본문으로 건너뛰기
피드

레드햇·IBM, 대규모 업그레이드 없이 오픈소스 취약점 막는 ‘라이트웰’ 공개

security 약 5분
vote
0
댓글
북마크

레드햇과 IBM이 오픈소스 공급망 보안 플랫폼 라이트웰을 공개했다. 핵심은 자바·파이썬 생태계의 검증된 패키지를 제공하고, 오래된 운영 버전에도 필요한 보안 수정만 백포트해 대규모 업그레이드 부담을 줄이는 데 있다.

  • 1

    라이트웰 네트워크는 6,500개 이상 자바·파이썬 종속성 패키지를 제공함

  • 2

    패키지는 취약점 수정, 디지털 서명, 인증을 거쳐 기존 개발 파이프라인에 적용 가능함

  • 3

    라이트웰 클리어링하우스 프리미어는 금융권부터 시작해 정부·의료·통신으로 확대될 예정임

  • 4

    IBM과 레드햇은 50억 달러 규모 오픈소스 보안 투자와 2만여 명 엔지니어 조직을 기반으로 카탈로그를 수백만 개까지 키우려 함

  • 레드햇과 IBM이 오픈소스 공급망 보안 플랫폼 ‘라이트웰’을 공개함

    • 이름은 라이트웰이고, AI 시대 기업용 오픈소스 보안 인프라를 표방함
    • 지난 5월 양사가 발표한 50억 달러 규모 오픈소스 보안 투자 계획의 일부로 나옴
    • IBM과 레드햇은 2만여 명의 엔지니어를 기반으로 취약점 대응 체계를 계속 키우겠다는 입장임
  • 구성은 크게 두 개임: ‘라이트웰 네트워크’와 ‘라이트웰 클리어링하우스 프리미어’

    • 라이트웰 네트워크는 지금 바로 이용 가능한 서비스로, 자바(Java)와 파이썬(Python) 생태계의 6,500개 이상 애플리케이션 종속성 패키지를 제공함
    • 이 패키지들은 취약점이 수정된 상태고, 디지털 서명과 인증까지 거쳤다고 설명됨
    • 기존 개발 파이프라인에 그대로 적용할 수 있게 설계됐다는 점이 포인트임
  • 제일 중요한 건 “전체 업그레이드 없이 취약점만 고친다”는 방향임

    • 라이트웰은 생성형 AI 기반 자동화 엔진으로 오픈소스 종속성의 취약점을 식별·검증·수정함
    • 특히 장기간 운영 중인 소프트웨어 버전에 필요한 보안 수정만 백포트(Backport)해서 넣는 방식을 내세움
    • 기업 입장에선 대규모 버전 업그레이드 때 따라오는 회귀 테스트, 호환성 문제, 운영 중단 리스크를 줄일 수 있음

중요

> 오픈소스가 기업 코드베이스의 최대 90%를 차지하고, 2025년 한 해 다운로드가 약 9조8천억 건에 이른다는 수치가 핵심 배경임. 코드베이스당 평균 581건의 취약점이 방치된다는 분석까지 붙으면, 이건 보안팀만의 문제가 아니라 개발·운영 전체의 문제임.

  • 라이트웰 클리어링하우스 프리미어는 더 민감한 산업별 패치 대응용 서비스임

    • 보안 패치 엠바고 관리와 산업별 위협 대응을 지원함
    • 초기 대상은 금융 산업이고, 이후 정부·의료·통신 같은 주요 산업으로 넓힐 계획임
    • 취약점 공개 전 특정 버전에 대한 수정 패키지를 준비해야 하는 조직에 초점이 맞춰져 있음
  • 레드햇과 IBM은 지금 수천 개 수준인 취약점 해결 패키지를 수백만 개 규모로 키우려 함

    • AI 기반 자동화 기술을 활용해 패치 생성과 검증 범위를 넓히겠다는 그림임
    • AWS, AMD, GitLab, Microsoft, NVIDIA, Intel, Palo Alto Networks, ServiceNow 같은 기술 파트너도 생태계에 붙어 있음
    • Accenture, Deloitte, EY, IBM Consulting, Red Hat Consulting 같은 컨설팅 조직은 구축과 운영을 지원하는 쪽임
  • 개발자 입장에서 눈여겨볼 부분은 ‘보안 패치의 소비 방식’이 바뀔 수 있다는 점임

    • 지금까지는 취약점이 터지면 라이브러리 버전 올리고, 깨지는 테스트 고치고, 배포 일정 다시 잡는 식의 일이 많았음
    • 라이트웰 방식은 검증된 수정 패키지를 공급받아 기존 파이프라인에 붙이는 쪽에 가까움
    • 물론 실제로 얼마나 많은 패키지와 버전을 커버하느냐, 그리고 기업 내부 정책과 얼마나 잘 맞느냐가 관건임

기술 맥락

  • 라이트웰의 선택은 ‘최신 버전으로 다 올리자’가 아니라 ‘운영 중인 버전에 필요한 보안 수정만 넣자’에 가까워요. 기업 시스템은 라이브러리 하나만 올려도 테스트, 배포, 장애 대응 비용이 줄줄이 붙거든요.

  • 백포트가 중요한 이유는 레거시 운영 환경에서 특히 커요. 보안팀은 빨리 막고 싶고, 개발팀은 전체 업그레이드가 무섭고, 운영팀은 중단을 피하고 싶어 하니까요. 라이트웰은 이 충돌 지점을 취약점 수정 패키지로 줄이려는 접근이에요.

  • 디지털 서명, 인증, SBOM 제공도 그냥 부가 기능이 아니에요. 금융·정부·의료 같은 산업은 “패치했음”보다 “무엇을, 어떤 근거로, 어떤 산출물과 함께 적용했는지”가 중요하거든요.

  • 다만 이 모델이 잘 돌아가려면 카탈로그 규모와 검증 품질이 핵심이에요. 6,500개 패키지에서 시작해 수백만 개로 늘리겠다는 계획은 야심차지만, 실제 현장에선 내가 쓰는 정확한 버전과 조합을 커버하느냐가 체감 가치를 가를 거예요.

기업 입장에선 ‘패치하려면 전체 업그레이드부터 하세요’가 제일 무서운 말인데, 라이트웰은 그 지점을 정면으로 찌른 서비스다. 오픈소스 의존성이 코드베이스의 대부분을 차지하는 현실에선 이런 자동화된 백포트 체계가 꽤 큰 운영 무기가 될 수 있다.

댓글

댓글

댓글을 불러오는 중...

security

IBM·레드햇, AI로 오픈소스 패치까지 만들어주는 ‘라이트웰’ 출시

IBM과 레드햇이 오픈소스 취약점 대응 서비스 ‘라이트웰’을 공식 출시했음. 단순히 취약점을 알려주는 도구가 아니라, 자바·파이썬 생태계의 6,500개 이상 패키지에 대해 검증된 보안 패치와 소프트웨어 자재명세서(SBOM), 컴플라이언스 자료까지 제공하는 쪽에 초점을 맞췄음. 금융·공공·의료처럼 업그레이드 한 번이 큰일인 조직을 겨냥한 움직임임.

security

유럽의회, 사적 메시지 대량 스캔 ‘챗 컨트롤 1.0’ 다시 허용

유럽의회가 사적 통신을 영장이나 혐의 없이 스캔할 수 있게 하는 임시 규정을 2028년까지 다시 허용했음. 찬반 투표만 보면 반대가 더 많았지만, 절대 과반 기준을 넘기지 못해 거부안이 부결된 게 핵심임. 암호화 메신저는 상징적으로 제외됐지만, 인스타그램, 디스코드, 지메일, 아이클라우드 같은 일부 플랫폼의 비암호화 사적 메시지 스캔은 다시 가능해졌음.

security

AI 에이전트 프레임워크까지 뚫은 npm 공급망 공격, 이번엔 북한 배후 정황

npm 공급망 공격이 8주 사이 6차례 이어졌고, AI 에이전트 프레임워크 마스트라 관련 패키지 140여 개가 단 19분 만에 감염됐다. 마이크로소프트는 이번 공격을 북한 해킹 조직 새파이어슬릿의 소행으로 지목했고, 악성코드는 윈도·맥OS·리눅스에서 암호화폐 지갑과 클라우드 인증정보를 노렸다.

security

교보증권, 생성형 인공지능으로 임직원 정보보호 교육 콘텐츠 제작

교보증권이 임직원 정보보호 교육에 생성형 인공지능을 도입해 교육 영상을 자체 제작했다. 주제는 일상 보안수칙, 랜섬웨어 예방을 위한 피시 보안, 디지털 금융보안이며 퀴즈 이벤트로 교육 효과를 높이려 했다. 기술 깊이는 얕지만 금융권 보안 교육에서도 생성형 인공지능 활용이 점점 일상화되고 있다는 신호로 볼 만하다.

security

경찰, 성착취물 증거 분석 320시간을 3시간으로 줄이는 AI 도구 배포

경찰청이 AI 기반 성착취물 탐지 및 증거서류 자동 작성 프로그램을 전국 수사관에게 배포했다. 403시간 분량의 동영상 4215개, 890GB를 분석하던 작업이 기존 약 320시간에서 약 3시간으로 줄었다는 실증 결과가 핵심이다.