기업 IT 환경에서 오픈소스 소프트웨어는 애플리케이션, 데이터 분석, HPC 워크로드 등 운영 전반을 구성하는 필수 기반으로 자리 잡았다. 하지만 프로젝트 단종, 공급업체 지원 종료(EOL), 취약점 증가 등으로 인해 오픈소스 공급망의 보안 공백이 커지고 있다.

EOL 구성요소가 남긴 취약점은 전체 아키텍처에 확산되며, 데브옵스 팀은 패치 불가·재빌드 지연·규정 준수 실패 등 직접적인 운영 리스크에 직면한다. 최근 여러 연구에서도 소프트웨어 공급망 공격이 장기화되는 가운데, 라이프사이클을 벗어난 OSS에 대한 지속적 패치와 자동 관리 체계의 중요성이 강조되고 있다.

오픈소스  사이버 보안 솔루션 기업 턱스케어(TuxCare)가 독일 베를린에서 열리는 엔터프라이즈 데브옵스 서밋에서 오픈소스 수명 종료 문제를 해결하는 ‘엔드리스 라이프사이클 서포트(Endless Lifecycle Support, ELS for OSS)’를 공개한다.

이 솔루션은 자동 CVE 탐지, 즉시 패치 제공, 전이 종속성까지 아우르는 심층 취약점 해결 기능을 포함해 EOL OSS를 장기적으로 보호하는 것이 특징이다. 데브옵스 워크플로우와 자연스럽게 통합돼 규정 준수 유지와 사고 대응 시간을 단축할 수 있다.

엔터프라이즈 오픈소스 공급망 수명주기 무한 확장 지원

ELS for OSS는 공급업체가 더 이상 지원하지 않는 라이브러리·런타임·애플리케이션까지 장기적으로 패치를 제공한다. HPC·금융·통신처럼 운영 중단 리스크가 큰 환경에서도 성급한 교체 없이 시스템을 보호할 수 있다. 재빌드가 어려운 레거시 OSS 구성요소를 유지하면서도 보안 공백을 최소화하는 구조다.

솔루션은 CVE를 자동으로 감지하고 SLA 기준의 신속 패치를 적용한다. 직접 의존성뿐 아니라 복잡한 전이 종속성까지 커버해 공급망 공격면을 최소화한다. 커널 패치 기술 ‘커널케어(KernelCare)’와 라이브러리 패치 ‘리브케어(LibCare)’ 등 턱스케어 생태계와 연동돼 재부팅 없이 핵심 구성요소 보안 업데이트가 가능하다.

기존 CI/CD 파이프라인, 보안 정책, 운영 도구와 자연스럽게 연결돼 코드 변경 없이 적용된다. 데브옵스 팀은 자동 패치·검증·대응 흐름을 통합 관리할 수 있으며, 규정 준수 상태도 실시간으로 유지한다. 운영 복잡성이 줄어들고 사고 대응 시간이 단축된다.

ELS for OSS는 커널부터 미들웨어, 언어 런타임, OSS 애플리케이션까지 스택 전체를 지원하며, 엔터프라이즈급 기술 지원을 제공한다. 현재 턱스케어는 전 세계 기업·정부·대학·연구기관에서 백만 건 이상의 워크로드를 보호하고 있다.

턱스케어 최고 매출 책임자(CRO) 마이클 카나반(Michael Canavan)은 “기업들은 EOL 이후에도 운영을 유지해야 하는 현실적 과제를 안고 있다.”라며 “ELS for OSS는 신속 SLA 기반 패치, 종속성 전체 적용, 워크플로우 통합을 통해 위험 없이 시스템을 보호하도록 설계됐다.”고 말했다.

OSS 기반 운영이 표준화된 환경에서 EOL 보안 공백은 기업의 지속 운영과 규정 준수에 치명적인 리스크로 남아 있다. 턱스케어의 ELS for OSS는 공급망 공격 증가와 오픈소스 수명주기 단축이라는 시장 현실에 대응하는 실질적인 대안으로 평가된다. 데브옵스 중심 운영 모델에서 자동 패치·지속 보호·워크플로우 통합을 모두 지원해 기업의 운영 안정성과 보안 민첩성을 강화하는 역할이 기대된다.