데이타솔루션, 스프링 지원 종료 대응용 ‘VM웨어 탄주 스프링 에센셜’ 도입 지원 확대

스프링 지원 종료가 이제 진짜 운영 리스크가 됨

• 데이타솔루션이 ‘VM웨어 탄주 스프링 에센셜(VMware Tanzu Spring Essentials)’ 도입과 업그레이드 체계 구축 지원을 본격화함

  • 목적은 지원 종료된 스프링(Spring) 버전 때문에 생기는 보안 공백 대응임
  • 대상은 스프링 기반 애플리케이션을 운영하는 기업, 특히 업그레이드를 한 번에 밀어붙이기 어려운 엔터프라이즈 조직임

• 배경 수치가 꽤 세다. 취약점은 계속 늘고 있고, 오픈소스 코드베이스도 예외가 아님

  • 미국 국립표준기술연구소(NIST)에 따르면 2020년부터 2025년 사이 공통 취약점 및 노출(CVE) 신고 건수가 263% 증가함
  • 블랙덕(Blackduck)의 2026년 오픈소스 보안 및 위험 분석(OSSRA) 보고서에서는 상용 코드베이스 87%에서 최소 1개 이상의 취약점이 확인됨

• 특히 스프링은 국내 기업 시스템에 워낙 많이 깔려 있어서 영향이 큼

  • 스프링은 자바(Java) 플랫폼 기반 애플리케이션 개발 프레임워크고, 생산성과 유지보수성 때문에 엔터프라이즈 시스템에서 많이 쓰임
  • 스프링 부트(Spring Boot) 2.7.x는 2023년 6월 지원 종료됨
  • 스프링 프레임워크(Spring Framework) 5.3.x는 2024년 8월 지원 종료됨
  • 스프링 부트 3.5.x와 스프링 프레임워크 6.2.x도 2026년 6월 지원 종료를 앞두고 있음

• 브로드컴 분석에 따르면 다운로드된 스프링 부트의 60%가 이미 지원되지 않는 버전임

  • 이 수치는 꽤 현실적임. 레거시 업무 시스템은 프레임워크 버전만 올리는 일이 아니라 라이브러리, 런타임, 테스트, 배포 파이프라인까지 같이 건드리는 작업이라 쉽게 못 움직임
  • 그래서 “최신 버전으로 올리면 됨” 같은 말이 현장에서는 별 도움이 안 되는 경우가 많음

탄주 스프링 에센셜이 팔고 있는 건 시간과 패치임

• 데이타솔루션은 대안으로 스프링 사용 지원 구독 라이선스인 ‘VM웨어 탄주 스프링 에센셜’을 제시함

  • 구독 기업은 스프링 부트, 스프링 프레임워크 등 OSS 스프링 제품군의 기여자(Committer)가 제공하는 신뢰 가능한 패치를 받을 수 있음
  • 기여자는 오픈소스 프로젝트 소스코드를 수정할 권한이 있는 사람이라, 패치 신뢰성 측면에서 의미가 있음

• 지원 범위는 스프링만으로 끝나지 않음

  • 50개 이상의 스프링 프로젝트를 지원함
  • 오픈JDK(OpenJDK), 아파치 톰캣(Apache Tomcat)에 대한 기술 지원도 상시 제공함
  • 기존 오픈소스 지원 기간 밖에서도 추가 엔터프라이즈 지원을 5년간 제공해, 당장 전면 업그레이드가 어려운 기업에 시간을 벌어주는 구조임

• 업그레이드 자동화도 중요한 포인트임
  • 구독에 포함된 스프링 애플리케이션 어드바이저가 애플리케이션 포트폴리오 진단부터 단계별 업그레이드 가이드까지 자동화함
  • 새로운 의존성 버전이 나오면 개발 파이프라인에 맞춘 요청을 자동 생성함
  • 여기서 의존성 버전은 외부 라이브러리나 패키지의 특정 버전을 명시해 사용하는 것을 뜻함

국내 금융권 사례가 이미 나옴

• 한 금융회사는 신규 시스템 점검 중 지원 종료된 스프링 버전을 발견했지만, 솔루션 호환성 때문에 전면 업그레이드가 어려웠음

  • 이 회사는 VM웨어 탄주 스프링 에센셜 라이선스를 구독해 해당 버전에 대한 CVE 패치를 적용함
  • 동시에 업그레이드 로드맵을 수립하는 방식으로 당장 막아야 할 보안 리스크와 장기 전환 계획을 나눠 처리함

• 또 다른 금융회사는 프로젝트마다 제각각인 스프링 버전을 통합하려고 스프링 애플리케이션 어드바이저를 기존 CI/CD 파이프라인과 연동함

  • 목표는 업그레이드 계획 수립에서 소스 자동 수정, 테스트 반영까지 이어지는 체계를 만드는 것임
  • 수작업으로 프로젝트별 버전 현황을 뒤지고 PR을 만들던 일을 자동화 흐름으로 가져가려는 시도에 가까움

• 데이타솔루션은 금융권을 시작으로 제조, 공공, 통신 등 스프링 기반 애플리케이션을 운영하는 산업군으로 적용 사례를 늘릴 계획임

  • 회사 측은 스프링 보안 이슈를 단순 패치 문제가 아니라 운영 표준화와 업그레이드 체계를 포함한 전략 문제로 보고 있음
  • VM웨어 프리미어 파트너로서 VM웨어 클라우드 파운데이션(VCF) 기반 프라이빗 클라우드 구축부터 애플리케이션 현대화까지 지원한다고 밝힘

---

기술 맥락

• 이번 이슈의 핵심은 스프링 버전 업그레이드가 단순한 라이브러리 교체가 아니라는 점이에요. 엔터프라이즈 자바 시스템에서는 스프링 부트, 스프링 프레임워크, 톰캣, JDK, 내부 공통 모듈, 배포 파이프라인이 같이 묶여 있어서 한 군데만 올리기가 어렵거든요.

• 그래서 VM웨어 탄주 스프링 에센셜이 제공하는 5년 추가 지원은 “업그레이드 회피권”이라기보다 “안전하게 갈아탈 시간”에 가까워요. 지원 종료 버전에서 CVE 패치를 받으면서, 호환성 검증과 단계별 전환을 병행할 수 있게 해주는 게 실제 가치예요.

• 스프링 애플리케이션 어드바이저가 CI/CD 파이프라인과 붙는 것도 이 맥락에서 중요해요. 버전 진단만 해주는 도구라면 보고서에서 끝나기 쉬운데, 개발 파이프라인에 요청을 만들고 소스 수정과 테스트 반영까지 이어지면 업그레이드가 반복 가능한 운영 프로세스가 돼요.

• 금융권 사례가 먼저 언급된 이유도 명확해요. 금융 시스템은 보안 감사와 규제 대응 압박이 크고, 동시에 레거시 호환성 때문에 전면 업그레이드가 쉽지 않아요. 당장 패치를 받으면서 로드맵을 세우는 방식이 현실적인 타협점이 되는 거죠.

• 개발팀 입장에서는 지금 해야 할 일이 버전 목록 파악이에요. 어떤 서비스가 스프링 부트 2.7.x나 스프링 프레임워크 5.3.x에 남아 있는지, 어떤 런타임과 의존성 때문에 업그레이드가 막히는지 알아야 패치 구독이든 직접 업그레이드든 판단할 수 있어요.