--- title: "아이비엠·레드햇, 오픈소스 공급망 보안에 50억 달러 베팅" published: 2026-05-28T22:05:02.747Z canonical: https://jeff.news/article/3370 --- # 아이비엠·레드햇, 오픈소스 공급망 보안에 50억 달러 베팅 아이비엠과 레드햇이 오픈소스 소프트웨어 공급망 보안을 강화하려고 50억 달러 규모의 ‘프로젝트 라이트웰’을 추진한다. 전 세계 엔지니어 2만 명이 인공지능을 활용해 대규모 오픈소스 코드의 취약점을 찾고, 기업 고객에게 검증된 패치를 제공하는 구조다. - 아이비엠과 레드햇이 오픈소스 보안에 50억 달러를 꽂아 넣음 - 이름은 ‘프로젝트 라이트웰’이고, 목표는 기업용 오픈소스 보안 체계를 새로 만드는 것 - 전 세계 엔지니어 2만 명이 투입된다는 규모부터 꽤 세다 - 핵심은 오픈소스 취약점을 찾아서, 테스트하고, 고친 뒤, 기업 고객에게 검증된 패치로 전달하는 구조임 - 대규모 오픈소스 코드에서 인공지능으로 취약점을 식별하고 - 엔지니어들이 테스트와 수정 작업까지 맡는 식 - 그냥 “취약점 찾았어요”가 아니라 “이 패치 믿고 적용해도 됨”까지 가려는 그림임 > [!IMPORTANT] > 아이비엠은 포천500 기업의 90% 이상이 오픈소스 소프트웨어에 크게 의존한다고 봄. 이제 오픈소스 보안은 개발팀 취향 문제가 아니라 기업 리스크 관리 문제에 가까움. - 운영 모델은 ‘클리어링하우스’에 가까움 - 기업 고객이 상업용 구독 서비스로 오픈소스 프레임워크 내 버그를 신고하고 - 검증된 패치를 받아 자기 소프트웨어 공급망에 적용하는 방식 - 보안 패치의 출처와 신뢰성을 돈 내고 보장받는 모델이라고 보면 됨 - 왜 지금이냐면, 인공지능이 공격자 쪽에도 무기가 되고 있기 때문임 - 아이비엠은 인공지능 모델 발전으로 악의적 행위자가 취약점을 더 쉽게 찾고 악용할 수 있다고 봄 - 방어 쪽도 인공지능과 대규모 엔지니어링을 붙이지 않으면 속도전에서 밀릴 수 있다는 판단임 - 초기 참여 기업 라인업도 꽤 노골적으로 금융권 중심임 - 뱅크오브아메리카, 씨티, 골드만삭스, 모건스탠리, 비자, 웰스파고가 이미 협업에 들어감 - 금융권은 오픈소스도 많이 쓰고, 사고 났을 때 비용도 크고, 감사 대응도 빡세서 이런 서비스 수요가 제일 먼저 생기기 좋음 - 아빈드 크리슈나 아이비엠 최고경영자는 오픈소스를 “디지털 경제의 중추이자 현대 인공지능의 기반”이라고 표현함 - 말은 좀 거창하지만 포인트는 분명함 - 오픈소스가 기업 인프라의 기본값이 된 이상, 보안도 커뮤니티 선의에만 기대기 어렵다는 얘기임 --- ## 기술 맥락 - 여기서 중요한 선택은 오픈소스 보안을 개별 프로젝트 단위가 아니라 공급망 단위로 다루겠다는 거예요. 기업은 수백, 수천 개 의존성을 쓰는데, 취약점이 어느 라이브러리에서 들어왔는지 추적하고 패치 신뢰성을 확인하는 데 시간이 많이 들거든요. - 아이비엠과 레드햇이 클리어링하우스 모델을 꺼낸 이유도 여기에 있어요. 단순히 취약점 데이터베이스를 보여주는 수준이면 기업이 알아서 판단해야 하지만, 검증된 패치까지 제공하면 실제 운영팀이 적용 결정을 훨씬 빨리 내릴 수 있어요. - 인공지능은 대규모 코드 탐색을 빠르게 만드는 역할에 가깝고, 엔지니어 2만 명은 그 결과를 검증하고 수정하는 쪽이에요. 보안 취약점은 오탐도 많고 패치가 다른 동작을 깨뜨릴 수 있어서, 자동화만으로 끝내기 어렵거든요. - 금융권 초기 참여가 의미 있는 건, 이 산업이 오픈소스 리스크를 가장 현실적인 비용으로 보기 때문이에요. 장애나 침해가 터지면 서비스 중단, 규제 대응, 고객 신뢰 손실이 한꺼번에 오니 검증된 공급망 보안에 돈을 낼 이유가 충분해요. ## 핵심 포인트 - 50억 달러와 엔지니어 2만 명을 투입해 오픈소스 보안 체계를 만든다 - 기업 고객은 버그 신고와 검증 패치를 상업용 구독 서비스로 받을 수 있다 - 포천500 기업 90% 이상이 오픈소스에 크게 의존한다는 점이 핵심 배경이다 - 뱅크오브아메리카, 씨티, 골드만삭스, 비자 등 금융권 초기 참여 기업이 이미 붙었다 ## 인사이트 오픈소스 보안이 더 이상 ‘선의의 커뮤니티가 알아서 고치는 영역’으로 남기 어렵다는 신호다. 특히 금융권처럼 규제와 리스크가 큰 산업부터 돈을 내고 검증된 패치를 받는 모델이 자리 잡을 가능성이 커 보인다.