들어가며
지난 9월 11일 삼성SDS REAL Summit 2025에서 저희 서성한 사업부장님과 텔레칩스 연지영 매니저님이 "오픈소스를 모르고 AI를 말할 수 있는가: 기술 혁신의 그림자, 보안 리스크"라는 주제로 발표를 진행했습니다.
이 발표에서 AI 기초모델의 66%가 오픈소스 기반이라는 현실과 함께, 제조업에서 오픈소스 취약점 발생률이 63%에 달한다는 데이터를 공개했어요.
특히 제조업의 OT 환경 특성과 공급망 리스크, 그리고 이에 대응하기 위한 성숙도 기반 관리 체계에 대해 구체적으로 살펴보겠습니다.
오픈소스가 이끄는 AI 혁신과 숨겨진 리스크
1화에서 살펴본 것처럼, 현대 소프트웨어 개발에서 오픈소스 사용은 이미 선택이 아닌 필수가 되었습니다.
특히 AI 혁신을 이끄는 주역은 단연 오픈소스예요.
현재 상황만 봐도 그 영향력을 실감할 수 있습니다.
•
66% - 2023년 출시된 AI 기초모델 중 오픈소스 비중
•
150만개 - 2024년 Hugging Face에 등록된 모델 수
•
3.5배 - 오픈소스 도입 기업의 소프트웨어 비용 절감 효과
•
50% - AI로 인한 제조업 생산성 향상 효과 (최대 2,900억 달러 규모)
Meta, Mistral, DeepSeek 등 글로벌 기술 리더들이 고성능 LLM을 연이어 공개하면서, 전 세계 기술 리더의 75%가 향후 오픈소스 AI 확대를 계획하고 있어요.
하지만 2화에서 확인했듯이, package.json에 보이는 4개의 직접 의존성이 실제로는 60개 이상의 컴포넌트로 확장되는 것처럼, AI 모델 하나도 수많은 오픈소스 라이브러리와 의존성을 가지고 있다는 점을 간과해서는 안 됩니다.
제조업에서 마주한 오픈소스의 양면성
모든 기술 혁신에는 그림자가 따르기 마련입니다.
전 세계 기업의 96%가 오픈소스를 사용하고 있지만, 취약점과 라이선스 이슈는 분야와 상관없이 계속 나오고 있지요. 제조업도 마찬가지입니다.
현재 제조업 오픈소스 이슈 동향
누구나 접근할 수 있다는 오픈소스의 장점이 기술혁신을 가속화하지만, 그만큼 리스크 발생률도 함께 가속화된다는 것이 핵심 문제입니다.
제조업 특수성에 따른 SW공급망 위험
제조업은 다른 산업과 달리 Mission-Critical한 OT(Operational Technology) 환경을 가지고 있어요.
여기서 SW공급망 사고가 발생하면 피해 규모가 기하급수적으로 커질 수 있습니다.
주요 위험 요소들:
결과적으로 발생하는 위험:
•
생산설비 중단 발생
•
취약점 식별 및 대응 지연
•
생산 제어/중단 상황
•
핵심 데이터 누출
그렇다면 이런 복잡하고 치명적인 위험들을 어떻게 체계적으로 관리할 수 있을까요?
SBOM, 단순한 목록을 넘어서
2027년 정부의 SW공급망 보안 제도 시행을 앞둔 지금, SBOM은 더 이상 선택사항이 아닙니다.
특히 제조업의 복잡한 OT/IT 융합 환경에서는 더욱 그렇죠.
SBOM 관리는 소프트웨어 개발 전 과정과 배포 이후까지 SBOM을 지속적으로 업데이트·검증·배포하는 포괄적인 활동입니다.
5단계 SBOM 관리 프로세스
주요 이점
•
"우리 시스템에 뭐가 들어있지?" → 구성요소 추적성 확보
•
"보안이 제대로 되고 있나?" → 전반적인 보안 강화
•
"새로운 취약점이 나왔는데 우리는 괜찮나?" → 신속한 취약점 식별 및 대응
•
"규제 기관 감사 대비" → 규제·컴플라이언스 증명
•
"공급망 사고가 터졌을 때" → 공급망 사고 대응력 강화
결론적으로 SBOM 관리는 SW 공급망의 투명성 및 신뢰성 확보의 첫걸음이라고 할 수 있습니다.
SW공급망 관리 성숙도 모델의 중요성
여기서 중요한 점은 SBOM 관리만으로는 SW 공급망의 모든 리스크를 해결할 수 없다는 것입니다.
SCA 도구들이 SBOM 생성 및 관리에 훌륭한 역할을 하지만, 이는 전체 공급망 보안 체계의 한 부분일 뿐이에요.
현재 우리 조직의 개발 환경을 분석하고, 오픈소스와 SW 공급망 관리 체계를 단계별로 개선해 나가야 합니다.
SW공급망 관리 성숙도 5단계
•
Lv1: 시스템
◦
개발 시 도입한 오픈소스 SW의 취약점, 라이선스, EOS(지원 종료) 상태를 점검
◦
SBOM 생성 및 관리
•
Lv2: 연계
◦
DevOps, 외부 저장소(Repository), 레거시 시스템(결재, 품질관리, 자원관리 등)과 연계
◦
SW 공급망 관련 프로세스를 유기적으로 연결
•
Lv3: 운영 관리
◦
리스크 관리와 예방을 위한 거버넌스 시스템(통합 관리 포털) 구축
•
Lv4: 정책 수립
◦
오픈소스 사용·통제·운영기준 등 정책 수립 및 전파
◦
이를 바탕으로 SW공급망 전반의 관리 성숙도를 지속적으로 향상
•
Lv5: 오픈체인 인증
◦
국제 표준 기반 컴플라이언스(ISO 5230) 및 보안(ISO 18974) 인증 획득
마치며: SBOM으로 지금 바로 준비하세요!
1화에서 살펴본 것처럼, 미국 바이든 대통령의 행정명령과 EU의 사이버 복원력법(CRA)으로 인해 2027년부터는 SBOM 제출이 의무화됩니다.
이제 2년도 채 남지 않았어요!
제조업계에서 오픈소스 활용은 더 이상 되돌릴 수 없는 흐름이며, AI 시대에는 더욱 가속화될 것입니다.
2화에서 확인한 바와 같이, 겉으로 보이는 몇 개의 패키지가 실제로는 수십, 수백 개의 의존성을 가지고 있는 복잡한 현실에서, 체계적인 관리 없이는 감당할 수 없는 위험이 도사리고 있어요.
특히 Mission-Critical한 OT 환경을 가진 제조업에서는 SW 공급망 사고가 생산설비 중단과 핵심 데이터 누출로 이어질 수 있습니다.
성숙도 모델 기반의 체계적인 접근과 5단계 SBOM 관리 프로세스를 통해, 현재 상황 진단부터 시작하여 단계적으로 관리 체계를 구축해야 합니다.
오픈소스 보안 관리 없이는 기술 혁신도 위험할 수 있다는 메시지를 다시 한번 되새기며, 지금부터라도 체계적인 SBOM 관리 프로세스 구축에 나서야 합니다.
참고 자료
더 자세한 내용은 아래 링크를 통해 더 자세히 확인하실 수 있습니다.
성소연 프로
기업에서 오픈소스를 안전하게 사용할 수 있도록 돕는 거버넌스 업무를 담당하고 있어요