블랙덕(Black Duck)의 보고서 「임베디드 소프트웨어 품질 및 안전 현황 2025 (The State of Embedded Software Quality and Safety 2025)」는 임베디드 소프트웨어 전문가 대상으로 한 설문의 핵심 결과를 바탕으로 현재 일어나고 있는 상황에 대한 데이터 기반의 시각을 제공합니다.
보고서는 임베디드 소프트웨어 분야의 두 가지 중대한 변화를 배경으로 합니다.
- 첫째, AI 도구의 광범위한 도입과 그에 비해 위험할 정도로 미흡한 거버넌스 체계
- 둘째, 소프트웨어 공급망이 핵심 비즈니스 기능으로 부상하면서 상업적 요구사항으로 자리잡은 소프트웨어 자재명세서(SBOM)
또한 보고서에서는 임베디드 개발자의 역할 변화, 속도와 품질 사이의 지속적 긴장, 임베디드 소프트웨어 개발에 참여하는 기업 전반의 분산된 컴플라이언스 표준에 대한 내용을 확인할 수 있습니다. 아울러 기술 개발 리더, 관리자, 보안 및 컴플라이언스 담당자가 임베디드 소프트웨어 개발의 고유한 과제를 해결할 수 있도록 실행 가능한 권고사항을 제시합니다.
이번 아티클은 보고서의 내용 중 세 가지 주제를 소개합니다.
1. AI는 이미 기본값, 숙제는 ‘어떻게’ 쓰느냐
무려 89.3%의 기업이 이미 AI 코드 어시스턴트를 사용 중이며, 96.1%는 오픈소스 AI 모델을 자사 제품에 직접 통합하고 있습니다. 이는 데이터 처리, 컴퓨터 비전, 프로세스 자동화와 같은 핵심 기능에까지 활용되고 있습니다.
그러나 이러한 빠른 도입 속도를 거버넌스가 따라가지 못하고 있습니다. 21%가 넘는 조직은 AI가 코드에 새로운 결함을 유입시키는 것을 통제할 자신이 없다고 답했습니다. 또한 기업의 18%는 개발자가 기업 정책을 어기고 AI 도구를 사용하는 사실을 인지하고 있다고 답해 ‘그림자 AI (Shadow AI)’의 문제가 심각함을 알 수 있습니다. 이는 관리되지 않은 보안·라이선스·지식재산(IP) 리스크로 인한 관리 사각지대를 키우는 요인입니다.
보고서에서는 AI 코드 어시스턴트를 똑똑한 인턴과 같이 생각하라고 조언합니다. AI를 통해 초안을 빠르게 얻을 수 있지만 리뷰·테스트·추적 메타데이터 없이 제품 코드가 되어서는 안 됩니다. 그리고 기업은 AI 허용 범위, 금지 사항, AI 사용 모니터링 방식 등을 명확히 정의하여 기업의 직접적인 위협이 되는 AI 활용에 대한 정책을 즉시 수립하고 관련 교육을 진행해야 합니다.
2. SBOM은 협상 카드가 아닌 입장권
공급망 측면의 성숙은 더욱 뚜렷합니다. 소프트웨어 자재 명세서(SBOM) 제출 요구는 더 이상 규제 준수를 위한 항목이 아니라 시장 자체가 주도하는 상업적 요구사항이 되었습니다. 임베디드 소프트웨어 개발에 관여하는 조직의 70% 이상이 이제 SBOM을 필수로 작성해야 하며 이러한 흐름의 주요 이유로는 고객 또는 파트너 요구(39.4%)가 업계 규제 요구(31.5%)를 크게 앞지르는 결과를 보였습니다. 이제 시장은 소프트웨어 공급망에 대한 높은 수준의 투명성을 요구하고 있으며 투명성은 이제 경쟁 우위를 확보하고 고객을 유지하는 핵심 기능이 되었습니다.
하지만 SBOM을 한 번 산출하고 끝내는 방식은 지속성을 보장하지 못합니다. 전이적 의존성까지 추적하는 파이프라인을 마련하고 SPDX & CycloneDX 등 표준화된 형식으로 일관되게 제공해야 합니다. 더 나아가 SBOM을 취약점 대응과 사고 대응에 연결하여 운영 자산으로 활용하면 보안, 영업, 고객 대응 전반에서 효과를 발휘할 것입니다.
3. 기업의 습관이 되어야 하는 공급망 보안
오픈소스는 임베디드 시스템에서 코드의 주요 부분을 차지합니다. 소프트웨어 구성 분석(SCA)은 이제 표준운영절차(SOP)로 자리 잡았으며 기업은 소프트웨어 공급망 관리를 위해 'Shift Everywhere’ 전략을 채택하고 있습니다. 실제로 임베디드 소프트웨어 전문가는 SCA 도구를 통해 매 빌드마다(39.1%), 모든 풀 리퀘스트마다(38.9%), 심지어 개발자의 IDE 내에서도(34.9%) 스캔을 수행하고 있다고 답했습니다.
또한 라이선스 준수도 적극적으로 수행합니다. 전체 기업의 절반 이상인 51%가 주요 구성요소 스캔하는 것은 물론 54.4%에 이르는 기업이 개발자가 복사하여 붙여넣는 코드 스니펫에 담긴 라이선스 의무를 적극적으로 스캔하고 있습니다. 작은 코드 조각에도 상당한 IP·라이선스 리스크가 내재되어 기업의 큰 위협이 될 수 있기 때문입니다.
블랙덕의 임베디드 소프트웨어 품질 및 안전 현황 2025 보고서는 이러한 추세가 가속화될 것으로 예측합니다. AI 거버넌스 도구는 폭발적으로 증가할 것이며, 개발자 사이에서 기술 격차가 심화될 것입니다. 또한, SBOM은 대부분의 B2B 계약에서 필수적인 표준 항목이 되어 소프트웨어 경제의 근본적인 부분이 될 것입니다.
아래 링크를 통해 임베디드 소프트웨어 품질 및 안전 현황 2025 보고서 전문을 다운로드 하세요.
「 임베디드 소프트웨어 품질 및 안전 현황 2025」 보고서의 추가 내용
• 임베디드 개발자가 직면한 가장 큰 과제
• 분산된 컴플라이언스 환경이 테스트 도구 요구사항에 미치는 영향
• 블랙덕이 지원하는 임베디드 소프트웨어 조직의 보안·품질·안전·컴플라이언스 리스크 관리
🔗 보고서 다운로드 바로가기
