쿤텍, 공급망 보안 플랫폼 이지즈 3.0 출시…SBOM에서 AI-BOM까지 확장

• 쿤텍이 공급망 보안 플랫폼 이지즈 3.0을 출시함. 포인트는 이제 SBOM만 보는 게 아니라 AI-BOM까지 같이 본다는 것임

  • SBOM은 소프트웨어 자재명세서, 즉 서비스에 어떤 라이브러리와 구성 요소가 들어갔는지 추적하는 목록임
  • AI-BOM은 여기에 AI 모델의 데이터, 라이브러리, 모델 구조, 변경 이력까지 관리 대상으로 넣는 개념임

• 이지즈 3.0은 오픈소스 관리 중심이던 기존 보안 체계를 소프트웨어 개발 전 과정으로 넓힌 플랫폼임

  • 오픈소스 관리(SCA), 공급망 관리(SCM), 레파지토리 관리(RMS), 바이너리 분석을 한 체계로 묶음
  • 개별 솔루션으로 흩어져 있던 공급망 보안 업무를 단일 대시보드에서 보게 하겠다는 방향임

• 왜 지금 이걸 밀고 있냐면, 공급망 공격이 늘면서 “우리 코드만 안전하면 됨”이 더 이상 안 통하기 때문임

  • 실제 서비스는 오픈소스, 외부 패키지, 빌드 산출물, 사내 레파지토리, 바이너리까지 얽혀 있음
  • 글로벌 규제 환경에서도 공급망 가시성 확보가 핵심 요구사항으로 올라오는 중임

• 기능 면에서는 보안팀이 기대할 만한 기본기가 꽤 많이 들어가 있음

  • 취약점 및 라이선스 정보 관리
  • 코드 서명 검증
  • 바이너리 분석
  • SBOM 비교 분석
  • 프로젝트별 보안 현황과 조치 상태를 보여주는 통합 대시보드

• AI-BOM은 AI 모델 공급망 보안 쪽을 겨냥한 새 기능임

  • 모델을 구성하는 데이터, 라이브러리, 모델 구조의 출처를 추적함
  • 변경 이력을 관리해서 모델이 어떻게 바뀌었는지 확인할 수 있게 함
  • AI 도입이 늘수록 “이 모델 믿어도 됨?”이라는 질문에 답하기 위한 장치가 필요해지는 흐름임

• 쿤텍은 금융, 공공, 국방 분야 레퍼런스를 강조하고 있음

  • 특히 금융권 실제 운영 환경에서 검증된 기술력을 시장 신뢰의 근거로 내세움
  • 공급망 보안은 도입만큼이나 감사, 규제 대응, 운영 증빙이 중요해서 레퍼런스가 꽤 센 영업 포인트가 됨

• 앞으로는 SBOM과 AI-BOM 자동화, AI 모델 신뢰성 검증, 글로벌 규제 대응, 클라우드 및 MLOps 연계를 강화하겠다는 계획임

  • 단순 취약점 스캐너가 아니라 개발·보안·운영·AI 거버넌스를 잇는 플랫폼으로 가려는 그림임

---

기술 맥락

• 공급망 보안에서 SBOM이 중요한 이유는 장애나 취약점이 터졌을 때 영향 범위를 빨리 좁혀야 하기 때문이에요. 로그4셸 같은 이슈가 터지면 “우리 서비스 어디에 이 라이브러리가 들어갔지?”를 바로 답해야 하거든요.

• 이지즈 3.0이 SCA, 레파지토리 관리, 바이너리 분석을 묶는 이유는 개발 단계마다 보이는 리스크가 다르기 때문이에요. 소스 코드에서 보이는 의존성과 빌드된 바이너리 안에 실제로 들어간 구성 요소가 다를 수 있어서, 한 지점만 보면 빈틈이 생겨요.

• AI-BOM이 새로 들어간 건 AI 모델도 이제 배포 가능한 소프트웨어 자산처럼 다뤄지고 있기 때문이에요. 모델이 어떤 데이터와 라이브러리, 구조를 거쳤는지 모르면 보안 검토나 규제 대응에서 설명하기가 어려워져요.

• 특히 금융, 공공, 국방처럼 감사와 증빙이 중요한 조직에서는 “잘 막고 있음”보다 “무엇을 기준으로 계속 추적하고 있음”이 더 중요해요. 그래서 대시보드, 변경 이력, 구성 요소 추적 같은 기능이 단순 편의 기능이 아니라 운영 근거가 돼요.