--- title: "LG전자 오픈소스 도구 ‘포스라이트’, 프로젝트별 취약점·SBOM 관리까지 지원" published: 2026-06-24T06:05:03.470Z canonical: https://jeff.news/article/4310 --- # LG전자 오픈소스 도구 ‘포스라이트’, 프로젝트별 취약점·SBOM 관리까지 지원 LG전자가 공개한 오픈소스 관리 시스템 ‘포스라이트’가 공급망 보안 도구로 소개됐다. 오픈소스 이름·버전·라이선스뿐 아니라 전이적 종속성, 취약점 변경 알림, 타사 SBOM 관리까지 한 흐름에서 다룰 수 있다는 내용이다. - LG전자가 만든 오픈소스 관리 시스템 ‘포스라이트(FOSSLight)’가 공급망 보안 워크숍에서 소개됨 - 발표자는 김경애 LG전자 연구위원 - 장소는 2026년 공급망보안 워크숍 튜토리얼 세션 - 주제는 포스라이트로 프로젝트별 보안 취약점과 해결 여부를 관리하는 방법 - 포스라이트는 LG전자가 내부에서 쓰던 오픈소스 관리 통합 시스템임 - 2021년에 누구나 쓸 수 있도록 오픈소스로 공개됨 - 구성은 크게 포스라이트 허브와 포스라이트 스캐너로 나뉨 - 오픈소스 준수, 보안 취약점, 공급망, SBOM 관리를 한 시스템에서 다루는 쪽 - 포스라이트 스캐너는 프로젝트 안의 오픈소스를 찾아 분석 보고서를 만들어줌 - 오픈소스 이름과 버전을 입력하는 방식으로 분석 보고서 생성 가능 - 의존성(Dependency), 소스코드, 바이너리 분석 결과를 제공 - 오픈소스 이름, 버전, 라이선스를 검출함 - 포인트는 직접 의존성만 보는 게 아니라 전이적 종속성까지 본다는 것임 - 전이적 종속성(Transitive Dependency)은 내가 직접 넣은 라이브러리가 다시 끌고 들어온 하위 라이브러리들 - 포스라이트 스캐너는 이 구조를 트리 형태로 시각화해 보여줌 - 실제 보안 사고는 이런 간접 의존성에서 터지는 경우가 많아서, 그냥 패키지 목록만 보는 것보다 훨씬 실무적임 > [!TIP] > 공급망 보안에서 “우리 프로젝트가 어떤 오픈소스를 쓰는지 안다”는 말은 직접 의존성만 안다는 뜻이면 부족함. 전이적 종속성까지 추적돼야 취약점 영향 범위를 제대로 잡을 수 있음. - 포스라이트 허브는 분석 결과를 모아 취약점과 SBOM을 관리하는 중심 시스템에 가까움 - 스캐너 결과를 허브에 업로드해 보안 취약점 조회와 관리 가능 - 취약점 변경 사항이 생기면 관리자와 프로젝트 담당자에게 메일 알림 제공 - 특정 오픈소스 버전을 사용하는 프로젝트를 조회할 수 있음 - 타사에서 전달받은 소프트웨어별 SBOM도 관리 가능 - 자동으로 쌓이는 데이터베이스도 장점으로 언급됨 - 포스라이트 바이너리 스캐너 데이터베이스를 자동 축적 - 반복 스캔과 조직 내 프로젝트 관리가 많아질수록 분석 자산이 쌓이는 구조 - 도입 장벽은 낮은 편이라고 설명됨 - 파이썬 공식 소프트웨어 저장소(PyPI) 패키지 형태로 제공됨 - 현장 시스템과 연동하거나 커스터마이징하는 것도 어렵지 않다는 설명 - 이미 오픈소스 관리 체계가 어설픈 조직이라면, 무거운 상용 솔루션 전에 검토해볼 만한 선택지임 --- ## 기술 맥락 - 포스라이트가 의미 있는 이유는 공급망 보안을 “문서 제출”이 아니라 “프로젝트 단위 운영”으로 다루기 때문이에요. SBOM을 한 번 만들어 끝내는 게 아니라, 취약점이 바뀔 때 누가 영향을 받는지 계속 추적해야 하거든요. - 스캐너와 허브를 나눈 구조도 실무 흐름에 맞아요. 스캐너는 코드와 바이너리에서 오픈소스 정보를 찾아내고, 허브는 그 결과를 모아 프로젝트, 취약점, 담당자, SBOM 관리를 이어가는 역할이에요. - 전이적 종속성을 트리로 보여주는 기능은 꽤 중요해요. 개발자가 직접 설치한 패키지는 기억해도, 그 패키지가 끌고 온 하위 라이브러리까지 손으로 관리하긴 어렵거든요. - PyPI 패키지로 제공된다는 점도 현실적인 장점이에요. 공급망 보안 도구는 도입이 무거우면 현장에서 밀리기 쉬운데, 빠르게 붙여보고 조직 환경에 맞게 커스터마이징할 수 있어야 실제 운영으로 이어져요. ## 핵심 포인트 - 포스라이트는 LG전자가 자체 개발해 쓰다가 2021년 오픈소스로 공개한 오픈소스 관리 통합 시스템이다 - 포스라이트 스캐너는 의존성, 소스코드, 바이너리를 분석하고 전이적 종속성까지 트리 형태로 보여준다 - 포스라이트 허브는 취약점 관리, 공급망 관리, SBOM 관리, 프로젝트별 조회와 알림을 제공한다 - 파이썬 공식 저장소 패키지 형태로 제공돼 빠른 도입과 현장 커스터마이징이 가능하다는 설명이 나왔다 ## 인사이트 SBOM 얘기가 제도와 정책으로만 흐르기 쉬운데, 이 기사는 실제 프로젝트에서 뭘 스캔하고 어떻게 관리할지에 더 가깝다. 국내 기업이 이미 내부에서 쓰던 도구를 오픈소스로 풀었다는 점도 실무자 입장에선 체크할 만하다.