쿤텍 이지즈 3.0, 소프트웨어 공급망 보안에 AI-BOM까지 붙였다

• 쿤텍이 공급망 보안 플랫폼 ‘이지즈(AEZIZ) 3.0’을 출시함

  • 기존 오픈소스 관리 중심에서 소프트웨어 개발 전 과정(SDLC)의 공급망 리스크 관리로 범위를 넓혔음
  • 이번 버전의 큰 변화는 SBOM뿐 아니라 AI-BOM까지 포함했다는 점임

• 이지즈 3.0은 흩어져 있던 공급망 보안 기능을 단일 플랫폼으로 묶는 방향임

  • 오픈소스 관리(SCA), 공급망 관리(SCM), 저장소 관리(RMS), 바이너리 분석을 통합함
  • 취약점, 라이선스, 코드 서명 검증, 바이너리 분석, SBOM 비교 분석 같은 기능을 제공함
  • 프로젝트별 보안 현황과 조치 상태는 통합 대시보드에서 시각적으로 확인할 수 있음

• SBOM 기반 관리는 이제 선택 기능이 아니라 규제 대응과 감사의 기본값에 가까워지고 있음

  • 소프트웨어 자재명세서(SBOM, Software Bill of Materials)는 어떤 컴포넌트가 들어 있는지 추적하는 목록임
  • 이지즈 3.0은 SBOM을 통해 구성 요소별 취약점과 라이선스 정보를 체계적으로 관리한다고 설명함
  • 소프트웨어 공급망이 복잡해지면서 단일 보안 솔루션만으로 전체 리스크를 보기 어려워진 상황을 겨냥함

• 새로 추가된 AI-BOM은 AI 모델 공급망 보안을 겨냥함

  • AI 모델을 구성하는 데이터, 라이브러리, 모델 구조의 출처와 변경 이력을 관리하는 기능임
  • AI 도입이 늘면서 모델 자체도 “어디서 왔고, 뭘 기반으로 바뀌었는지” 추적해야 하는 대상이 됐다는 얘기임
  • MLOps 환경에서 모델 버전과 의존성, 데이터 변경 이력이 흐려지면 보안 사고나 규제 대응 때 추적이 꽤 골치 아파짐

• 쿤텍은 금융, 공공, 국방 분야 레퍼런스를 강조함

  • 공급망 보안 요구가 강한 산업군에서 실제 운영 환경 검증 경험을 확보했다는 설명임
  • 특히 금융권 중심의 레퍼런스를 기반으로 국내 공급망 보안 시장 입지를 강화하려는 전략임

• 앞으로는 자동화와 AI 모델 신뢰성 검증 쪽을 더 키울 계획임

  • SBOM 및 AI-BOM 자동화 기능 고도화
  • AI 모델 신뢰성 검증 기능 확대
  • 글로벌 공급망 보안 규제 대응 기능 강화
  • 클라우드와 MLOps 환경 연계 확대가 로드맵에 포함됨

---

기술 맥락

• 이 기사에서 중요한 선택은 보안 대상을 “소스코드와 오픈소스 패키지”에서 “AI 모델 구성 요소”까지 넓힌 거예요. AI 서비스를 운영하면 모델 파일만 있는 게 아니라 데이터, 학습 코드, 라이브러리, 파이프라인이 같이 움직이기 때문이에요.

• SBOM은 소프트웨어에 뭐가 들어갔는지 설명하는 기본 장부예요. 취약점이 터졌을 때 우리 서비스가 영향을 받는지 바로 찾으려면 의존성 목록과 버전, 라이선스 정보가 구조화돼 있어야 하거든요.

• AI-BOM은 같은 문제를 AI 모델로 가져온 접근이에요. 어떤 데이터와 라이브러리로 모델이 만들어졌는지, 모델 구조가 언제 바뀌었는지 모르면 장애나 보안 이슈가 생겼을 때 원인을 역추적하기 어려워요.

• 금융, 공공, 국방처럼 감사와 규제가 강한 조직에서는 이런 추적성이 특히 중요해요. 개발 편의보다 “나중에 설명 가능한가”가 더 큰 요구사항이 되는 경우가 많아서, 공급망 보안 플랫폼이 SDLC와 MLOps까지 붙으려는 흐름이 자연스러워요.