블랙덕, 한국 진출 본격화 — EU CRA 9월 발효 정조준

• 오픈소스 보안 솔루션 기업 블랙덕(Black Duck)이 한국 시장 진출 본격화 선언
  • 25년간 쌓아 올린 OSS 보안 테스팅 역량 기반으로 국내 기업·정부 기관 AI 대전환 지원이 목표
  • 옌 청(Yen Cheong) APAC 총괄이 4월 21일 과천 쿠도커뮤니케이션 사옥에서 기자간담회

블랙덕은 어떤 회사인가

• 25년 이상 업력의 글로벌 애플리케이션 보안 기업
  • 가트너 애플리케이션 보안 테스트 리더 8회 연속 선정
  • 한국에는 2011년 진출, 현대·삼성·LG 같은 하이테크 제조사와 KISA(한국인터넷진흥원)와 파트너십

블랙덕의 4대 차별점

• 전 세계 최대 규모 오픈소스 SW 데이터베이스 보유
• 독점 AI 엔진 '컨텍스트 AI(ContextAI)'
• 코드 일부만 가지고도 출처 식별하는 스니펫 분석
• AI-BOM(AI 구성 명세서) + 공급망 리스크 거버넌스

한국 시장 2대 목표

• AI 전환을 위한 LLM·AI 코드의 안전한 개발·사용 지원
• 첨단 기술/SW 산업 규정 준수 지원 — 글로벌 컴플라이언스 대응
• 옌 청 총괄: "한국 기업이 해외 수출 시 세계 각국 컴플라이언스 준수를 지원하겠다"

---

기술 맥락

블랙덕이 노리는 시장은 SCA(Software Composition Analysis)예요. 요즘 거의 모든 SW가 오픈소스 라이브러리를 가져다 쓰는데, 그 라이브러리에 보안 취약점이나 라이선스 문제가 있으면 통째로 위험해지거든요. 블랙덕의 핵심 자산은 25년간 모은 오픈소스 SW 데이터베이스예요. 신규 코드와 이걸 매칭해서 어떤 라이브러리가 어떤 버전으로 들어와 있는지, CVE는 뭐가 있는지 잡아내요.

스니펫 분석이 흥미로운데, 이건 '코드 한 줄도 통째로 복사된 흔적'을 찾는 기술이에요. 개발자가 GitHub에서 함수 하나 긁어왔을 때 그게 GPL 코드면 라이선스 의무가 생기거든요. 사람 눈으론 못 잡아요.

CRA(Cyber Resilience Act)는 EU가 2024년에 통과시킨 사이버 보안 법이에요. EU에 SW나 디지털 제품을 파는 모든 기업이 적용 대상이고, 보안 취약점 보고·SBOM 제출 같은 의무가 생겨요. 한국 수출 기업들이 9월부터 본격적으로 영향을 받는 시점이라 블랙덕 입장에선 마케팅 타이밍이 좋은 거예요.

AI-BOM은 SBOM(SW 자재명세서)의 AI 버전이에요. 어떤 모델·데이터셋·라이브러리를 써서 AI 시스템을 만들었는지 명세서로 만드는 건데, AI 거버넌스 규제가 강해지면서 새로 떠오르는 시장이에요.