안녕하세요,그로메트릭 입니다. 🐸 소프트웨어 공급망 보안과 컴플라이언스 전략이 빠르게 진화하고 있습니다. SBOM(소프트웨어 명세서)이 처음 주목받기 시작했을 때, 그 목적은 비교적 단순했습니다. "이 애플리케이션에 어떤 오픈소스 컴포넌트가 포함되어 있는가?"라는 질문에 답하는 것이었죠. 그러나 오늘날의 소프트웨어 생태계는 클라우드 서비스, API, 컨테이너, CI/CD 파이프라인, 그리고 AI/ML 모델까지 훨씬 복잡해졌습니다. SBOM은 이제 단순한 컴플라이언스 체크리스트를 넘어, 공급망 공격 대응, 규제 준수, 벤더 리스크 관리, 그리고 AI 거버넌스의 핵심 도구로 빠르게 자리를 잡아가고 있습니다. 특히 AI 기반 애플리케이션이 확산되면서, AI 모델과 데이터셋의 출처를 추적하는 AI BOM(인공..

안녕하세요,그로메트릭 입니다. 🐸 최근 AI를 활용해 취약점 탐지 및 악용 속도를 극단적으로 앞당기는 '미토스(Mythos) 시대'가 도래하면서, 소프트웨어 공급망의 핵심인 리포지토리(Repository)를 향한 공격이 그 어느 때보다 거세지고 있습니다.단순히 오래된 시스템을 유지하는 것을 넘어, 최근 구버전 Sonatype Nexus Repository에서는 원격 코드 실행(CVSS 9.4) 및 하드코딩된 자격 증명 노출(CVSS 9.2)과 같은 치명적인 취약점들이 연이어 보고되었습니다. 이는 공격자에게 개발 환경의 자격 증명, 빌드 아티팩트, 배포 권한 등 가장 민감한 정보로 향하는 프리패스를 쥐여주는 것과 같습니다.과거의 레거시 아키텍처(OrientDB 등)와 구버전 OSS 인프라에 머물러 있는 ..