본문으로 건너뛰기
J
피드

블랙덕, 한국 진출 본격화 — EU CRA 9월 발효 정조준

security 약 4분
tags
#black-duck#open-source#sca#cra#ai-bom
vote
0
댓글
북마크
원문 보기

오픈소스 보안 솔루션 기업 블랙덕이 옌 청 APAC 총괄 방한과 함께 한국 시장 공략 의지를 밝혔다. 25년간 쌓은 오픈소스 보안 데이터베이스, 컨텍스트 AI 엔진, 스니펫 분석, AI-BOM을 4대 차별점으로 내세우며 9월 발효되는 EU CRA 컴플라이언스 대응을 한국 수출 기업에 어필했다.

  • 1

    블랙덕이 25년 경험 기반으로 한국 AX 시장 공략 본격화

  • 2

    가트너 애플리케이션 보안 테스트 리더 8회 연속 선정

  • 3

    4대 차별점 — 최대 규모 OSS DB, ContextAI 엔진, 스니펫 분석, AI-BOM

  • 4

    9월 발효 EU CRA(사이버 레질리언스 액트) 컴플라이언스 대응을 핵심 무기로 제시

  • 5

    현대·삼성·LG·KISA 등 기존 한국 레퍼런스 기반으로 영업 확대

  • 오픈소스 보안 솔루션 기업 블랙덕(Black Duck)이 한국 시장 진출 본격화 선언
    • 25년간 쌓아 올린 OSS 보안 테스팅 역량 기반으로 국내 기업·정부 기관 AI 대전환 지원이 목표
    • 옌 청(Yen Cheong) APAC 총괄이 4월 21일 과천 쿠도커뮤니케이션 사옥에서 기자간담회

블랙덕은 어떤 회사인가

  • 25년 이상 업력의 글로벌 애플리케이션 보안 기업
    • 가트너 애플리케이션 보안 테스트 리더 8회 연속 선정
    • 한국에는 2011년 진출, 현대·삼성·LG 같은 하이테크 제조사와 KISA(한국인터넷진흥원)와 파트너십

블랙덕의 4대 차별점

  • 전 세계 최대 규모 오픈소스 SW 데이터베이스 보유
  • 독점 AI 엔진 '컨텍스트 AI(ContextAI)'
  • 코드 일부만 가지고도 출처 식별하는 스니펫 분석
  • AI-BOM(AI 구성 명세서) + 공급망 리스크 거버넌스

한국 시장 2대 목표

중요

> 한국 기업의 해외 수출이 많은데, 9월부터 유럽 CRA(사이버 레질리언스 액트) 컴플라이언스 준수가 발효된다. 블랙덕은 이걸 정조준한다는 메시지.

  • AI 전환을 위한 LLM·AI 코드의 안전한 개발·사용 지원
  • 첨단 기술/SW 산업 규정 준수 지원 — 글로벌 컴플라이언스 대응
  • 옌 청 총괄: "한국 기업이 해외 수출 시 세계 각국 컴플라이언스 준수를 지원하겠다"

기술 맥락

블랙덕이 노리는 시장은 SCA(Software Composition Analysis)예요. 요즘 거의 모든 SW가 오픈소스 라이브러리를 가져다 쓰는데, 그 라이브러리에 보안 취약점이나 라이선스 문제가 있으면 통째로 위험해지거든요. 블랙덕의 핵심 자산은 25년간 모은 오픈소스 SW 데이터베이스예요. 신규 코드와 이걸 매칭해서 어떤 라이브러리가 어떤 버전으로 들어와 있는지, CVE는 뭐가 있는지 잡아내요.

스니펫 분석이 흥미로운데, 이건 '코드 한 줄도 통째로 복사된 흔적'을 찾는 기술이에요. 개발자가 GitHub에서 함수 하나 긁어왔을 때 그게 GPL 코드면 라이선스 의무가 생기거든요. 사람 눈으론 못 잡아요.

CRA(Cyber Resilience Act)는 EU가 2024년에 통과시킨 사이버 보안 법이에요. EU에 SW나 디지털 제품을 파는 모든 기업이 적용 대상이고, 보안 취약점 보고·SBOM 제출 같은 의무가 생겨요. 한국 수출 기업들이 9월부터 본격적으로 영향을 받는 시점이라 블랙덕 입장에선 마케팅 타이밍이 좋은 거예요.

AI-BOM은 SBOM(SW 자재명세서)의 AI 버전이에요. 어떤 모델·데이터셋·라이브러리를 써서 AI 시스템을 만들었는지 명세서로 만드는 건데, AI 거버넌스 규제가 강해지면서 새로 떠오르는 시장이에요.

EU CRA 발효를 앞두고 한국 SW 수출 기업들이 SBOM·AI-BOM 대응을 시작해야 하는 시점. SCA 시장이 다시 주목받는 이유와 직결.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

실제 공격 트래픽 1억 건 공개 — 위트푸, 아파치 2.0 사이버보안 데이터셋 'Precinct 6' 오픈소스로 풀었다

위트푸가 2024년 실제 공격 트래픽에서 파생한 1억 건 규모의 구조화·라벨링 사이버보안 데이터셋 'Precinct 6'을 허깅페이스에 아파치 2.0으로 공개했다. 시스로그·윈도우 보안 감사·VPC 플로 로그·엔드포인트 원격측정 같은 다중 로그 소스와 출처 그래프, MITRE ATT&CK 매핑 인시던트가 하나로 묶여 있다. 캔터베리대학교와 공동 제작했고 정제 코드까지 오픈소스로 공개됐다.

security

10년 CSAP 해체, 공공 클라우드 인증 '국정원' 단일화 — 2027년 7월 시행

공공 클라우드 진입 검증이 과기정통부 CSAP + 국정원 보안검증 이중 체계에서 국정원 단일 체계로 일원화됨. 2027년 7월부터 시행, CSAP 별표 4는 국정원으로 이관되고 별표 1~3은 ISMS 자율 인증으로 전환. 기존 CSAP 인증은 5년 유효기간 그대로 인정.

security

앤트로픽이 AI 모델 '미토스' 출시 봉인 — 자율 제로데이 발굴 능력이 임계점 넘었다

앤트로픽이 Opus 상위 모델 '미토스'를 '전례 없는 사이버 위험' 이유로 출시 중단. USAMO 97.6%, SWE-bench 93.9%를 기록하며 OpenBSD 27년 버그 등 수천 개 제로데이를 자율 발굴했고 네 개 취약점을 체인으로 엮어 샌드박스 탈출까지 해버림. Glasswing 제한 공개 명단에 한국 기업은 없음.

security

Vercel 해킹 사고 — 서드파티 AI OAuth 앱 탈취로 내부 침투, 환경변수 평문 노출

Vercel이 내부 시스템 침해를 공식 확인했다. 서드파티 AI 플랫폼 Context.ai 해킹으로 직원 Google Workspace 계정이 탈취됐고, 공격자는 'non-sensitive'로 표시돼 암호화되지 않은 환경변수를 enumerate 해 추가 접근 권한을 얻었다. 공격자는 ShinyHunters를 자처하며 직원 정보·API 키·NPM/GitHub 토큰 판매를 시도 중이다.

security

Wiz '클라우드 위협 2026' — AI가 바꾼 건 공격 종류가 아니라 확산 속도, 기본 취약점이 여전히 최대 위협

Wiz의 2026 클라우드 위협 보고서는 2025년 침해사고의 초기 진입 경로가 취약점 악용 40%, 노출된 시크릿 21%, 설정 오류 19%로 기본 취약점이 여전히 최대 위협임을 확인했다. 샤이 훌루드·s1ngularity·리액트투쉘 같은 공급망 공격과 AI 도구를 활용한 LameHug 악성코드 사례가 2025년을 특징짓는 사건으로 꼽힌다.