본문으로 건너뛰기
피드

엘에스웨어, 포세라 위드 블랙덕에 서버·AI 모델 공급망 점검 강화

security 약 6분
vote
0
댓글
북마크

엘에스웨어가 오픈소스 통합 관리 솔루션 포세라 위드 블랙덕을 업데이트했어. 소스코드와 바이너리 중심 점검을 넘어 운영 서버 구성요소, AI 모델 반입, 취약점 우선순위 산정, 맞춤형 에스비오엠 출력까지 공급망 보안 범위를 넓힌 게 핵심이야.

  • 1

    서버에서 운영 중인 소프트웨어 구성요소를 에스비오엠 단위로 추출하고 분석하는 기능이 추가됐음

  • 2

    외부 AI 모델과 관련 자산을 안전하게 반입하는 기능이 들어갔고, 향후 AI 모델 취약점 점검으로 확대될 예정임

  • 3

    취약점 대응 기준에 기존 시브이에스에스뿐 아니라 이피에스에스와 케이이브이를 함께 반영함

  • 4

    에스피디엑스와 사이클론디엑스 지원 범위가 넓어지고 조직 정책 기반 맞춤형 에스비오엠 출력이 가능해졌음

  • 엘에스웨어가 포세라 위드 블랙덕을 업데이트하면서 공급망 보안 범위를 꽤 넓혔음

    • 포세라 위드 블랙덕은 오픈소스 구성요소, 라이선스, 보안 취약점 정보를 통합 관리하는 솔루션임
    • 글로벌 SCA 도구인 블랙덕과 연동해 프로젝트 단위 점검부터 조직·사업 단위 오픈소스 거버넌스까지 지원함
    • 이번 업데이트의 방향은 “개발할 때 한 번 스캔”이 아니라 “운영 중인 구성요소까지 계속 본다”에 가까움
  • 배경에는 에스비오엠 제출 의무화 흐름이 있음

    • 미국 행정명령 EO 14028, 유럽연합 사이버복원력법 같은 규제 흐름이 국내 공공·금융권으로 빠르게 확산되는 중
    • 기업 입장에서는 어떤 소프트웨어 구성요소를 쓰는지, 취약점이 어디 있는지, 고객이나 규제기관에 설명할 수 있어야 함
    • 외부 AI 모델과 학습 데이터도 공급망 점검의 사각지대로 떠오르고 있다는 게 회사 측 설명임
  • 가장 큰 변화는 점검 대상이 소스코드와 바이너리에서 운영 서버까지 확장됐다는 것임

    • 서버에서 실제 운영 중인 소프트웨어 구성요소를 에스비오엠 단위로 추출하고 정밀 분석하는 기능이 추가됨
    • 서버 에이전트 기반 상시 점검 체계로 운영 단계에서 생기는 잠재 취약점도 실시간 식별·대응할 수 있다고 설명함
    • 빌드·배포 시점만 보는 방식보다 제로트러스트 보안 원칙에 더 가까운 접근임

중요

> 이 업데이트의 핵심은 “무엇을 배포했는가”에서 끝나지 않고 “운영 중인 서버에 실제로 무엇이 돌고 있는가”까지 보겠다는 점임.

  • 생성형 AI 확산에 맞춰 AI 모델 반입 기능도 들어갔음

    • 외부 AI 모델과 관련 자산을 안전하게 들여오는 첫 단계 기능으로 소개됨
    • 향후 AI 모델 자체에 대한 취약점 점검 기능까지 단계적으로 확대할 예정임
    • 기업이 외부 모델을 가져다 쓸 때 생기는 새로운 공급망 리스크를 제품 기능으로 흡수하려는 흐름임
  • 취약점 우선순위 산정도 좀 더 실무형으로 바뀜

    • 기존에는 심각도 기반 CVSS 점수가 대표 기준이었다면, 이번에는 EPSS와 KEV 지표가 추가됨
    • EPSS는 실제 공격 발생 가능성을 정량적으로 예측하는 지표임
    • KEV는 미국 CISA가 실제 악용 사례 기반으로 관리하는 취약점 목록임
    • 세 지표를 종합해 우선 조치 대상을 자동 식별·제공한다는 게 업데이트 내용임
  • 국내 실무자를 위한 한글화와 규제 대응 기능도 포함됨

    • 오픈소스 라이선스 전문, 허용 범위, 취약점 상세 정보가 한글로 제공됨
    • 에스비오엠 출력 표준인 SPDX와 CycloneDX 지원 버전 범위도 확대됨
    • 블랙덕 엔진에서 선택한 정책에 따라 조직 보안 정책과 오픈소스 사용 기준을 반영한 맞춤형 에스비오엠 출력도 가능해짐
  • 폐쇄망과 엔터프라이즈 환경도 타깃으로 잡고 있음

    • 외부 인터넷이 차단된 폐쇄망 환경에서의 구축 방안을 정교화했다고 밝힘
    • 대규모 트래픽과 다중 프로젝트가 공존하는 환경의 안정성도 보강함
    • 신한금융그룹, 우리은행, 현대캐피탈 같은 금융권 운영 경험을 기반으로 단일 콘솔 관리 환경을 강조함

기술 맥락

  • 이 업데이트의 기술적 선택은 에스비오엠을 개발 단계 문서가 아니라 운영 가시성의 기준으로 쓰겠다는 쪽이에요. 소스코드와 바이너리만 보면 실제 서버에 남아 있는 구성요소나 운영 중 바뀐 요소를 놓칠 수 있거든요.

  • 서버 에이전트 기반 상시 점검은 이런 공백을 줄이기 위한 방식이에요. 운영 서버에서 실제 구성요소를 추출해 분석하면, 빌드 시점의 목록과 운영 현실이 어긋나는 문제를 더 빨리 잡을 수 있어요.

  • CVSS만으로 취약점 우선순위를 정하기 어려운 이유도 분명해요. 점수가 높아도 실제 악용 가능성이 낮을 수 있고, 반대로 이미 공격에 쓰이는 취약점은 점수보다 대응 속도가 더 중요하거든요. 그래서 EPSS와 KEV를 같이 보는 흐름이 자연스러워요.

  • AI 모델 반입 기능은 아직 초기 단계로 보이지만 방향은 명확해요. 기업이 외부 모델을 가져다 쓰는 순간 모델 파일, 관련 자산, 학습 데이터까지 공급망의 일부가 되기 때문에 기존 오픈소스 관리 체계 안으로 끌어들이려는 거예요.

국내 공공·금융권에서 에스비오엠 요구가 현실 업무로 내려오고 있다는 흐름이 보이는 기사야. 단순 취약점 스캔을 넘어 운영 서버와 AI 모델까지 자산으로 잡겠다는 방향이라, 보안팀뿐 아니라 플랫폼팀도 신경 써야 할 얘기야.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.