LG전자 오픈소스 도구 ‘포스라이트’, 프로젝트별 취약점·SBOM 관리까지 지원

• LG전자가 만든 오픈소스 관리 시스템 ‘포스라이트(FOSSLight)’가 공급망 보안 워크숍에서 소개됨

  • 발표자는 김경애 LG전자 연구위원
  • 장소는 2026년 공급망보안 워크숍 튜토리얼 세션
  • 주제는 포스라이트로 프로젝트별 보안 취약점과 해결 여부를 관리하는 방법

• 포스라이트는 LG전자가 내부에서 쓰던 오픈소스 관리 통합 시스템임

  • 2021년에 누구나 쓸 수 있도록 오픈소스로 공개됨
  • 구성은 크게 포스라이트 허브와 포스라이트 스캐너로 나뉨
  • 오픈소스 준수, 보안 취약점, 공급망, SBOM 관리를 한 시스템에서 다루는 쪽

• 포스라이트 스캐너는 프로젝트 안의 오픈소스를 찾아 분석 보고서를 만들어줌

  • 오픈소스 이름과 버전을 입력하는 방식으로 분석 보고서 생성 가능
  • 의존성(Dependency), 소스코드, 바이너리 분석 결과를 제공
  • 오픈소스 이름, 버전, 라이선스를 검출함

• 포인트는 직접 의존성만 보는 게 아니라 전이적 종속성까지 본다는 것임

  • 전이적 종속성(Transitive Dependency)은 내가 직접 넣은 라이브러리가 다시 끌고 들어온 하위 라이브러리들
  • 포스라이트 스캐너는 이 구조를 트리 형태로 시각화해 보여줌
  • 실제 보안 사고는 이런 간접 의존성에서 터지는 경우가 많아서, 그냥 패키지 목록만 보는 것보다 훨씬 실무적임

• 포스라이트 허브는 분석 결과를 모아 취약점과 SBOM을 관리하는 중심 시스템에 가까움

  • 스캐너 결과를 허브에 업로드해 보안 취약점 조회와 관리 가능
  • 취약점 변경 사항이 생기면 관리자와 프로젝트 담당자에게 메일 알림 제공
  • 특정 오픈소스 버전을 사용하는 프로젝트를 조회할 수 있음
  • 타사에서 전달받은 소프트웨어별 SBOM도 관리 가능

• 자동으로 쌓이는 데이터베이스도 장점으로 언급됨

  • 포스라이트 바이너리 스캐너 데이터베이스를 자동 축적
  • 반복 스캔과 조직 내 프로젝트 관리가 많아질수록 분석 자산이 쌓이는 구조

• 도입 장벽은 낮은 편이라고 설명됨

  • 파이썬 공식 소프트웨어 저장소(PyPI) 패키지 형태로 제공됨
  • 현장 시스템과 연동하거나 커스터마이징하는 것도 어렵지 않다는 설명
  • 이미 오픈소스 관리 체계가 어설픈 조직이라면, 무거운 상용 솔루션 전에 검토해볼 만한 선택지임

---

기술 맥락

• 포스라이트가 의미 있는 이유는 공급망 보안을 “문서 제출”이 아니라 “프로젝트 단위 운영”으로 다루기 때문이에요. SBOM을 한 번 만들어 끝내는 게 아니라, 취약점이 바뀔 때 누가 영향을 받는지 계속 추적해야 하거든요.

• 스캐너와 허브를 나눈 구조도 실무 흐름에 맞아요. 스캐너는 코드와 바이너리에서 오픈소스 정보를 찾아내고, 허브는 그 결과를 모아 프로젝트, 취약점, 담당자, SBOM 관리를 이어가는 역할이에요.

• 전이적 종속성을 트리로 보여주는 기능은 꽤 중요해요. 개발자가 직접 설치한 패키지는 기억해도, 그 패키지가 끌고 온 하위 라이브러리까지 손으로 관리하긴 어렵거든요.

• PyPI 패키지로 제공된다는 점도 현실적인 장점이에요. 공급망 보안 도구는 도입이 무거우면 현장에서 밀리기 쉬운데, 빠르게 붙여보고 조직 환경에 맞게 커스터마이징할 수 있어야 실제 운영으로 이어져요.