기업 환경에서 오픈소스 코드는 사실상 필수 요소가 됐다. 포춘 500대 기업의 90% 이상이 소프트웨어 공급망에 오픈소스 코드를 포함하고 있는 것으로 추정된다. 그러나 오픈소스는 수많은 보안 취약점을 안고 있는 경우가 많아, 이를 찾아내고 패치하는 작업은 보안팀의 끝없는 과제로 꼽힌다.
IBM과 레드햇은 이러한 문제를 해결하기 위해 새로운 프로젝트인 ‘프로젝트 라이트웰(Project Lightwell)’을 추진한다.
29일 공개된 프로젝트 라이트웰은 50억 달러(약 6조 8,000억 원)와 IBM 및 레드햇 엔지니어 2만 명을 투입해 오픈소스 소프트웨어의 취약점 발견과 대응을 가속화하는 새로운 ‘엔터프라이즈 클리어링하우스(Enterprise Clearinghouse)’를 구축하는 것이 목표다. 양사는 이 클리어링하우스가 AI 기반 ‘보안 조정 계층(Security Coordination Layer)’ 역할을 수행해 기업이 기존 소프트웨어 공급망에 패치를 직접 통합할 수 있도록 지원할 것이라고 밝혔다.
프로젝트 라이트웰은 현재 11개 금융기관과 함께 설계 단계에 있으며, 향후 구독형 상용 서비스로 제공될 예정이다.
레드햇의 수석부사장 겸 최고제품책임자(CPO) 아셰시 바다니는 “AI 도구의 발전으로 취약점을 발견하면서도 대응 속도를 유지할 수 있는 환경이 마련됐다”라며 “대부분의 기업이 오픈소스 소프트웨어를 사용하고 있지만, 취약점을 충분히 빠르게 해결하지 못하는 것이 가장 큰 과제”라고 CSO온라인에 설명했다.
취약점 대응 격차 해소 나선 IBM·레드햇
오픈소스 보안 문제는 이미 널리 알려져 있다. 2025년 한 해 동안 공개된 공통 취약점 및 노출(CVE)은 약 5만 건에 달했다. 또한 앤트로픽의 미토스 프리뷰(Mythos Preview) 모델 기반 ‘프로젝트 글래스윙(Project Glasswing)’은 출시 직후 오픈소스 소프트웨어에서 약 3,900건의 미발견 고위험 및 치명적 취약점을 찾아냈다.
IBM은 업계에서 가장 폭넓은 상용 오픈소스 생태계를 보유한 기업 가운데 하나로 평가받는다. 현재 6만 2,000개 이상의 패키지를 활용하고 있으며, 리눅스(Linux), 쿠버네티스(Kubernetes), 카프카(Kafka), 테라폼(Terraform), 자바(Java) 등 다양한 플랫폼에서 운영·검증·패치 및 라이프사이클 관리 서비스를 제공하고 있다.
IBM은 프로젝트 라이트웰을 통해 이러한 엔지니어링 원칙을 AI 프레임워크, 독립 라이브러리, 언어 툴체인, 데이터 스트리밍 플랫폼 등으로 확대 적용할 계획이다. 이를 통해 기업 환경에서 이미 사용 중인 오픈소스 코드에 검증된 수정 사항을 제공하고, 시스템 안정성이나 인증, 규제 준수에 영향을 주지 않으면서 취약점을 해결할 수 있도록 지원한다는 설명이다.
프로젝트 라이트웰은 소스코드 접근 권한이나 버전 업그레이드를 요구하지 않는다. 이미 테스트와 배포가 완료된 정확한 의존성 버전에 맞춰 수정 사항을 역이식(backport)하는 방식으로 운영된다. 또한 pom.xml과 같은 구성 매니페스트를 기반으로 작동해 패치된 아티팩트가 배포되더라도 코드는 기업의 통제된 운영 환경 내에 그대로 유지된다. 초기에는 자바·메이븐(Java/Maven) 생태계에 집중하지만, 향후 PyPI, npm, Go 등으로 지원 범위를 확대할 예정이다.
기업은 ‘보안 중개 모델(Secure Intermediary Model)’을 통해 공개 전 단계의 민감한 취약점 정보를 안전하게 공유할 수 있으며, 레드햇 플랫폼은 물론 독립 오픈소스 커뮤니티 코드에 대한 검증된 패치도 받을 수 있다. 또한 의존성 체인 전반에 걸쳐 수정 사항을 배포하고, 운영 환경에서 발견된 문제를 보고·해결하며, 수정 사항을 다시 업스트림에 공유해 오픈소스 커뮤니티 전체가 활용할 수 있도록 지원한다.
레드햇의 수석부사장 겸 최고제품책임자(CPO) 아셰시 바다니는 “클리어링하우스를 통해 기업에 제공하는 수정 사항이 해당 코드를 개발한 오픈소스 커뮤니티에도 다시 전달되도록 하는 것이 중요하다”라며 “예를 들어 파이썬 코드의 취약점을 수정했다면 그 결과가 신속하게 파이썬 커뮤니티에도 공유돼야 한다”고 설명했다. 이어 “프로젝트 라이트웰은 이러한 과정을 안전하게 연결하는 ‘보안 지도(Secure Map)’ 역할을 수행할 것”이라고 덧붙였다.
IBM과 레드햇 엔지니어들은 첨단 AI 기술과 주요 오픈소스 기여자들과의 협력을 바탕으로 업스트림과 다운스트림 환경을 연결해 기업 환경에 바로 적용할 수 있는 패치를 개발할 계획이다. 이와 함께 대규모 취약점 검토 및 분류 작업, 의존성 강화 작업도 수행한다.
바다니는 “프로젝트에 투입되는 2만 명의 엔지니어는 IBM과 레드햇이 보유한 기존 인력으로 구성되며, 필요에 따라 추가 인력을 배치할 예정”이라고 설명했다. 양사는 최첨단 AI 연구소들이 개발한 파운데이션 모델과 자체 개발한 AI 도구 및 프레임워크를 함께 활용할 계획이다. 50억 달러(약 6조 8,000억 원)의 투자금은 AI 도구 도입과 내부 운영 인프라 구축에 사용된다.
프로젝트 라이트웰의 초기 참여 기업으로는 뱅크오브아메리카(Bank of America), BNY, 씨티(Citi), 골드만삭스(Goldman Sachs), JP모건체이스(JPMorganChase), 마스터카드(Mastercard), 모건스탠리(Morgan Stanley), 캐나다왕립은행(Royal Bank of Canada), 스테이트스트리트(State Street), 비자(Visa), 웰스파고(Wells Fargo) 등이 포함됐다. IBM과 레드햇은 초기 설계 단계가 마무리되면 구독형 모델을 통해 더 많은 고객으로 프로젝트를 확대할 계획이다.
오픈소스 생태계를 위한 투자 촉구
보서론 시큐리티(Beauceron Security)의 데이비드 십리는 기업이 오픈소스 생태계를 지속 가능하게 유지하려면 이와 같은 프로젝트가 “절실히 필요하다”고 평가했다.
십리는 미토스(Mythos)의 등장으로 막대한 규모의 디지털 자산이 자원봉사자들의 노력에 의존하던 시대는 사실상 막을 내렸다고 지적했다. 이제 오픈소스 생태계 유지 비용을 기업이 부담해야 할 시점이 왔으며, 그렇지 않으면 결국 그 혜택을 잃게 될 것이라는 설명이다.
십리는 “오픈소스에 투자할 방법을 찾지 못한다면, 오랫동안 이어져 온 형평성 문제도 해결할 수 없게 된다”라며 “그 대안은 모든 기업이 AI를 활용해 각자 맞춤형 코드를 개발하는 것뿐”이라고 말했다. 이어 “이는 컴퓨팅 자원과 환경 측면에서 매우 비효율적이고 낭비가 큰 방식”이라고 지적했다.
또한 “이번 프로젝트가 다른 기업들의 행동을 촉발하는 계기가 되기를 기대한다”고 밝혔다.
인간의 역할은 여전히 중요
바다니는 AI가 오픈소스 코드의 보안 취약점을 발견하는 데는 뛰어난 성능을 발휘하지만, 실제 패치 과정은 여전히 복잡하고 시간이 많이 소요된다고 강조했다.
취약점이 발견되면 수정 사항을 업스트림 프로젝트에 전달해야 하고, 이후 오픈소스 커뮤니티 전체에 배포된 뒤 다시 고객과 사용자 환경으로 전달되는 과정을 거쳐야 한다.
바다니는 “버그를 발견하는 것과 실제로 이를 해결하는 것은 전혀 다른 문제”라며 “실제 수정 작업에는 수많은 절차가 필요하며, 그 과정에서 발생하는 시간 지연이 우리가 줄이고자 하는 격차”라고 설명했다.
문제의 심각성을 보여주듯 프로젝트 라이트웰 발표 이후 IBM과 레드햇에는 관련 문의와 참여 요청이 쇄도하고 있는 것으로 알려졌다.
바다니는 “이 문제는 가까운 시일 내에 사라지지 않을 것”이라며 “초기 과제를 성공적으로 해결하더라도 기업은 이러한 지원을 지속적이고 반복적으로 필요로 하게 될 것”이라고 전망했다.
최근 AI가 인간 엔지니어를 대체할 것이라는 논의가 확산되고 있지만, 프로젝트 라이트웰은 오히려 AI와 인간의 협업에 초점을 맞추고 있다.
바다니는 “AI 도구와 인간의 지식, 전문성을 결합하면 이 문제를 훨씬 효과적으로 해결할 수 있다”라며 “둘 중 하나만 사용하는 것보다 두 요소를 함께 활용할 때 더 나은 결과를 얻을 수 있다”고 강조했다.
dl-ciokorea@foundryco.com
Read More from This Article: IBM·레드햇, 기업용 오픈소스 보안 컨트롤타워 구축 나서
Source: News