AI스페라, 소프트웨어 사각지대 없애는 ‘크리미널 IP SBOM’ 공개
공급망 보안 위협이 늘면서 소프트웨어 자재명세서(SBOM)의 중요성이 커지고 있다. 미국은 2021년 연방 기관 소프트웨어 공급 시 SBOM 제출을 의무화했고, 유럽연합(EU)도 오는 9월부터 취약점 보고 의무를 적용하며 규제를 본격화한다. 한국도 과기정통부와 국정원 주도로 2027년 공공분야 SBOM 제출 의무화를 추진 중이다. 기업 입장에서는 규제 대응을 위해서라도 정확한 컴포넌트 식별 도구가 필수적이다.
이에 발맞춰 AI스페라는 14일 서울 파르나스 호텔에서 개최한 ‘CIPC(Criminal IP Conference) 2026’에서 ‘크리미널(Criminal) IP SBOM’을 공개했다. 회사는 이를 기존 SBOM 도구의 약점을 보완하고 실질적인 위협 탐지 능력을 강화한 제품이라고 소개했다.
정우철 AI스페라 최고기술책임자(CTO)는 외부 의존도가 높은 현대 소프트웨어 개발 환경의 구조적 문제를 언급하며 말문을 열었다. 현재 기업 소프트웨어 코드의 70% 이상이 외부 오픈소스 컴포넌트로 구성된다. 이런 개발 구조가 고착화되면서 기업들이 시스템 내부에 대한 통제권을 잃어가고 있다는 것이 정 CTO의 진단이다.
특히 소스 코드 없이 바이너리만 제공되는 블랙박스 형태의 상용 소프트웨어나, 라이브러리가 꼬리에 꼬리를 물고 증폭하는 전이 의존성(Transitive Dependency) 문제는 숨은 위험 요소를 더욱 파악하기 어렵게 만든다. 정 CTO는 “취약점 스캐너나 SAST, EDR 등 기존 보안 도구만으로는 복잡한 환경의 컴포넌트 명세를 들여다보는 데 한계가 있다”고 분석했다.
이번에 공개된 Criminal IP SBOM은 기존 방식과 달리 빌드된 결과물 자체를 뜯어보는 분석 엔진이다. 누락되기 쉬운 소스 코드나 목록 파일에 의존하지 않고 최종 바이너리를 직접 분해해 컴포넌트 사각지대 없이 취약점을 식별한다는 것이 회사 측 설명이다.
취약점의 실질 위험도와 우선순위를 판별하는 기술도 강조됐다. 정 CTO는 “형식적인 취약점 점수(CVSS, Common Vulnerability Scoring System)만 고려하면 알맹이 없는 노이즈 알람이 많아진다”며 “이번 제품은 다양한 데이터를 결합한 취약점 악용 가능성 교환(VEX) 판정으로 노이즈를 거르고 실제 조치가 필요한 취약점을 골라낸다”고 밝혔다.
패치 과정에는 AI를 투입해 운영 조직의 부담을 줄이는 방식을 채택했다. 취약점이 발견되면 대규모언어모델(LLM)이 코드 수정과 테스트 빌드를 수행하며, 담당자가 업무용 메신저에서 이를 확인한 뒤 승인 여부를 결정하는 구조다.
정 CTO는 이외에도 ▲에이전트와 서버 모드를 분리한 배포 옵션의 유연성 ▲저사양 서버에서도 구동되는 단일 바이너리 설계 ▲국내 IT 인프라와 규제 환경에 맞춘 온프레미스 구축 지원 등을 새 SBOM 제품의 장점으로 꼽았다. 신제품은 무결성 증명을 거쳐 7월 초 정식 출시될 예정이다.
글. 바이라인네트워크
<이슬찬 기자>seulbae@byline.network


