"'포스라이트' 활용하면 프로젝트별 보안 취약점 확인 및 해결"

"'포스라이트(FOSSLight)'를 활용하면 프로젝트별로 발견된 보안 취약점을 확인하고 해결 여부를 관리할 수 있습니다. 뿐만 아니라 소프트웨어 자재 명세서(SBOM) 및 오픈소스 추적이 가능하기 때문에 공급망 관리·보안 측면에서 활용하는 것도 가능합니다." 김경애 LG전자 연구위원은 24일 aT센터에서 개최한 '2026년 공급망보안 워크숍' 튜토리얼 세션에서 포스라이트를 활용한 공급망 보안 구현 방법에 대해 상세히 설명했다. 포스라이트는 LG전자에서 자체 개발해 사용하고 있는 오픈소스 관리 통합 시스템으로, 누구나 사용할 수 있게 2021년 오픈소스로 공개한 프로젝트다. 김 연구위원은 이날 포스라이트 스캐너(FOSSLight Scanner), 포스라이트 허브(FOSSLight hub) 등을 중심으로 공급망 보안 구축 시 활용할 수 있는 방안을 다뤘다. 포스라이트는 오픈소스에 관한 모든 것을 관리할 수 있는 통합 시스템인 포스라이트 허브와 오픈소스를 분석·스캔할 수 있는 포스라이트 스캐너로 구성돼 있다. 포스라이트 허브는 오픈소스 준수 절차를 순차적으로 처리하는 통합 시스템일뿐만 아니라 보안 취약점 관리, 공급망 관리, SBOM 관리 등 오픈소스 관련 모든 것을 관리할 수 있는 올인원 시스템이다. 김 연구위원은 "포스라이트 스캐너에 오픈소스 이름 및 버전을 입력하는 식으로 오픈소스 분석 보고서를 생성하는 것이 가능하다"며 "오픈소스의 전이적 종속성(Transitive Dependency)까지 확인해 오픈소스 이름 및 버전, 라이선스를 검출하는 것이 가능하다. 디펜던시(Dependency), 소스코드, 바이너리를 분석한 결과도 제공한다"고 설명했다. 또한 "포스라이트 스캐너는 전이적 종속성 구조를 트리(tree) 형태로 시각화해 제공하며, 포스라이트 바이너리 스캐너 데이터베이스를 자동으로 축적한다는 장점도 있다"고 말했다. 그는 이어 "뿐만 아니라 오픈소스를 분석한 결과를 포스라이트 허브에 업로드해 보안 취약점 조회 및 관리가 가능하다. 보안 취약점 변경 사항에 대해 관리자 및 프로젝트 담당자에게 메일 알림, 특정 오픈소스 버전을 사용하는 프로젝트에 대한 조회 기능도 탑재돼 있다"면서 "타사에서 전달받은 소프트웨어별 SBOM 관리 역시 가능하다"고 말했다. 그는 "파이썬 공식 소프트웨어 저장소(PyPI) 패키지 형태로 제공이 되기 때문에 빠르게 도입이 가능하며, 현장에서 연동성을 고려해 커스터마이징하는 것도 어려움이 없다"고 강조했다.