--- title: "IBM·레드햇, 7조 원 들여 AI로 오픈소스 취약점 잡는다" published: 2026-05-29T02:05:02.747Z canonical: https://jeff.news/article/3433 --- # IBM·레드햇, 7조 원 들여 AI로 오픈소스 취약점 잡는다 IBM과 레드햇이 50억 달러, 약 6조8000억 원을 투입해 오픈소스 보안 공급망 프로젝트 라이트웰을 시작한다. AI 자동화와 2만 명 이상 엔지니어 조직을 결합해 취약점 분석, 검증, 패치 개발, 업스트림 공유까지 맡겠다는 구상이다. - IBM과 레드햇이 오픈소스 보안을 위해 50억 달러를 투입함 - 원화로 약 6조8000억 원 규모 - 프로젝트 이름은 라이트웰(Project Lightwell) - 목표는 기업용 오픈소스 보안 공급망을 만드는 것임 - 핵심은 “취약점 클리어링하우스”를 만들겠다는 구상임 - 기업이 운영 중인 오픈소스 코드에서 취약점을 발견하면 IBM과 레드햇에 공유함 - 양사는 취약점을 분석하고, 검증하고, 패치를 개발해 기업의 기존 소프트웨어 공급망에 적용할 수 있게 지원함 - 패치 내용은 다시 오픈소스 커뮤니티에 업스트림으로 공유돼 생태계 전체 보안 수준을 올리는 흐름을 노림 - 왜 지금 이게 필요하냐면, 오픈소스는 이미 너무 커졌고 유지보수 인력은 너무 적기 때문임 - 포춘 500대 기업의 90% 이상이 오픈소스 소프트웨어를 활용함 - 생성형 AI 때문에 취약점 탐지와 악용 속도도 같이 빨라지고 있음 - 반대로 오픈소스 커뮤니티는 전문 엔지니어 부족 때문에 새 취약점에 빠르게 대응하기 어려운 구조적 한계가 있음 > [!WARNING] > 공격자는 AI로 취약점을 더 빨리 찾고 악용할 수 있는데, 방어 쪽 오픈소스 유지보수자는 여전히 소수인 경우가 많음. 이 비대칭이 프로젝트 라이트웰의 출발점임. - IBM과 레드햇은 AI만 던져놓는 게 아니라 사람도 크게 붙임 - 2만 명 이상 글로벌 엔지니어 조직을 결합한다고 밝힘 - 이들은 오픈소스 유지보수, AI 기반 취약점 리뷰, 의존성 강화, 보안 패치 개발까지 담당함 - 요즘 기술 기업들이 AI 효율화만 말하는 분위기에서 엔지니어링 인력을 핵심 경쟁력으로 보겠다는 점도 강조함 - 초기 고객군이 꽤 빡셈 - 뱅크오브아메리카, BNY, 씨티, 골드만삭스, JP모건체이스, 마스터카드, 모건스탠리, 캐나다왕립은행, 스테이트스트리트, 비자, 웰스파고 등이 참여함 - 금융권은 오픈소스 의존도는 높지만 보안 검증 요구도 매우 강한 업종이라 테스트베드로 의미가 큼 - 실제 운영 환경에서 취약점 탐지, 검증, 패치 적용 과정을 함께 테스트 중임 - IBM의 내부 경험도 프로젝트의 근거로 제시됨 - IBM은 현재 6만2000개 이상 오픈소스 패키지를 사용 중이라고 밝힘 - 이 중 1만 개 이상에 대한 기술 전문성을 확보하고 있다고 설명함 - 리눅스, 자바, 쿠버네티스, 카프카, 앤서블, 테라폼 등 주요 오픈소스 기술 전반으로 지원 범위를 넓힐 계획임 - 이건 기업 입장에서는 보안 검증 부담을 외부 전문 계층에 맡기는 모델에 가까움 - 각 회사가 모든 오픈소스 의존성을 직접 분석하고 패치하기는 현실적으로 어렵기 때문임 - 특히 금융, 공공, 핵심 인프라처럼 보안 책임이 큰 조직은 검증된 패치를 공급받는 구조가 꽤 매력적일 수 있음 - 다만 오픈소스 생태계가 특정 대기업의 보안 게이트웨이에 더 의존하게 되는 그림도 같이 생김 ```mermaid sequenceDiagram participant 기업고객 participant 라이트웰 participant AI분석 participant 엔지니어 participant 오픈소스커뮤니티 기업고객->>라이트웰: 취약점 정보와 코드 공유 라이트웰->>AI분석: 대규모 취약점 탐지 요청 AI분석->>엔지니어: 의심 결과 전달 엔지니어->>라이트웰: 검증된 패치 개발 라이트웰->>기업고객: 패치 공급 엔지니어->>오픈소스커뮤니티: 업스트림 공유 ``` --- ## 기술 맥락 - 프로젝트 라이트웰의 기술적 선택은 오픈소스 보안을 개별 기업의 숙제로 두지 않고 공통 검증 계층으로 모으는 거예요. 의존성이 너무 많아져서 각 회사가 혼자 다 감당하기 어렵기 때문이에요. - AI를 쓰는 이유는 취약점 후보를 대규모로 찾고 분류하는 속도 때문이에요. 하지만 기사에서 2만 명 이상 엔지니어를 강조한 건, 보안 패치는 자동 탐지만으로 끝나지 않고 사람이 검증해야 실제 운영에 넣을 수 있기 때문이에요. - 업스트림 공유가 중요한 건 같은 취약점을 회사마다 따로 고치는 낭비를 줄이기 위해서예요. 패치가 원본 오픈소스 프로젝트로 돌아가면 특정 고객뿐 아니라 전체 생태계가 같이 이득을 봐요. - 금융권이 초기 고객으로 붙은 것도 의미가 있어요. 은행과 카드사는 오픈소스를 많이 쓰면서도 규제와 보안 요구가 강해서, 검증된 패치 공급망이 실제 비용 절감과 리스크 완화로 연결될 수 있거든요. ## 핵심 포인트 - 프로젝트 라이트웰은 기업용 오픈소스 취약점을 대규모로 탐지·검증·패치하는 클리어링하우스를 목표로 함 - 포춘 500대 기업 90% 이상이 오픈소스를 쓰는 상황에서 생성형 AI로 공격 속도도 빨라지고 있음 - 금융권 주요 기업들이 초기 고객으로 참여해 실제 운영 환경에서 패치 흐름을 테스트 중임 ## 인사이트 오픈소스 보안은 이제 선의의 유지보수자 몇 명에게 기대기엔 너무 커졌다. IBM과 레드햇이 AI와 대규모 엔지니어 조직을 묶어 ‘기업용 보안 보증 계층’을 만들겠다는 건, 공급망 보안이 앞으로 유료 인프라 산업으로 더 굳어질 수 있다는 신호임.