- 오픈소스·바이너리·레포지토리 분석 통합…개발 전 과정 리스크 추적

 

쿤텍이 공급망 보안 플랫폼 ‘이지즈(AEZIZ) 3.0’을 출시하고 SBOM과 AI-BOM 기반 분석 기능을 적용해 소프트웨어 구성 요소와 AI 모델 데이터를 개발 전 과정에서 추적하고 검증한다.

 

코드부터 배포까지 구성요소 추적 통합

이지즈 3.0은 오픈소스 분석(SCA), 레포지토리 관리(RMS), 바이너리 분석 기능을 하나로 묶어 코드 생성부터 배포까지 이어지는 단계에서 사용된 구성 요소를 수집한다. 라이브러리와 패키지 정보는 SBOM으로 정리하고, 각 구성 요소의 버전과 변경 이력을 연결해 추적한다. 코드 서명 검증과 SBOM 비교 분석을 적용해 배포 전후 구성 요소 차이를 식별하고, 취약점이 포함된 구간을 특정해 대응 범위를 좁힌다. 분산된 보안 도구를 각각 확인하던 방식에서 벗어나 하나의 화면에서 구성 요소 상태와 변경 이력을 함께 확인한다.

 

SBOM 기반 취약점·라이선스 연계 분석

플랫폼은 SBOM 데이터를 기준으로 취약점 데이터베이스와 라이선스 정보를 연결하고, 특정 라이브러리에서 취약점이 발생하면 해당 코드가 포함된 빌드와 배포 대상까지 추적한다. 개발 조직은 구성 요소 단위로 영향을 받는 범위를 식별해 수정 대상만 선별한다. 전체 시스템을 다시 점검하던 방식에서 벗어나 변경된 구성 요소 중심으로 점검 범위를 줄인다.

 

AI-BOM으로 모델 구성 요소 검증 추가

이지즈 3.0에는 AI 모델 공급망을 관리하는 AI-BOM 기능이 추가됐다. 모델 학습에 사용된 데이터셋과 라이브러리, 모델 구조 정보를 수집해 구성 요소 목록으로 정리하고 각 항목의 변경 이력과 출처를 기록한다. AI 모델 업데이트 과정에서 데이터 변경이나 라이브러리 교체가 발생하면 이전 버전과 비교해 차이를 식별하고, 결과에 영향을 주는 요소를 점검한다. 데이터 출처와 변경 이력을 기준으로 모델 상태를 관리하고 데이터 신뢰성과 모델 변형 문제를 함께 추적한다.

 

대시보드로 프로젝트별 상태 확인

플랫폼은 프로젝트 단위로 보안 상태와 조치 현황을 시각화하고, 각 구성 요소의 변경 이력과 대응 상태를 함께 표시한다. 다양한 아카이브와 바이너리 포맷을 지원해 실제 개발 환경에서 사용하는 패키지와 결과물을 그대로 분석 대상에 포함한다. 쿤텍은 금융, 공공, 국방 환경에서 구축한 사례로 운영 단계에서 기능을 검증하고, 해당 경험을 기반으로 공급망 보안 적용을 산업 전반으로 넓히고 있다.

 

쿤텍 방혁준 대표는 “이지즈 3.0은 소프트웨어와 AI 구성 요소를 함께 추적하는 공급망 보안 관리 플랫폼”이라며 “AI-BOM 기능을 통해 모델 구성 요소까지 관리 범위를 확장해 운영 신뢰성을 높이도록 지원한다”고 밝혔다.

 

#쿤텍 #AEZIZ #SBOM #AIBOM #공급망보안 #소프트웨어보안 #AI보안 #MLOps