--- title: "엘에스웨어, 포세라 위드 블랙덕에 서버·AI 모델 공급망 점검 강화" published: 2026-05-27T06:05:03.693Z canonical: https://jeff.news/article/3289 --- # 엘에스웨어, 포세라 위드 블랙덕에 서버·AI 모델 공급망 점검 강화 엘에스웨어가 오픈소스 통합 관리 솔루션 포세라 위드 블랙덕을 업데이트했어. 소스코드와 바이너리 중심 점검을 넘어 운영 서버 구성요소, AI 모델 반입, 취약점 우선순위 산정, 맞춤형 에스비오엠 출력까지 공급망 보안 범위를 넓힌 게 핵심이야. - 엘에스웨어가 포세라 위드 블랙덕을 업데이트하면서 공급망 보안 범위를 꽤 넓혔음 - 포세라 위드 블랙덕은 오픈소스 구성요소, 라이선스, 보안 취약점 정보를 통합 관리하는 솔루션임 - 글로벌 SCA 도구인 블랙덕과 연동해 프로젝트 단위 점검부터 조직·사업 단위 오픈소스 거버넌스까지 지원함 - 이번 업데이트의 방향은 “개발할 때 한 번 스캔”이 아니라 “운영 중인 구성요소까지 계속 본다”에 가까움 - 배경에는 에스비오엠 제출 의무화 흐름이 있음 - 미국 행정명령 EO 14028, 유럽연합 사이버복원력법 같은 규제 흐름이 국내 공공·금융권으로 빠르게 확산되는 중 - 기업 입장에서는 어떤 소프트웨어 구성요소를 쓰는지, 취약점이 어디 있는지, 고객이나 규제기관에 설명할 수 있어야 함 - 외부 AI 모델과 학습 데이터도 공급망 점검의 사각지대로 떠오르고 있다는 게 회사 측 설명임 - 가장 큰 변화는 점검 대상이 소스코드와 바이너리에서 운영 서버까지 확장됐다는 것임 - 서버에서 실제 운영 중인 소프트웨어 구성요소를 에스비오엠 단위로 추출하고 정밀 분석하는 기능이 추가됨 - 서버 에이전트 기반 상시 점검 체계로 운영 단계에서 생기는 잠재 취약점도 실시간 식별·대응할 수 있다고 설명함 - 빌드·배포 시점만 보는 방식보다 제로트러스트 보안 원칙에 더 가까운 접근임 > [!IMPORTANT] > 이 업데이트의 핵심은 “무엇을 배포했는가”에서 끝나지 않고 “운영 중인 서버에 실제로 무엇이 돌고 있는가”까지 보겠다는 점임. - 생성형 AI 확산에 맞춰 AI 모델 반입 기능도 들어갔음 - 외부 AI 모델과 관련 자산을 안전하게 들여오는 첫 단계 기능으로 소개됨 - 향후 AI 모델 자체에 대한 취약점 점검 기능까지 단계적으로 확대할 예정임 - 기업이 외부 모델을 가져다 쓸 때 생기는 새로운 공급망 리스크를 제품 기능으로 흡수하려는 흐름임 - 취약점 우선순위 산정도 좀 더 실무형으로 바뀜 - 기존에는 심각도 기반 CVSS 점수가 대표 기준이었다면, 이번에는 EPSS와 KEV 지표가 추가됨 - EPSS는 실제 공격 발생 가능성을 정량적으로 예측하는 지표임 - KEV는 미국 CISA가 실제 악용 사례 기반으로 관리하는 취약점 목록임 - 세 지표를 종합해 우선 조치 대상을 자동 식별·제공한다는 게 업데이트 내용임 - 국내 실무자를 위한 한글화와 규제 대응 기능도 포함됨 - 오픈소스 라이선스 전문, 허용 범위, 취약점 상세 정보가 한글로 제공됨 - 에스비오엠 출력 표준인 SPDX와 CycloneDX 지원 버전 범위도 확대됨 - 블랙덕 엔진에서 선택한 정책에 따라 조직 보안 정책과 오픈소스 사용 기준을 반영한 맞춤형 에스비오엠 출력도 가능해짐 - 폐쇄망과 엔터프라이즈 환경도 타깃으로 잡고 있음 - 외부 인터넷이 차단된 폐쇄망 환경에서의 구축 방안을 정교화했다고 밝힘 - 대규모 트래픽과 다중 프로젝트가 공존하는 환경의 안정성도 보강함 - 신한금융그룹, 우리은행, 현대캐피탈 같은 금융권 운영 경험을 기반으로 단일 콘솔 관리 환경을 강조함 --- ## 기술 맥락 - 이 업데이트의 기술적 선택은 에스비오엠을 개발 단계 문서가 아니라 운영 가시성의 기준으로 쓰겠다는 쪽이에요. 소스코드와 바이너리만 보면 실제 서버에 남아 있는 구성요소나 운영 중 바뀐 요소를 놓칠 수 있거든요. - 서버 에이전트 기반 상시 점검은 이런 공백을 줄이기 위한 방식이에요. 운영 서버에서 실제 구성요소를 추출해 분석하면, 빌드 시점의 목록과 운영 현실이 어긋나는 문제를 더 빨리 잡을 수 있어요. - CVSS만으로 취약점 우선순위를 정하기 어려운 이유도 분명해요. 점수가 높아도 실제 악용 가능성이 낮을 수 있고, 반대로 이미 공격에 쓰이는 취약점은 점수보다 대응 속도가 더 중요하거든요. 그래서 EPSS와 KEV를 같이 보는 흐름이 자연스러워요. - AI 모델 반입 기능은 아직 초기 단계로 보이지만 방향은 명확해요. 기업이 외부 모델을 가져다 쓰는 순간 모델 파일, 관련 자산, 학습 데이터까지 공급망의 일부가 되기 때문에 기존 오픈소스 관리 체계 안으로 끌어들이려는 거예요. ## 핵심 포인트 - 서버에서 운영 중인 소프트웨어 구성요소를 에스비오엠 단위로 추출하고 분석하는 기능이 추가됐음 - 외부 AI 모델과 관련 자산을 안전하게 반입하는 기능이 들어갔고, 향후 AI 모델 취약점 점검으로 확대될 예정임 - 취약점 대응 기준에 기존 시브이에스에스뿐 아니라 이피에스에스와 케이이브이를 함께 반영함 - 에스피디엑스와 사이클론디엑스 지원 범위가 넓어지고 조직 정책 기반 맞춤형 에스비오엠 출력이 가능해졌음 ## 인사이트 국내 공공·금융권에서 에스비오엠 요구가 현실 업무로 내려오고 있다는 흐름이 보이는 기사야. 단순 취약점 스캔을 넘어 운영 서버와 AI 모델까지 자산으로 잡겠다는 방향이라, 보안팀뿐 아니라 플랫폼팀도 신경 써야 할 얘기야.