아이비엠·레드햇, 오픈소스 공급망 보안에 50억 달러 베팅

• 아이비엠과 레드햇이 오픈소스 보안에 50억 달러를 꽂아 넣음

  • 이름은 ‘프로젝트 라이트웰’이고, 목표는 기업용 오픈소스 보안 체계를 새로 만드는 것
  • 전 세계 엔지니어 2만 명이 투입된다는 규모부터 꽤 세다

• 핵심은 오픈소스 취약점을 찾아서, 테스트하고, 고친 뒤, 기업 고객에게 검증된 패치로 전달하는 구조임

  • 대규모 오픈소스 코드에서 인공지능으로 취약점을 식별하고
  • 엔지니어들이 테스트와 수정 작업까지 맡는 식
  • 그냥 “취약점 찾았어요”가 아니라 “이 패치 믿고 적용해도 됨”까지 가려는 그림임

• 운영 모델은 ‘클리어링하우스’에 가까움

  • 기업 고객이 상업용 구독 서비스로 오픈소스 프레임워크 내 버그를 신고하고
  • 검증된 패치를 받아 자기 소프트웨어 공급망에 적용하는 방식
  • 보안 패치의 출처와 신뢰성을 돈 내고 보장받는 모델이라고 보면 됨

• 왜 지금이냐면, 인공지능이 공격자 쪽에도 무기가 되고 있기 때문임

  • 아이비엠은 인공지능 모델 발전으로 악의적 행위자가 취약점을 더 쉽게 찾고 악용할 수 있다고 봄
  • 방어 쪽도 인공지능과 대규모 엔지니어링을 붙이지 않으면 속도전에서 밀릴 수 있다는 판단임

• 초기 참여 기업 라인업도 꽤 노골적으로 금융권 중심임

  • 뱅크오브아메리카, 씨티, 골드만삭스, 모건스탠리, 비자, 웰스파고가 이미 협업에 들어감
  • 금융권은 오픈소스도 많이 쓰고, 사고 났을 때 비용도 크고, 감사 대응도 빡세서 이런 서비스 수요가 제일 먼저 생기기 좋음

• 아빈드 크리슈나 아이비엠 최고경영자는 오픈소스를 “디지털 경제의 중추이자 현대 인공지능의 기반”이라고 표현함

  • 말은 좀 거창하지만 포인트는 분명함
  • 오픈소스가 기업 인프라의 기본값이 된 이상, 보안도 커뮤니티 선의에만 기대기 어렵다는 얘기임

---

기술 맥락

• 여기서 중요한 선택은 오픈소스 보안을 개별 프로젝트 단위가 아니라 공급망 단위로 다루겠다는 거예요. 기업은 수백, 수천 개 의존성을 쓰는데, 취약점이 어느 라이브러리에서 들어왔는지 추적하고 패치 신뢰성을 확인하는 데 시간이 많이 들거든요.

• 아이비엠과 레드햇이 클리어링하우스 모델을 꺼낸 이유도 여기에 있어요. 단순히 취약점 데이터베이스를 보여주는 수준이면 기업이 알아서 판단해야 하지만, 검증된 패치까지 제공하면 실제 운영팀이 적용 결정을 훨씬 빨리 내릴 수 있어요.

• 인공지능은 대규모 코드 탐색을 빠르게 만드는 역할에 가깝고, 엔지니어 2만 명은 그 결과를 검증하고 수정하는 쪽이에요. 보안 취약점은 오탐도 많고 패치가 다른 동작을 깨뜨릴 수 있어서, 자동화만으로 끝내기 어렵거든요.

• 금융권 초기 참여가 의미 있는 건, 이 산업이 오픈소스 리스크를 가장 현실적인 비용으로 보기 때문이에요. 장애나 침해가 터지면 서비스 중단, 규제 대응, 고객 신뢰 손실이 한꺼번에 오니 검증된 공급망 보안에 돈을 낼 이유가 충분해요.