본문으로 건너뛰기
피드

IBM·레드햇, AI로 오픈소스 패치까지 만들어주는 ‘라이트웰’ 출시

security 약 5분
vote
0
댓글
북마크

IBM과 레드햇이 오픈소스 취약점 대응 서비스 ‘라이트웰’을 공식 출시했음. 단순히 취약점을 알려주는 도구가 아니라, 자바·파이썬 생태계의 6,500개 이상 패키지에 대해 검증된 보안 패치와 소프트웨어 자재명세서(SBOM), 컴플라이언스 자료까지 제공하는 쪽에 초점을 맞췄음. 금융·공공·의료처럼 업그레이드 한 번이 큰일인 조직을 겨냥한 움직임임.

  • 1

    라이트웰은 취약점 탐지보다 ‘패치된 패키지를 실제 운영에 적용하게 해주는 것’에 방점이 있음

  • 2

    자바·파이썬 생태계의 6,500개 이상 애플리케이션 종속성 패키지를 제공함

  • 3

    백포트 방식으로 전체 시스템 업그레이드 없이 필요한 보안 수정만 적용할 수 있게 함

  • 4

    IBM과 레드햇은 50억 달러 규모 오픈소스 보안 투자와 2만 명 이상 엔지니어 투입 계획을 내세움

  • 5

    AWS, 마이크로소프트, 엔비디아, AMD, 인텔, 팔로알토 네트웍스, 서비스나우 등 대형 파트너도 참여함

  • IBM과 레드햇이 오픈소스 취약점 대응 서비스 ‘라이트웰’을 정식 출시함

    • 레드햇의 오픈소스 엔지니어링 역량에 IBM의 AI, 컨설팅, 금융권 영업망을 붙인 구조임
    • IBM이 2019년 레드햇을 인수한 뒤 오픈시프트 중심 하이브리드 클라우드에서 보안·AI 쪽으로 판을 넓히는 흐름으로 볼 수 있음
  • 라이트웰은 크게 두 가지로 구성됨

    • ‘라이트웰 네트워크’는 취약점이 해결된 오픈소스 패키지를 제공하는 서비스임
    • ‘라이트웰 클리어링하우스 프리미어’는 금융기관이 취약점 정보를 비공개로 공유하고 패치를 요청할 수 있는 협업 채널임
  • 핵심은 취약점을 “알려주는 것”이 아니라, 바로 쓸 수 있는 패치된 패키지를 준다는 점임

    • 현재 자바(Java)와 파이썬(Python) 생태계에서 쓰이는 6,500개 이상 애플리케이션 종속성 패키지를 제공함
    • 각 패키지에는 보안 패치, 디지털 서명, 소스코드, 소프트웨어 자재명세서(SBOM), 컴플라이언스 자료가 포함됨

중요

> 라이트웰의 차별점은 스캐너가 아니라 ‘검증된 수정 패키지 공급망’에 가까운 모델이라는 점임. 취약점 경고만 쌓이는 조직에서는 이 차이가 꽤 큼.

  • 오래된 시스템을 통째로 최신 버전으로 올리지 않아도 된다는 게 기업 입장에선 제일 현실적인 포인트임

    • 라이트웰은 필요한 수정 사항만 기존 버전에 반영하는 백포트(backport)를 지원함
    • 금융·공공·의료처럼 회귀 테스트와 호환성 검증이 오래 걸리는 조직은 전체 업그레이드 자체가 리스크가 될 수 있음
  • 생성형 AI는 취약점 대응 엔진 쪽에 들어감

    • AI가 소프트웨어 종속성을 분석하고 수정안을 생성함
    • 이후 레드햇과 IBM 엔지니어가 검증해서 기업용 패키지로 제공하는 방식임
    • 완전 자동 패치라기보다는, AI 자동화와 사람 검증을 섞은 엔터프라이즈형 운영 모델에 가까움
  • IBM과 레드햇은 이걸 꽤 큰 투자 플랜으로 밀고 있음

    • 지난 5월 발표한 50억 달러 규모 오픈소스 보안 투자 계획이 기반임
    • 2만 명 이상의 엔지니어를 투입할 계획이라고 밝힘
    • 단순 제품 출시라기보다는 오픈소스 보안 인프라 시장을 선점하려는 움직임으로 읽힘
  • 파트너 라인업도 대기업 도입을 전제로 짜여 있음

    • AWS, 마이크로소프트, 엔비디아, AMD, 인텔, 팔로알토 네트웍스, 서비스나우 등이 클라우드·개발·보안 환경 연계를 맡음
    • 액센츄어, 딜로이트, EY, NTT데이터, 인포시스, 킨드릴 등은 도입과 운영을 지원함
  • 첫 타깃은 금융권이고, 이후 정부·의료·통신 같은 핵심 인프라로 확장할 계획임

    • 이 분야들은 보안 취약점이 떠도 바로 업그레이드하기 어렵고, 규제 대응 문서도 같이 필요함
    • 그래서 패치, 서명, SBOM, 컴플라이언스 자료를 묶어 제공하는 방식이 잘 맞아떨어짐

기술 맥락

  • 라이트웰이 노리는 문제는 “취약점이 있다는 걸 아는 것”이 아니라 “운영 중인 시스템에 안전하게 고치는 것”이에요. 대기업은 취약점 알림을 받아도 바로 버전 업그레이드를 못 하거든요.

  • 그래서 백포트가 중요해요. 최신 릴리스로 갈아타는 대신, 지금 쓰는 장기 운영 버전에 필요한 보안 수정만 가져오면 테스트 범위와 장애 리스크를 줄일 수 있어요.

  • SBOM과 디지털 서명을 같이 제공하는 것도 단순 부가 기능이 아니에요. 금융·공공·의료 조직은 패치 자체뿐 아니라 “무엇을 바꿨고, 누가 검증했고, 어떤 구성 요소가 들어갔는지”를 증명해야 하거든요.

  • AI는 여기서 취약점 분석과 수정안 생성 속도를 끌어올리는 역할이에요. 다만 최종 패키지는 레드햇과 IBM 엔지니어가 검증하는 구조라서, 완전 자동화보다 신뢰 가능한 산업용 패치 파이프라인에 가깝게 설계된 셈이에요.

이건 ‘보안 스캐너 하나 더 나왔다’가 아니라, 엔터프라이즈 오픈소스 패치 배포망을 누가 장악하느냐의 문제에 가까움. 특히 레거시 시스템을 오래 끌고 가야 하는 금융·공공 쪽에서는 꽤 현실적인 니즈를 찌른 서비스임.

댓글

댓글

댓글을 불러오는 중...

security

레드햇·IBM, 대규모 업그레이드 없이 오픈소스 취약점 막는 ‘라이트웰’ 공개

레드햇과 IBM이 오픈소스 공급망 보안 플랫폼 라이트웰을 공개했다. 핵심은 자바·파이썬 생태계의 검증된 패키지를 제공하고, 오래된 운영 버전에도 필요한 보안 수정만 백포트해 대규모 업그레이드 부담을 줄이는 데 있다.

security

유럽의회, 사적 메시지 대량 스캔 ‘챗 컨트롤 1.0’ 다시 허용

유럽의회가 사적 통신을 영장이나 혐의 없이 스캔할 수 있게 하는 임시 규정을 2028년까지 다시 허용했음. 찬반 투표만 보면 반대가 더 많았지만, 절대 과반 기준을 넘기지 못해 거부안이 부결된 게 핵심임. 암호화 메신저는 상징적으로 제외됐지만, 인스타그램, 디스코드, 지메일, 아이클라우드 같은 일부 플랫폼의 비암호화 사적 메시지 스캔은 다시 가능해졌음.

security

AI 에이전트 프레임워크까지 뚫은 npm 공급망 공격, 이번엔 북한 배후 정황

npm 공급망 공격이 8주 사이 6차례 이어졌고, AI 에이전트 프레임워크 마스트라 관련 패키지 140여 개가 단 19분 만에 감염됐다. 마이크로소프트는 이번 공격을 북한 해킹 조직 새파이어슬릿의 소행으로 지목했고, 악성코드는 윈도·맥OS·리눅스에서 암호화폐 지갑과 클라우드 인증정보를 노렸다.

security

교보증권, 생성형 인공지능으로 임직원 정보보호 교육 콘텐츠 제작

교보증권이 임직원 정보보호 교육에 생성형 인공지능을 도입해 교육 영상을 자체 제작했다. 주제는 일상 보안수칙, 랜섬웨어 예방을 위한 피시 보안, 디지털 금융보안이며 퀴즈 이벤트로 교육 효과를 높이려 했다. 기술 깊이는 얕지만 금융권 보안 교육에서도 생성형 인공지능 활용이 점점 일상화되고 있다는 신호로 볼 만하다.

security

경찰, 성착취물 증거 분석 320시간을 3시간으로 줄이는 AI 도구 배포

경찰청이 AI 기반 성착취물 탐지 및 증거서류 자동 작성 프로그램을 전국 수사관에게 배포했다. 403시간 분량의 동영상 4215개, 890GB를 분석하던 작업이 기존 약 320시간에서 약 3시간으로 줄었다는 실증 결과가 핵심이다.