소프트웨어

“오픈소스를 지키자” …글로벌 IT업계 움직여

심재석

[IT전문 미디어블로그 = 딜라이트닷넷]

지난 4월 오픈SSL에서 발견된 하트블리드(Heartbleed) 버그는 IT업계에 큰 충격을 줬다. 현재 IT산업을 지탱하고 있는 핵심 보안 인프라인 오픈SSL에 버그가 있다는 사실을 2년 동안 아무도 발견하지 못했기 때문이다.

오픈소스소프트웨어는 더 많은 사람들이 소스코드를 리뷰하기 때문에, 오류가 발견되기 쉽고 더 안전하다는 것이 그동안의 생각이었다. 그러나 이는 현실과 동떨어진 막연한 믿음이었음이 드러났다. 거의 모든 웹 사이트에서 사용되는 오픈SSL이 1명의 전업 개발자와 3명의 파트타임 개발자에 의해 유지되고 있었던 것이다.

전 세계 인터넷 보안 인프라가 이들에게 운명을 맡기고 있었다고 볼 수 있다. 특히 이 중요한 프로젝트는 겨우 연간 2000달러의 기부로 운영돼 왔다. 리눅스나 아파치 같은 초대형 프로젝트를 제외한 대부분의 오픈소스 프로젝트는 이같은 신세를 면치 못하고 있는 실정이라는 점도 드러났다.

이에 글로벌 IT기업들은 오픈소스소프트웨어 생태계의 이런 문제점을 극복하기 위해 팔을 걷어붙였다.

오픈소스 진영의 맏형 격인 리눅스재단은 최근 CII(Core Infrastructure Initiative)이라는 조직을 발족했다. CII는 현대 IT인프라의 핵심으로 동작하는 오픈소스소프트웨어를 더 이상 방치하지 않기 위한 모임이다. 구글, 아마존, 시스코, 델, 페이스북, 후지쯔, IBM, 마이크로소프트, 넷앱, 랙스페이스, VM웨어 등 이 CII에 참여키로 했다. 이들은 매년 약 10만 달러를 기부하는 방식으로 인터넷 등에 중대한 영향을 미치는 오픈소스 프로젝트를 지원하게 된다.

CII의 목적은 오픈SSL을 비롯해 주요 오픈소스 프로젝트에서 심각한 버그를 방치하지 않는 것이다. 이를 위해 프로젝트 진행을 위한 개발자와 비용을 지원할 예정이다. 리눅스재단은 오픈소스 프로젝트를 유지하기 위해 전문 개발자를 고용하거나 코드 리뷰, 테스트 등을 위해 지원할 예정이다. 하트블리드와 같은 사태를 미연에 방지하겠다는 계획이다.

하트블리드 사태에서 보듯 오픈소스 생태계에는 중요한 허점이 있었다. 일각에서는 이 때문에 오픈소스 불신론이 다시 대두되기도 했다. 그러나 오픈소스소프트웨어는 현대의 IT인프라에서 빼놓을 수 없는 중요한 역할을 하고 있다. 지금의 IT환경에서 오픈소스소프트웨어를 빼야 한다면 엄청난 혼란이 일 것은 분명하다. CII는 이런 혼란을 막고 오픈소스의 생태계의 허점을 보완하기 위해 진행된다.

짐 제믈린 리눅스재단 이사장은 “중요한 것은 위기에서 교훈을 얻는 것”이라며 “중요한 프로젝트들이 재정적으로 어려움에 놓이는 것을 막는 것이 필요하다”고 말했다.

아직 CII가 어떻게 활동할 것인지 구체적으로 정해지지는 않았다. 후원사들은 계속 추가되고 있으며 위원회는 어떻게 구성될 것인지도 확정되지 않았다. 어떤 프로젝트를 지원할 것인지, 어떤 규모로 지원할 것인지도 아직은 모른다. 현재로서는 오픈소스의 자발적 생태계에 허점이 드러났으니 이를 보완하자는 원론만 정해진 상태다.

또 일각에서는 이런 후원이 관리감독으로 이어지고 오픈소스 프로젝트의 자율성을 해치지 않을까 하는 우려도 나오고 있다.

이에 대해 제믈린 이사장은 “오픈소스에 참가하는 사람들은 커뮤니티의 규율을 존중한다”면서 “규율 때문에 오픈소스의 좋은 점을 깨뜨리지는 않을 것”이라고 말했다.

[심재석기자 블로그=소프트웨어&이노베이션]

심재석
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널