함께 영문으로만 제공되던 오픈소스 라이선스 전문·허용 범위·취약점 상세 정보 등 관련 정보들이 한글로 번역되어 제공된다. 국내 개발자와 법무·보안 검토 담당자가 별도의 번역 과정 없이 즉시 의사결정에 활용할 수 있어, 실무 효율성과 정확도가 크게 향상될 것으로 기대된다.
규제 대응 측면에서도 한 단계 진전이 이뤄졌다. SBOM 출력 표준인 SPDX와 CycloneDX의 지원 버전 범위가 확대됐으며, 블랙덕 엔진에서 선택한 정책에 따라 조직의 보안 정책과 오픈소스 사용 기준을 반영한 맞춤형 SBOM을 출력하는 기능도 추가됐다. 이를 통해 글로벌 SBOM 제출 의무화 흐름과 제품, 고객사, 규제 대응 목적에 따른 SBOM 요구사항을 한층 유연하게 충족할 수 있게 됐다.
포세라 위드 블랙덕은 이번 기능 강화와 함께 공급 체계도 한층 안정화했다. 외부 인터넷이 차단된 폐쇄망 환경에서도 안정적으로 운영 가능한 구축 방안을 정교화했고, 대규모 트래픽과 다중 프로젝트가 공존하는 환경에서의 엔터프라이즈급 안정성도 보강했다. 특히 신한금융그룹·우리은행·현대캐피탈 등 까다로운 보안 요건이 적용되는 금융권에서 축적한 운영 노하우를 바탕으로, 소스코드부터 서버, AI 모델까지 단일 콘솔에서 관리하는 통합 환경을 구현해 보안·개발·운영 조직 간 협업 효율을 끌어올렸다.
엘에스웨어 오픈소스사업본부 박준석 본부장은 "AI 개발 환경과 오픈소스 활용 확대는 기업의 개발 생산성을 높이는 동시에 새로운 보안 리스크를 만들고 있다”며 “이번 업데이트는 단순한 기능 추가를 넘어 SBOM·AI·제로트러스트로 대표되는 차세대 공급망 보안 패러다임에 선제적으로 대응하기 위한 전략적 행보"라고 말했다.
이어 "오픈소스 국제 표준(ISO/IEC 5230) 인증을 보유한 오픈소스 거버넌스 전문 기업으로서, 포세라 위드 블랙덕의 지속적인 기능 고도화를 통해 국내 기업이 글로벌 수준의 SW 공급망 보안 체계를 손쉽게 구축할 수 있도록 적극 지원해 나갈 것"이라고 설명했다.
![수소 생산 효율↑↑ 비용↓…차세대 촉매 개발 [지금은 과학]](https://image.inews24.com/v1/22d6925586a336.jpg)
![인기 끝난 줄 알았는데…주말 여의도 점령한 '인간 피크민' [현장+]](https://img.hankyung.com/photo/202605/01.44451862.1.jpg)
English (US) · 