엘에스웨어, 포세라 위드 블랙덕에 서버·AI 모델 공급망 점검 강화

• 엘에스웨어가 포세라 위드 블랙덕을 업데이트하면서 공급망 보안 범위를 꽤 넓혔음

  • 포세라 위드 블랙덕은 오픈소스 구성요소, 라이선스, 보안 취약점 정보를 통합 관리하는 솔루션임
  • 글로벌 SCA 도구인 블랙덕과 연동해 프로젝트 단위 점검부터 조직·사업 단위 오픈소스 거버넌스까지 지원함
  • 이번 업데이트의 방향은 “개발할 때 한 번 스캔”이 아니라 “운영 중인 구성요소까지 계속 본다”에 가까움

• 배경에는 에스비오엠 제출 의무화 흐름이 있음

  • 미국 행정명령 EO 14028, 유럽연합 사이버복원력법 같은 규제 흐름이 국내 공공·금융권으로 빠르게 확산되는 중
  • 기업 입장에서는 어떤 소프트웨어 구성요소를 쓰는지, 취약점이 어디 있는지, 고객이나 규제기관에 설명할 수 있어야 함
  • 외부 AI 모델과 학습 데이터도 공급망 점검의 사각지대로 떠오르고 있다는 게 회사 측 설명임

• 가장 큰 변화는 점검 대상이 소스코드와 바이너리에서 운영 서버까지 확장됐다는 것임

  • 서버에서 실제 운영 중인 소프트웨어 구성요소를 에스비오엠 단위로 추출하고 정밀 분석하는 기능이 추가됨
  • 서버 에이전트 기반 상시 점검 체계로 운영 단계에서 생기는 잠재 취약점도 실시간 식별·대응할 수 있다고 설명함
  • 빌드·배포 시점만 보는 방식보다 제로트러스트 보안 원칙에 더 가까운 접근임

• 생성형 AI 확산에 맞춰 AI 모델 반입 기능도 들어갔음

  • 외부 AI 모델과 관련 자산을 안전하게 들여오는 첫 단계 기능으로 소개됨
  • 향후 AI 모델 자체에 대한 취약점 점검 기능까지 단계적으로 확대할 예정임
  • 기업이 외부 모델을 가져다 쓸 때 생기는 새로운 공급망 리스크를 제품 기능으로 흡수하려는 흐름임

• 취약점 우선순위 산정도 좀 더 실무형으로 바뀜

  • 기존에는 심각도 기반 CVSS 점수가 대표 기준이었다면, 이번에는 EPSS와 KEV 지표가 추가됨
  • EPSS는 실제 공격 발생 가능성을 정량적으로 예측하는 지표임
  • KEV는 미국 CISA가 실제 악용 사례 기반으로 관리하는 취약점 목록임
  • 세 지표를 종합해 우선 조치 대상을 자동 식별·제공한다는 게 업데이트 내용임

• 국내 실무자를 위한 한글화와 규제 대응 기능도 포함됨

  • 오픈소스 라이선스 전문, 허용 범위, 취약점 상세 정보가 한글로 제공됨
  • 에스비오엠 출력 표준인 SPDX와 CycloneDX 지원 버전 범위도 확대됨
  • 블랙덕 엔진에서 선택한 정책에 따라 조직 보안 정책과 오픈소스 사용 기준을 반영한 맞춤형 에스비오엠 출력도 가능해짐

• 폐쇄망과 엔터프라이즈 환경도 타깃으로 잡고 있음

  • 외부 인터넷이 차단된 폐쇄망 환경에서의 구축 방안을 정교화했다고 밝힘
  • 대규모 트래픽과 다중 프로젝트가 공존하는 환경의 안정성도 보강함
  • 신한금융그룹, 우리은행, 현대캐피탈 같은 금융권 운영 경험을 기반으로 단일 콘솔 관리 환경을 강조함

---

기술 맥락

• 이 업데이트의 기술적 선택은 에스비오엠을 개발 단계 문서가 아니라 운영 가시성의 기준으로 쓰겠다는 쪽이에요. 소스코드와 바이너리만 보면 실제 서버에 남아 있는 구성요소나 운영 중 바뀐 요소를 놓칠 수 있거든요.

• 서버 에이전트 기반 상시 점검은 이런 공백을 줄이기 위한 방식이에요. 운영 서버에서 실제 구성요소를 추출해 분석하면, 빌드 시점의 목록과 운영 현실이 어긋나는 문제를 더 빨리 잡을 수 있어요.

• CVSS만으로 취약점 우선순위를 정하기 어려운 이유도 분명해요. 점수가 높아도 실제 악용 가능성이 낮을 수 있고, 반대로 이미 공격에 쓰이는 취약점은 점수보다 대응 속도가 더 중요하거든요. 그래서 EPSS와 KEV를 같이 보는 흐름이 자연스러워요.

• AI 모델 반입 기능은 아직 초기 단계로 보이지만 방향은 명확해요. 기업이 외부 모델을 가져다 쓰는 순간 모델 파일, 관련 자산, 학습 데이터까지 공급망의 일부가 되기 때문에 기존 오픈소스 관리 체계 안으로 끌어들이려는 거예요.