IBM-레드햇, 오픈소스 보안 강화에 50억달러 투자
앤트로픽의 미토스 모델 등장 후 AI 도구를 활용한 소프트웨어 보안 취약점 발견이 급증하는 가운데, 현재 가장 큰 타격을 입고 있는 오픈소스 소프트웨어의 공급망 보안 분야에 IBM과 레드햇이 대규모 투자를 단행한다. 내부 AI 기술과 2만여명의 엔지니어를 투입해 기업에서 즉시 활용가능한 오픈소스 소프트웨어 보안성 관리 체계를 구축한다는 계획이다.
IBM과 레드햇은 오픈소스 소프트웨어 보안을 강화하기 위한 ‘프로젝트 라이트웰(Project Lightwell)’을 발표하고 50억달러를 투자한다고 29일 발표했다.
이 프로젝트는 IBM과 레드햇 내부의 첨단 AI 기술과 글로벌 엔지니어 인력 2만여명을 투입해 개발 초기 단계부터 운영 환경에 이르기까지 기업의 오픈 소스 소프트웨어 활용을 위한 새로운 모델을 구축한다.
신뢰할 수 있는 기업용 취약점 정보센터와 전 세계 엔지니어 팀을 결합해 대규모 취약점을 식별하고 수정하게 된다. 취약점 정보센터는 고급 AI 기능을 활용해 오픈소스 코드 전반에 걸쳐 수정 사항을 검증하고 테스트하는 보안 조정 계층 역할을 수행한다. 이러한 기능은 상용 구독 서비스를 통해 제공되고, 기업은 엔터프라이즈급 검증 및 수명 주기 관리를 통해 보안 패치를 기존 소프트웨어 공급망에 직접 통합할 수 있게 된다.
오늘날 오픈소스 소프트웨어는 현대 기업 인프라의 기반을 이루고 있다. 그러나 AI의 발전은 취약점 발견과 악용을 가속하는 상황이다. 앤트로픽의 미토스 프리뷰 모델은 오픈소스 소프트웨어에서만 3900개의 심각한 취약점을 식별했다.
IBM과 레드햇은 현재 뱅크오브아메리카(BOA), BNY, 시티, 골드만삭스, JP모건체이스, 마스터카드, 모건스탠리, 로얄뱅크오브캐나다, 스테이트스트리트, 비자, 웰스파고 등 초기 도입 기업과 프로젝트 라이트웰을 공동으로 진행중이다. 초기 구축 사례에서 확보되는 통찰력은 복잡한 소프트웨어 공급망 전반에 걸쳐 취약점을 대규모로 식별, 검증 및 해결하는 방식을 적극적으로 개선하는 데 활용된다.
프로젝트 라이트웰은 앤트로픽 주도의 사이버보안 이니셔티브 ‘프로젝트 글래스윙’과 오픈AI 주도의 ‘트러스트 액세스 포 사이버’ 이니셔티브 등을 참고한다. IBM 에이전트 기반 보안 방식을 활용해 현대 엔터프라이즈 및 AI 시스템의 기반이 되는 오픈 소스 계층을 보호하는 것을 목표로 한다고 양사는 강조했다.
IBM과 레드햇은 오픈소스 소프트웨어에 대한 동일한 엔지니어링 원칙을 독립 라이브러리, 언어 툴체인, AI 프레임워크 및 데이터 스트리밍 플랫폼을 포함한 더 넓은 애플리케이션 환경에 적용하고 있다.
이러한 접근 방식은 기업이 독립적인 오픈소스 코드를 자체적으로 관리할 때 직면하는 운영상의 취약점을 직접적으로 해결한다. 클리어링하우스 모델을 통해 기업은 취약점 보고 및 해결, 검증된 패치 배포, 업스트림 소스코드 공개 조정 등에서 이점을 얻을 수 있다.
아빈드 크리슈나 IBM 회장 겸 최고경영자(CEO)는 “오픈소스는 오늘날 디지털 경제의 근간이자 현대 AI의 토대이며, 오픈소스 소프트웨어의 구축, 보안 및 확장에 있어 중요한 전환점에 서 있다”며 “IBM과 레드햇은 라이트웰 프로젝트를 통해 AI, 엔지니어링 전문성, 그리고 신뢰할 수 있는 협력을 결합해 오픈소스 소프트웨어의 원천부터 전체 공급망에 이르기까지 보안을 강화하는 새로운 산업 모델을 정립하는 데 기여하겠다”고 밝혔다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network


