래브라도랩스(대표 김진석, 이희조)가 소프트웨어 공급망 보안에 특화된 생성형 AI 모델 ‘래브라도 LLM’을 개발했다고 20일 밝혔다.
래브라도 LLM은 소프트웨어 구성 목록(SBOM)에 특화된 파운데이션 AI 모델이다. 특히 보안 민감도가 높은 산업 환경임을 감안하여 데이터 프라이버시 보호와 분석 신뢰성을 핵심으로 설계됐다.
래브라도랩스는 기존 공개된 트랜스포머 아키텍처를 기반으로, 자체 축적한 오픈소스 컴포넌트, 취약점 정보, 신뢰도 높은 외부 보안 데이터를 활용해 사전 학습(pre-training) 및 1차 튜닝을 완료했다. 이를 통해 외부 전송 없이 내부에서 AI 분석을 수행하는 독립형 AI 모델을 실현했으며, 현재 자사 솔루션에 본격 적용 중이다.
기존 SCA(Software Composition Analysis) 솔루션은 SPDX 식별자 등 명시된 메타 정보를 탐지하는 규칙 기반 접근 방식을 사용한다. 그러나 실제 오픈소스 환경에서는 라이선스 명시가 누락되었거나, 여러 라이선스가 혼합된 멀티라이선스 환경이 흔하며, 이런 경우 단순 규칙 기반 탐지에 한계가 분명하다.
래브라도 LLM은 소스코드 내 명시되지 않은 라이선스라도 전문(full text)의 조항과 조건을 문장 단위로 분석해 예외 조항까지 포함한 정밀한 판별이 가능하다. 이를 통해 오탐을 줄이고, 탐지 누락을 최소화했다.
특히 SPDX에서 정의한 약 750여 개의 표준 오픈소스 라이선스를 기반으로, 텍스트 조항 내 표현 방식의 차이까지 정규화(normalize)해 일관된 탐지 결과를 제공한다. 라이선스 예외 조항 또한 별도 필드로 추출해 SBOM 포맷에 맞게 구조화된 데이터로 출력할 수 있다.
래브라도랩스는 주로 사용하는 오픈소스 220만개를 분석해보니, 오픈소스 안에 라이선스가 명확하게 적혀 있는 경우(라이선스 정형데이터)는 평균 60% 수준으로 파악했다. 30%는 표준 형식이 아니거나 문장 기반으로 라이선스를 표기(라이선스 비정형데이터)하고 있으며, 나머지는 아예 빠져(라이선스 데이터없음) 있는것으로 분석했다.
이에 래브라도랩스 측은 래브라도 LLM을 상위 1만 개 프로젝트 내의 샘플에 적용한 결과, 라이선스 비정형 데이터를 AI가 추가 분석함으로써 전체 약 94%의 높은 정확도를 보였다고 밝혔다.
라이선스 탐지 실패는 실제 법적 분쟁으로 이어질 수 있다. 예를 들어, 2008년 시스코는 GPL과 OpenSSL의 예외 조항이 적용된 오픈소스를 사용하면서 해당 조건을 명확히 고지하지 않아 자유소프트웨어재단(FSF)으로부터 저작권 침해 소송을 당했고, 최종적으로 합의에 이르렀다.
2024년 프랑스 통신사 오렌지(Orange)가 클래스패스(Classpath) 예외 조항이 포함된 GPL 기반 소프트웨어를 적절히 고지하지 않고 사용했다는 이유로 Entr’Ouvert와의 소송에서 패소해 90만 유로의 배상 판결을 받은 바 있다. 기업이 예외 조항을 명확히 식별하지 못할 경우 라이선스를 위반한 것으로 간주되어 법적 리스크로 이어질 수 있다.
래브라도 LLM은 GNU Classpath의 ‘Classpath 예외’, OpenSSL 예외 등과 같은 복잡한 조건을 문장 단위로 식별해 SBOM에 자동 기록하고 구조화된 리포트로 출력한다. 이를 통해 법적 분쟁 가능성을 최소화하며, 잘못된 라이선스 해석으로 인한 소프트웨어 제거와 같은 낭비도 방지할 수 있다.
또한 엘라스틱서치(ElasticSearch)나 GCC처럼 하나의 소프트웨어에 여러 라이선스가 적용된 ‘멀티라이선스’ 구조 역시 정확히 식별하고 구분한다. 이를 통해 정책 위반 가능성을 사전에 차단하고, 기업의 오픈소스 컴플라이언스를 실질적으로 강화할 수 있다.
래브라도랩스는 해당 모델을 오픈소스 라이선스 탐지에 이어, 보안 취약점 정밀 탐지, 소프트웨어 참조관계 분석 등의 기능으로 확대 예정이다. 특히 산업별 특성에 맞는 추가 학습(Fine-tuning)과 학습 데이터 갱신을 통해 맞춤형 AI 분석 서비스를 제공하고, 글로벌 컴플라이언스 및 규제 환경 변화에도 유연하게 대응할 수 있는 SBOM 기반 AI 플랫폼으로 발전시킨다는 전략이다.
김진석 대표는 “래브라도 LLM의 개발은 단순한 AI 기능 구현을 넘어, 공급망 보안과 규제 대응을 실현하는 신뢰 가능한 AI 분석 기술의 시작점”이라며, “앞으로도 다양한 산업과 보안 도메인에 적용 가능한 형태로 확장해 나가겠다”고 말했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[포토] 재난, 사고 등에 대비한 AI 기반 지능형 영상보안 시스템](https://img.etnews.com/news/article/2025/05/16/news-p.v1.20250516.a9ad6cc5a38b4dec8531064cc8a542e5_P1.jpg)
