IBM이 50억 달러를 투입해 오픈소스 취약점을 일소한다! 2만 명의 엔지니어를 투입할 예정이며, 6대 금융 거물이 이미 합류했다

IBM은 자회사인 오픈소스 기업 Red Hat과 손잡고 'Project Lightwell' 계획을 공식 발표하며, 50억 달러를 투자하고 2만 명의 풀타임 엔지니어를 투입해 첨단 AI 기술로 오픈소스 소프트웨어 취약점을 대규모로 스캔한다. Bank of America, JPMorgan, Visa, Mastercard, Wells Fargo, Morgan Stanley가 초기 파트너로서 플랫폼에 합류했으며, 보호 범위는 Red Hat 자체 환경에서 AI 프레임워크, 코드베이스, Apache Kafka 등 분산형 인프라까지 대폭 확장된다. 動區動趨가 정리 보도. (이전 줄거리: 월간 다운로드 약 1억 회의 AI 패키지 LiteLLM, 공급망 공격 발생 — 암호화폐 지갑, SSH 키 전면 유출) (배경 보충: AI 보안 스타트업 Depthfirst, Anthropic Mythos를 꺾다! NGINX에 18년간 잠복했던 취약점 발견) 핵심 요약 - IBM, Red Hat과 함께 Project Lightwell 출시 — 50억 달러 투자, 2만 명 엔지니어 투입해 AI 기술로 오픈소스 소프트웨어 취약점 식별 및 수정 - Bank of America, JPMorgan, Visa, Mastercard, Wells Fargo, Morgan Stanley가 초기 파트너로 플랫폼 합류 - 보호 범위가 Red Hat 자체 시스템에서 AI 프레임워크, 코드베이스 및 Apache Kafka 등 광범위한 오픈소스 기술 생태계로 확장 올해 들어 오픈소스 소프트웨어 공급망 공격의 빈도와 파괴력이 가속화되고 있다. 3월에는 월간 다운로드 약 1억 회에 달하는 AI 패키지 LiteLLM에 악성 코드가 삽입되어 암호화폐 지갑 개인키와 SSH 키가 탈취되었고, 5월에는 OpenAI 직원의 컴퓨터마저 TanStack npm 공급망 공격에 휘말렸다. IBM은 바로 이 시점에 움직여, 자회사 Red Hat의 보안 역량을 '자사 시스템'에서 오픈소스 생태계 전체로 확장하고 있다. Project Lightwell의 규모는 작지 않다 — 50억 달러 투자, 2만 명의 풀타임 엔지니어. 이들 엔지니어는 모두 IBM 기존 직원으로 구성되며, 100% 취약점 식별 및 수정에 전념한다. 외주도, 파트타임도, 명목상의 컨설턴트도 아니다. Red Hat의 또 한 번의 확장 과거 Red Hat의 보안 도구와 취약점 스캔은 주로 자체 시스템 환경, 예컨대 RHEL(Red Hat Enterprise Linux)과 OpenShift에 국한되어 있었다. Project Lightwell은 이 경계를 허물었다. 보호 범위는 외부로 대폭 확장되어 AI 프레임워크(TensorFlow, PyTorch 등), 오픈소스 코드베이스, 그리고 분산형 데이터 스트리밍 플랫폼 Apache Kafka를 포함한 더 광범위한 기술 생태계를 포괄한다. Kafka는 전 세계 금융업계에서 대규모로 사용되며, JPMorgan은 한때 Kafka 경력을 요구하는 채용 공고를 500개 이상 게시했다. 실시간 거래 처리, 리스크 관리 모니터링, 규제 보고의 기반 신경 시스템이다. 실시간 결제 시스템의 기반에서 Kafka가 돌아가고 있는데, Kafka의 어떤 dependency에 악성 코드가 심어진다면 방화벽은 당신을 지켜주지 못한다. IBM이 겨냥하는 것이 바로 이 계층이다. 6대 금융 거인이 먼저 탑승 Project Lightwell이 발표될 때 이미 6개 초기 파트너가 함께했다 — Bank of America, JPMorgan Chase, Visa, Mastercard, Wells Fargo, Morgan Stanley. 이 명단은 사실상 미국 금융업의 핵심을 망라하며, 최대 상업은행 2곳, 양대 카드 조직, 자산관리 선두기업 1곳, 리테일 뱅킹 거인 1곳을 포함한다. 이들의 공통점은 오픈소스 인프라에 깊이 의존한다는 것이다 — Kafka부터 Kubernetes, 각종 AI 추론 프레임워크까지, 모든 계층이 공급망 공격의 진입점이 될 수 있다. IBM은 올해 5월 AI 보안 제품 포트폴리오 확장을 발표하고 Project Glasswing이라는 이름으로 Anthropic과의 협력을 심화한 바 있다. Project Lightwell은 같은 판의 다음 수다. 금융업계에 있어 이 방어선은 결코 이르다고 할 수 없다. 올해 1월부터 5월까지만 해도 오픈소스 공급망 공격으로 인해 여러 기술 기업과 개발자가 막대한 대가를 치렀다. 자주 묻는 질문 Project Lightwell의 2만 명 엔지니어는 신규 채용된 것인가? 아니다. 이 2만 명의 풀타임 엔지니어는 모두 IBM 기존 직원이며, 100% 오픈소스 소프트웨어의 취약점 식별 및 수정 업무에 전념하고 외부 채용과는 관련이 없다. Project Lightwell은 Red Hat의 기존 보안 서비스와 어떻게 다른가? 과거 Red Hat의 보안 도구는 주로 자체 시스템 환경(RHEL, OpenShift 등)에 국한되어 있었으나, Project Lightwell은 보호 범위를 AI 프레임워크, 오픈소스 코드베이스 및 Apache Kafka 등 더 광범위한 오픈소스 기술 생태계로 확장한다.