오픈소스 소프트웨어는 테크 생태계에서 혁신의 진원지로 통한다. 정도에 차이는 있지만 퍼블릭 클라우드와 사용자들이 많이 쓰는 유명 서비스들 대부분이 오픈소스 소프트웨어를 기반으로 돌아가고 있다. 오픈소스를 적극 활용하기는 창업에 뛰어드는 스타트업들 또한 마찬가지다.

다른 한쪽에선 오픈소스는 보안에 위협 요소로도 통한다. 

최근 이슈가 된 로그포제이(Log4j) 사례처럼 오픈소스 소프트웨어들에 존재하는 보안 취약점이 이를 활용하는 조직들에 광범위하게 피해를 줄 수 있다는 우려가 적지 않다. 미국은 정부 차원에서 오픈소스 보안 강화를 주문하고 나섰을 정도다.

혁신성과 위험성 이미지를 모두 가진 두얼굴의 오픈소스 소프트웨어 담론을 좀더 현실적으로 이해하기 위해서는 오픈소스 생태계에서 활동하는 개발자들 사기도 들여다 볼 필요가 있을 것 같다.

비즈니스 인사이더 최근 보도를 보면 오픈소스 소프트웨어 개발자들 사기는 꽤 떨어져 있다.

오픈소스 소프트웨어 프로젝트를 관리하는 메인테이너(maintainer)나 코드 개발에 기여하는 이들 중 다수가 번아웃(burn out)을 호소하고 있고, 일을 그만 두거나 자신의 프로젝트를 스스로 흔들어 버리는 사례들까지 나오고 있다.

비즈니스 인사이더는 오픈소스 소프트웨어 프로젝트에서 자원 봉사자로 뛰는 몇몇 개발자들을 인용해 자신들이 하는 일들이 제대로 인정받지 못하고 있고, 금전적인 보상이 거의 없다는 점 등을 사기 저하를 이끄는 요인들로 꼽았다. 업데이트나 수정을 빨리 해달라고 요구하는 사용자들 불만과 요구들을 감당해야 하는 것도 상당한 스트레스인 것으로 나타났다.

비즈니스 인사이더가 취재한 개발자 블레인 불리츠는 마이크로소프트나 NASA도 쓰는 오픈소스 소프트웨어 걸프닷제이에스(Gulp.js)에 자원 봉사자로 참여하고 있는데, 빠른 업데이트를 요구하는 사용자들 압박에 상처를 받았고 6개월 간 잠적한 끝에 결국 프로젝트를 중단했다.

얘기를 들어보니 사용자들은 일좀 빨리 하라고 다그치지, 일을 해도 돌아오는 보상은 없는 상황이 맞물리면서 의욕을 상실하는 결과로 이어졌다는 것이다. 불리츠는 매일 몇시간씩 사용자들이 보내는 이메일을 체크하는데 보냈다고 한다.

비즈니스 인사이더는 기업에서 정규직으로 일하면서 오픈소스 프로젝트 폼뷰레이트(FormVueLate)에 자원 봉사자로 참여하는 개발자 마리나 모스티 사례도 소개했다. 

모스티는 1주일에 10시간을 폼뷰레이트 프로젝트 관리에 썼고 소속 회사도 여기에 대해 금전적인 지원을 했다고 하는데, 번아웃에 빠졌다. 다른 개발자들 역시 번아웃되면서 폼뷰레이트 프로젝트 개발 작업도 타격을 받았다. 일부 코드를 다시 짜야 하는데, 아예 시작도 못했다고 한다.모스티는 "폼뷰레이트에 들일 시간과 에너지, 마음에 여유가 없다"고 토로했다.

비즈니스 인사이더는 한 프로그래머가 최근 대형 회사들이 자신의 작업을 무료로 쓰는 것에 대한 항의로 오픈소스 프로젝트인 컬러닷제이에스(Colors.js)와 페이커닷제이에스(Faker.js)를 고의로 파괴했다는 사례도 전했다.

오픈소스 소프트웨어 생태계는 그동안 모보수 개발자들의 참여와 지원 속에 성장해왔다. 마이크로소프트, 아마존, 넷플릭스 같은 빅테크 기업들조차 오픈소스 없이는 서비스를 운영할 수 없을 만큼, 오픈소스가 테크판에서 갖는 중량감은 매우 커졌다. 

인터넷 인프라는 점점 오픈소스 소프트웨어에 의존하고 있지만 오픈소스 소프트웨어 확산에 따른 리스크가 커지는 것도 부인하기 어렵다. 소프트웨어 공급망 관리 업체 소나타입(Sonatype) 보고서에 따르면 2020년부터 2021년까지 오픈소스 소프트웨어 공급 업체들에 대한 사이버 공격은 650% 늘었다. 또 유명 오픈소스 프로젝트들 중 29%가 최소 하나 이상의 알려진 보안 취약점을 갖고 있는 것으로 나타났다.

많은 이들이 소스코드를 들여다 볼수 있는 오픈소스 소프트웨언은 보안 측면에서 상대적으로 안전해 보일 수 있다. 하지만 현실은 그렇지 않다. 로그포제이에서 보듯, 개발자들이 취약점을 수정하지 않을 경우 오픈소스는 글로벌 인터넷 네트워크를 뒤흔드는 치명적인 무기로 둔갑할 수 있다. 

최근에는 오픈소스 웹브라우저인 파이어폭스에서도 치명적인 보안 취약점 2개가 발견됐고 오픈소스 OS의 대명사인 리눅스는 몇년 동안 심각한 취약점에 노출돼 있다고 비즈니스 인사이더는 전했다.

비즈니스 인사이더 보도를 보면 오픈소스 소프트웨어를 둘러싸고 커지는 보안 리스크와 오픈소스 소프트웨어 프로젝트에 참여하는 개발자들 사기 저하는 어느 정도 관련이 있어 보인다. 

사기 저하를 방치하면 오픈소스가 몰고올 보안 리스크는 더욱 커질 수 있다는 얘기다.

타이드리프트가 오픈소스 메인테이너로 활동하는 개발자 400여명을 상대로 조사한 결과에 따르면 46%가 보상이 없다고 답했다. 보상을 받는다고 답한 이들 중에선 절반 가량이 1년에 1000달러 이상을 받는 것으로 나타났다.

깃허브 타이드리프트, 오픈 콜렉티브 같은 서비스들이 오픈소스 개발자들이 기부 및 다른 형태 보상을 받을 수 있도록 후원하고 있지만 문제를 근본적으로 해결하기는 역부족이라고 비즈니스 인사이더는 전했다.

그런 만큼, 오픈소스 소프트웨어 생태계에서 안전망을 강화하려면 오픈소스 프로젝트에 참여하는 개발자들에 대한 기업들 지원이 확대되어야 한다는 목소리가 커지고 있다. 빅테크 기업들도 오픈소스에서 가져가는 것 만큼, 돌려주지는 않는다는 비판에서 자유롭지 않다.

아마존웹서비스는 오픈소스 소프트웨어를 다시 패키징해서 유료로 팔면서도 코드에는 많이 기여하지 않는다는 지적을 받아왔고 마이크로소프트와 구글도 오픈소스 친화적이라고 강조해왔지만 그렇게 보기 힘든 측면도 적지 않다.  [기사 더보기]

[출처 : 디지털투데이(www.digitaltoday.co.kr)]

[기자 : 황치규 기자(delight@d-today.co.kr)]