브로드컴, 기업 AI 기반 보안 위협 대응 위해 스프링에 투자
출처: VMware Blog
수십 년 동안 Spring은 수백만 기업 개발자들이 Java 애플리케이션을 구축할 때 신뢰할 수 있는 개발 프레임워크를 제공해 왔습니다. Spring을 관리하는 Broadcom의 Tanzu 부서는 Spring 및 Java 생태계의 안전과 보안을 매우 중요하게 생각합니다. 현재 위협 환경에서 AI가 주도하는 개발에 대응하기 위해, 우리는 VMware Tanzu Spring(http://enterprise.spring.io/) 고객을 위해 새로운 상업용 CVE‑전용 패치와 Java 의존성에 대한 투자를 발표하게 되어 기쁩니다.
AI가 촉진하는 보안 위협의 새로운 정상
AI 기반 위협으로 인해 모든 조직의 위험 프로필이 실제로 그리고 급격히 변했습니다. 지속적으로 급증하고 있는 취약점 탐지량 위에, 패치 적용 윈도우는 사실상 사라졌으며 AI는 공격자가 낮은 심각도의 취약점을 연쇄적으로 결합해 심각한 위협으로 만들도록 합니다. 이러한 새로운 환경에서는 오랫동안 사용되어 온 보안 워크플로우가 취약점의 양과 속도를 따라잡기 어려워집니다.
그림 1: Spring 오픈소스 커뮤니티 보안 권고가 Spring 관리자인 Broadcom에 보고된 모습.
2026년 4월 한 달만에 Broadcom은 커뮤니티로부터 보고된 Spring 보안 권고가 전월 대비 1766% 증가한 것을 확인했습니다. 이는 일시적인 현상이 아닙니다. 오픈소스 소프트웨어 전반에서 보이는 추세와 마찬가지로, 과거에 비해 높은 수준의 Spring 커뮤니티 보안 보고가 2026년 5월에도 지속되었으며, 앞으로도 이 추세가 이어질 것으로 예상합니다.
CVE‑전용 Spring 릴리스 프로세스 도입
악의적인 행위자는 이제 AI를 활용해 며칠·몇 주가 아닌 몇 시간 만에 효과적인 익스플로잇을 만들 수 있으며, 조직이 신속히 대응하는 능력이 매우 중요합니다. 이러한 가속화된 위협 환경에 대응하고 Spring의 윤리적 관리라는 오랜 약속을 지키기 위해 Broadcom은 2026년 6월 Spring 릴리스에 대대적인 투자를 진행했으며, 23년 역사의 가운데 가장 큰 규모의 Spring 업데이트를 제공했습니다. 이제 VMware Tanzu Spring 고객은 검증된 CVE‑전용 패치를 이용해 빠르게 패치를 적용하고, 추후 업그레이드를 진행할 수 있습니다. 이러한 수정을 제공함으로써 고객은 새로운 위협에 대비해 즉각적인 방어 강화 조치를 취할 수 있습니다. 우리의 목표는 지속적인 엔지니어링 투자를 통해 프로덕션에서 운영 중인 Spring 사용자를 보호하고, 앞으로 증가할 보안 위협에 대비하도록 돕는 것입니다.
항상 그렇듯 Broadcom의 Spring 팀은 OSS 지원 하에 모든 Spring 버전에 대해 CVE와 패치를 계속 제공할 것입니다. Tanzu Spring 고객에게는 Tanzu Spring 엔터프라이즈 지원을 받는 모든 Spring 프로젝트(예: 2032년까지 엔터프라이즈 지원이 보장되는 Spring Boot 3.5)에 대해 백포트 패치를 포함합니다.
Spring을 위한 Java 의존성 트리 보안
또한 Broadcom의 Spring 엔지니어링 팀은 최첨단 AI‑지원 보안 분석에 대한 투자를 크게 확대했습니다. 여기에는 최첨단 모델 기반 스캔 및 검증 워크플로우가 포함되어, Java 의존성 트리 전반에 걸쳐 취약점을 사전 탐지하고, 대응 경로를 평가하며, 수정 사항을 검증합니다. Broadcom은 **Spring 및 Java 생태계 보안에 대한 추가 R&D 투자**를 발표했으며, 이는 Bitnami 의 클린룸 빌드 아키텍처를 확장해 전체 Spring 생태계의 Java 의존성을 구축하는 데 활용됩니다. 이와 같은 투자 확대를 통해 Tanzu Spring 고객은 다음을 이용할 수 있게 됩니다.
- Java 의존성에 대한 SLSA Level 3 검증 소프트웨어 공급망 보장
- Spring Boot BOM(빌드 오브 머티리얼)으로 관리되는 전체 전이적 의존성 그래프 커버
- 모든 지원되는 Spring 버전에 대해 수천 개의 보안 의존성을 빌드·테스트. 예를 들어 Spring Boot 4.0만 해도 1,768개의 의존성을 관리하며, 전체 포트폴리오에서는 100,000개가 넘는 검증된 의존성 빌드가 존재합니다.
또한 20년 이상 오픈소스 커뮤니티의 일원으로 활동해 온 Spring 팀은 인접한 오픈소스 기술들과 폭넓은 관계를 유지하고 있으며, 앞으로도 이러한 업스트림 커뮤니티 프로젝트와 협업·기여를 지속할 것입니다.
Purnima Padmanabhan, GM Tanzu Division, 현재 AI‑주도 보안 환경에 대한 평가를 전달합니다
Tanzu Spring이 증가하는 보안 위험을 완화하는 방법
Tanzu Spring 아티팩트는 Spring Enterprise Repository 를 통해 고객에게 제공됩니다. 이 저장소는 보다 안전하고 접근이 제한된 디지털 금고 역할을 합니다. Tanzu Spring의 프라이빗 아티팩트 저장소를 활용하면, Broadcom( Spring 유지보수 담당)으로부터 모든 아티팩트를 단일하고 신뢰할 수 있는 출처에서 받아오게 되므로 위험 요소를 크게 줄일 수 있습니다. 프라이빗 저장소 외에도 Tanzu Spring 고객은 다음과 같은 혜택을 누릴 수 있습니다.
- 보안이 검증된 Spring 라이브러리의 공인 소스
- 현재 및 이전 엔터프라이즈 지원 버전에 대한 상업용 우선 패치 제공
- 종속 Java 바이너리 접근
- Spring Application Advisor 를 통한 자동·결정론적 업그레이드
- 거버넌스·보안을 위한 전용 Tanzu Spring 컴포넌트
- 24×7 지원, 실무 전문가와 Spring 팀 직접 연결
App Advisor 로 “의존성 부채” 해소
보안 패치를 적용할 때 가장 큰 병목 현상은 패치 자체가 아니라 패치가 기존 시스템을 깨뜨릴까 하는 두려움입니다. 애플리케이션이 오래된 버전이나 구식 프레임워크에 머무르면 “의존성 부채”가 쌓이게 됩니다. 팀이 지속적으로 최신 벤더 표준에 맞춰 소프트웨어 버전을 맞추면, 보안 패치 적용은 고위험 대대적 개편이 아니라 사소한 작업이 됩니다.
Tanzu Spring의 구성 요소인 Application Advisor 는 Spring 애플리케이션 현대화를 위한 마찰을 크게 줄여줍니다. 자동·결정론적인 권고를 제공하고, 포트폴리오 평가부터 코드·설정·의존성 변경까지 개별 업그레이드 단계까지 구현을 지원합니다. Application Advisor 를 활용하면 의존성 부채를 정리하면서 긴급 패치를 적용하는 병목을 해소할 수 있습니다. 실제로 Application Advisor 를 사용하면 업그레이드에 소요되는 엔지니어링 시간이 70% 감소했습니다. 사례 연구 보기.
Spring의 건강과 보안에 대한 우리의 약속
AI 기반 보안 위협이 급격히 변함에 따라 Broadcom은 Spring 엔지니어링 프로세스를 조정하고 Java·Spring 생태계의 건강에 대한 투자를 지속하고 있습니다. Spring의 Java 의존성 트리를 강화하고 엔터프라이즈 고객에게 보안 패치를 그 어느 때보다 빠르게 제공함으로써, 우리는 Spring 관리자로서 검증된 패치를 통해 Tanzu Spring 고객이 애플리케이션을 신속히 복구할 수 있도록 지원합니다. 이러한 엔지니어링 투자와, 보안된 출처를 제공하는 프라이빗 저장소, 그리고 Application Advisor 와 같은 도구는 기업이
※ 본 문서는 2026년 6월 기준 최신 정보를 반영하고 있습니다.