본문으로 건너뛰기
피드

레드햇·IBM, 오픈소스 취약점 자동 패치 서비스 ‘라이트웰’ 출시

security 약 6분
vote
0
댓글
북마크

레드햇과 IBM이 오픈소스 소프트웨어 취약점을 자동으로 식별하고, 검증하고, 기존 운영 버전에 패치까지 적용하는 라이트웰을 정식 출시했다. 핵심은 대규모 업그레이드 없이 현재 쓰는 버전에 보안 수정 사항을 백포트해 회귀 테스트와 호환성 리스크를 줄이는 데 있다. 자바와 파이썬 생태계의 6500개 이상 애플리케이션 계층 종속성 카탈로그부터 시작하고, 금융권 대상 엠바고 대응 서비스도 제한 제공된다.

  • 1

    생성형 AI 기반 취약점 대응 엔진으로 오픈소스 종속성의 취약점을 식별·검증·해결한다

  • 2

    대규모 업그레이드 대신 현재 운영 중인 버전에 핵심 보안 수정 사항을 백포트한다

  • 3

    라이트웰 네트워크는 자바·파이썬 등 6500개 이상 애플리케이션 계층 종속성 카탈로그를 제공한다

  • 4

    디지털 서명 바이너리, 소스코드, 소프트웨어 자재명세서(SBOM) 등 컴플라이언스 산출물도 함께 제공한다

  • 5

    라이트웰 클리어링하우스 프리미어는 금융권부터 시작해 보안 패치 엠바고와 산업별 위협 대응을 중개한다

  • 레드햇과 IBM이 오픈소스 취약점 대응 서비스 ‘라이트웰(Lightwell)’을 정식 출시함

    • 양사가 발표했던 50억 달러 규모 오픈소스 보안 투자 계획을 바탕으로 나온 서비스임
    • 목표는 기업이 대규모 시스템 업그레이드 없이, 지금 쓰는 소스코드와 프로덕션 버전에 보안 수정 사항을 적용하게 해주는 것임
  • 핵심은 생성형 AI 기반 취약점 대응 엔진임

    • 소프트웨어 아키텍처 안쪽에 박혀 있는 취약점을 식별하고, 검증하고, 해결하는 과정을 자동화함
    • 단순히 “취약점 목록 보여줄게”가 아니라, 현재 운영 중인 버전에 필요한 핵심 수정 사항을 직접 백포트(backport)하는 쪽에 가까움

중요

> 라이트웰이 파는 건 새 버전 업그레이드가 아니라 “지금 쓰는 버전을 덜 위험하게 유지하는 방법”에 가까움. 엔터프라이즈에서 이 차이는 꽤 큼.

  • 왜 백포트가 중요하냐면, 기업 입장에서 보안 패치는 보통 패치 그 자체보다 업그레이드 후폭풍이 더 무서움

    • 최신 버전으로 올리면 긴 회귀 테스트가 필요하고, 호환성 오류(breaking change)가 터질 수 있음
    • 라이트웰은 이런 대규모 업그레이드 부담을 피하면서 핵심 보안 수정만 적용하겠다는 접근임
  • 정식 출시된 서비스는 ‘라이트웰 네트워크’임

    • 자바(Java), 파이썬(Python) 등 주요 생태계의 애플리케이션 계층 종속성 6500개 이상에 대한 초기 카탈로그를 제공함
    • 사용자는 디지털 서명된 바이너리와 소스코드, 소프트웨어 자재명세서(SBOM) 전문 같은 컴플라이언스 산출물을 지속적으로 받게 됨
    • IBM은 이 산출물이 코드 드리프트(code drift) 없이 기존 파이프라인으로 직접 전달된다고 설명함
  • 또 하나는 ‘라이트웰 클리어링하우스 프리미어’인데, 이건 훨씬 민감한 영역을 다룸

    • 산업별 고도화된 위협 대응과 보안 패치 엠바고를 위한 중개자 역할을 함
    • 초기에는 금융 서비스 업계에 제한 제공되고, 이후 정부·의료·통신 같은 핵심 인프라 분야로 확대될 예정임
    • 참여 기업은 취약점을 제출하고, 공개 전 엠바고 기간 안에 특정 버전에 대한 해결을 요청할 수 있음
  • 다만 아무 기업이나 들어갈 수 있는 구조는 아님

    • 취약점 정보와 패치 엠바고는 법률, 지역별 규제, 정보 공개 체계가 복잡하게 얽힘
    • 그래서 라이트웰 클리어링하우스 프리미어는 자격을 갖춘 기관으로 제한됨
  • 운영 모델은 레드햇의 ‘업스트림 퍼스트(upstream-always)’ 방식 아래에서 돌아감

    • 엔터프라이즈 고객에게만 몰래 고쳐주는 폐쇄형 패치 창고가 아니라, 업스트림 생태계와의 연결을 유지하겠다는 의미로 읽힘
    • 오픈소스 보안을 제품화하되, 오픈소스 생태계와 완전히 분리하지 않겠다는 포지션임

기술 맥락

  • 라이트웰의 기술적 선택은 “전체 업그레이드”가 아니라 “현재 운영 버전에 필요한 보안 수정만 백포트”하는 쪽이에요. 기업 시스템은 라이브러리 하나만 올려도 테스트 범위가 확 늘어나거든요. 그래서 취약점은 알아도 실제 패치까지 못 가는 경우가 많아요.

  • 생성형 AI 기반 엔진이 중요한 이유는 취약점 대응의 반복 작업을 줄이기 위해서예요. 취약점 식별, 적용 가능성 검증, 수정 사항 반영이 수작업이면 대규모 종속성 환경에서 속도가 안 나요. 라이트웰은 이 과정을 자동화 파이프라인으로 묶으려는 시도예요.

  • SBOM과 디지털 서명이 같이 붙는 것도 포인트예요. 보안 패치는 “고쳤다”보다 “무엇을, 어떤 근거로, 누가 검증했는지”가 더 중요할 때가 많거든요. 특히 금융·정부·의료 같은 환경에서는 감사와 규제 대응까지 같이 따라와야 해요.

  • 클리어링하우스 프리미어가 금융권부터 시작하는 이유도 이 맥락이에요. 취약점 공개 전 엠바고 기간에 누가 어떤 정보를 받고, 어떤 버전에 패치를 적용할지 조율해야 하니까요. 단순 패키지 배포 서비스보다 신뢰 중개 인프라에 가까워요.

오픈소스 보안에서 진짜 비용은 패치 자체보다 ‘업그레이드하다가 서비스가 깨질까 봐 못 올리는 시간’에 있다. 라이트웰은 그 병목을 백포트와 인증된 산출물로 줄이겠다는 쪽이라, 엔터프라이즈 보안팀과 플랫폼팀이 꽤 관심 가질 만한 움직임이다.

댓글

댓글

댓글을 불러오는 중...

security

레드햇·IBM, 대규모 업그레이드 없이 오픈소스 취약점 막는 ‘라이트웰’ 공개

레드햇과 IBM이 오픈소스 공급망 보안 플랫폼 라이트웰을 공개했다. 핵심은 자바·파이썬 생태계의 검증된 패키지를 제공하고, 오래된 운영 버전에도 필요한 보안 수정만 백포트해 대규모 업그레이드 부담을 줄이는 데 있다.

security

IBM·레드햇, AI로 오픈소스 패치까지 만들어주는 ‘라이트웰’ 출시

IBM과 레드햇이 오픈소스 취약점 대응 서비스 ‘라이트웰’을 공식 출시했음. 단순히 취약점을 알려주는 도구가 아니라, 자바·파이썬 생태계의 6,500개 이상 패키지에 대해 검증된 보안 패치와 소프트웨어 자재명세서(SBOM), 컴플라이언스 자료까지 제공하는 쪽에 초점을 맞췄음. 금융·공공·의료처럼 업그레이드 한 번이 큰일인 조직을 겨냥한 움직임임.

security

유럽의회, 사적 메시지 대량 스캔 ‘챗 컨트롤 1.0’ 다시 허용

유럽의회가 사적 통신을 영장이나 혐의 없이 스캔할 수 있게 하는 임시 규정을 2028년까지 다시 허용했음. 찬반 투표만 보면 반대가 더 많았지만, 절대 과반 기준을 넘기지 못해 거부안이 부결된 게 핵심임. 암호화 메신저는 상징적으로 제외됐지만, 인스타그램, 디스코드, 지메일, 아이클라우드 같은 일부 플랫폼의 비암호화 사적 메시지 스캔은 다시 가능해졌음.

security

AI 에이전트 프레임워크까지 뚫은 npm 공급망 공격, 이번엔 북한 배후 정황

npm 공급망 공격이 8주 사이 6차례 이어졌고, AI 에이전트 프레임워크 마스트라 관련 패키지 140여 개가 단 19분 만에 감염됐다. 마이크로소프트는 이번 공격을 북한 해킹 조직 새파이어슬릿의 소행으로 지목했고, 악성코드는 윈도·맥OS·리눅스에서 암호화폐 지갑과 클라우드 인증정보를 노렸다.

security

교보증권, 생성형 인공지능으로 임직원 정보보호 교육 콘텐츠 제작

교보증권이 임직원 정보보호 교육에 생성형 인공지능을 도입해 교육 영상을 자체 제작했다. 주제는 일상 보안수칙, 랜섬웨어 예방을 위한 피시 보안, 디지털 금융보안이며 퀴즈 이벤트로 교육 효과를 높이려 했다. 기술 깊이는 얕지만 금융권 보안 교육에서도 생성형 인공지능 활용이 점점 일상화되고 있다는 신호로 볼 만하다.