쿤텍, SBOM과 AI-BOM 묶은 공급망 보안 플랫폼 ‘이지즈 3.0’ 출시

• 쿤텍이 공급망 보안 플랫폼 ‘이지즈(AEZIZ) 3.0’을 출시함

  • 기존 오픈소스 관리 중심에서 소프트웨어 개발 전 과정(SDLC)의 공급망 리스크를 관리하는 플랫폼으로 확장했다는 설명
  • 소프트웨어 공급망뿐 아니라 AI 모델 구성 요소까지 함께 관리하는 게 이번 버전의 핵심임

• 이지즈 3.0은 흩어져 있던 공급망 보안 기능을 하나로 묶는 방향으로 진화함

  • 오픈소스 관리(SCA), 레파지토리 관리(RMS), 바이너리 분석 기능을 단일 플랫폼에서 제공
  • 코드 서명 검증, 바이너리 분석, SBOM 비교 분석 같은 기능도 포함됨
  • 개별 솔루션 여러 개를 붙여 쓰던 보안 업무를 한 화면에서 보게 만들겠다는 접근임

• 배경은 명확함. 소프트웨어 공급망이 너무 복잡해졌고, 공격도 늘었음

  • 단일 보안 솔루션만으로 전체 리스크를 보기 어려워짐
  • 그래서 소프트웨어 자재명세서(SBOM) 기반으로 구성 요소와 취약점, 라이선스 정보를 추적하는 필요성이 커짐
  • 글로벌 규제 환경에서도 공급망 가시성은 점점 필수 체크리스트가 되는 중

• AI-BOM 기능도 새로 들어감

  • AI 모델을 구성하는 데이터, 라이브러리, 모델 구조의 출처와 변경 이력을 관리할 수 있게 하는 기능
  • AI 도입이 늘면서 모델 자체의 공급망 리스크도 관리해야 한다는 흐름을 반영함
  • 특히 모델 학습·배포·운영 과정에서 어떤 구성 요소가 들어갔는지 추적할 수 있어야 사고 대응이 가능해짐

• 이용자 입장에서는 통합 대시보드와 포맷 지원이 실무 포인트임

  • 프로젝트별 보안 현황과 조치 상태를 한눈에 확인할 수 있다고 설명됨
  • 다양한 아카이브와 바이너리 포맷을 지원해 실제 기업 운영 환경에 맞추겠다는 방향
  • 금융, 공공, 국방처럼 규제와 감사가 빡센 곳에서는 이런 증적 관리가 꽤 중요함

• 쿤텍은 금융권 중심의 운영 레퍼런스를 바탕으로 국내 공급망 보안 시장에서 입지를 넓히려는 분위기임

  • 앞으로 SBOM·AI-BOM 자동화 고도화, AI 모델 신뢰성 검증 확대, 글로벌 규제 대응, 클라우드와 MLOps 연계 강화를 추진할 계획
  • 개발팀 입장에서는 보안 솔루션 도입 뉴스로 끝나는 게 아니라 빌드 파이프라인, 레포지토리 정책, 모델 운영 정책까지 영향을 받을 수 있음

---

기술 맥락

• SBOM이 필요한 이유는 장애나 취약점이 터졌을 때 “우리 서비스도 영향받나”를 빨리 알아야 하기 때문이에요. 라이브러리 목록과 버전, 라이선스가 정리돼 있지 않으면 보안팀과 개발팀이 레포를 뒤지느라 시간을 다 쓰게 되거든요.

• 이지즈 3.0이 SCA, 레파지토리 관리, 바이너리 분석을 묶는 것도 같은 맥락이에요. 소스 코드만 봐서는 실제 배포된 바이너리에 뭐가 들어갔는지 놓칠 수 있고, 레포지토리 정책과 빌드 산출물까지 같이 봐야 공급망 리스크를 줄일 수 있어요.

• AI-BOM은 AI 도입이 늘면서 새로 커지는 영역이에요. 모델이 어떤 데이터와 라이브러리, 구조를 거쳐 만들어졌는지 남겨야 나중에 취약점, 저작권, 신뢰성 문제가 생겼을 때 추적할 수 있거든요.

• 특히 금융, 공공, 국방 같은 산업에서는 “대충 안전하다”가 통하지 않아요. 어떤 구성 요소가 들어갔고, 언제 바뀌었고, 어떤 조치를 했는지 증적을 남겨야 하니 개발 파이프라인과 보안 플랫폼의 연결이 점점 중요해져요.