IBM과 레드햇이 총 50억 달러(약 6조8000억원)를 투입하는 ‘프로젝트 라이트웰(Project Lightwell)’을 28일 발표하고, AI 자동화와 2만명 이상의 글로벌 엔지니어 조직을 결합해 오픈소스 소프트웨어의 취약점을 탐지·수정하는 공급망 보안 체계 구축에 착수했다. 두 회사는 이번 프로젝트가 기업 디지털 인프라와 국가 핵심 시스템의 보안 수준을 높이는 동시에 AI 시대에 걸맞은 새로운 오픈소스 보안 산업 표준을 제시하는 것을 목표로 한다고 밝혔다.
프로젝트 라이트웰의 핵심은 ‘신뢰 기반 엔터프라이즈 클리어링하우스(clearinghouse)’ 구축이다. 기업 고객은 이 체계를 통해 자사 오픈소스 코드에서 발견된 취약점을 IBM·레드햇과 공유하고, 검증된 패치를 공급받아 기존 소프트웨어 공급망에 적용할 수 있다. 이렇게 개발된 패치는 오픈소스 커뮤니티에 업스트림 방식으로 환원돼 생태계 전반의 보안 수준 향상으로 이어지는 구조다. 양사는 리눅스(Linux), 자바(Java), 쿠버네티스(Kubernetes), 카프카(Kafka), 앤서블(Ansible), 테라폼(Terraform) 등 주요 오픈소스 기술 전반으로 지원 범위를 확대할 계획이다. 뱅크오브아메리카, BNY, 씨티, 골드만삭스, JP모건체이스, 마스터카드, 모건스탠리, 캐나다왕립은행, 스테이트스트리트, 비자, 웰스파고 등 글로벌 금융권 11곳이 초기 도입 고객으로 참여해 실제 운영 환경에서 검증 작업에 함께하고 있다.
이번 발표는 오픈소스 생태계가 처한 구조적 위기를 배경으로 한다. 포춘(Fortune) 500대 기업의 90% 이상이 오픈소스 소프트웨어를 핵심 IT 인프라로 활용하지만, 전문 엔지니어 부족으로 새 취약점이 발견돼도 신속히 대처하지 못하는 한계가 오랫동안 지적돼 왔다. 최신 AI 모델이 오픈소스 프로젝트에서 약 3,900개에 달하는 중대 취약점을 발견한 연구 결과가 나올 만큼 탐지 속도는 빨라졌지만, 이를 방어할 커뮤니티 인력은 여전히 턱없이 부족한 실정이다. IBM은 현재 6만2000개 이상의 오픈소스 패키지를 자체 운영하며 이 중 1만개 이상에 대한 기술 전문성을 보유하고 있다고 밝혔다.
아르빈드 크리슈나(Arvind Krishna) IBM 회장 겸 최고경영자(CEO)는 오픈소스가 오늘날 디지털 경제의 근간이자 현대 AI의 토대라고 규정하면서, 지금이 오픈소스가 개발·보안·확장되는 방식에서 변곡점에 해당한다고 밝혔다. 그는 프로젝트 라이트웰이 AI, 엔지니어링 전문성, 신뢰 기반 협업을 결합해 소스 단계부터 공급망 전체에 걸쳐 오픈소스를 보호하는 새로운 산업 모델을 정의하는 시도라고 설명했다. IBM과 레드햇은 다른 기술 기업들이 AI를 활용한 비용 절감에 집중하는 것과 달리 엔지니어링 인력을 핵심 경쟁력으로 보고 투자를 확대하겠다는 방향을 강조했다. 프로젝트에 투입되는 2만명 이상의 엔지니어는 오픈소스 유지보수, AI 기반 취약점 검토, 의존성 강화, 보안 패치 개발과 배포를 전담하게 된다.
