2021.03.12

토픽 브리핑 | 오픈소스의 시대, 중요한 것은 "소스 코드"가 아닌 "사람"

이대영 기자 | ITWorld
오픈소스가 10년만에 세상을 바꿨다. 2010년대 들어서면서, 클라우드, 빅데이터, 머신러닝, 프로그래밍 언어 등은 오픈소스를 기반으로 급속하게 발전했으며, 엔터프라이즈 IT는 대부분 오픈소스로 전환했다. '오픈소스는 암이다'라고 주장했던 마이크로소프트는 이제 오픈소스의 가장 큰 기여자가 됐다. 

클라우드는 오픈소스 세상을 만드는 촉진제가 됐고, 대부분 오픈소스로 이뤄진 빅데이터 기술은 데이터 과학자라는 새로운 직업을 창출하기도 했다. 오늘날 많은 개발자는 오픈소스인 비주얼 스튜디오 코드를 편집기로 사용하고, 오픈소스인 타이프스크립트(TypeScript)를 사용해 웹 애플리케이션을 구축하며, 깃허브를 이용해 코드를 저장한다. 특히 현재 전 세계 최고 성능 슈퍼컴퓨터 500대가 모두 리눅스를 구동한다.  

도커에서 데이터과학까지, 오픈소스가 '또 한 번' 세상을 바꾼 방법
MS, 오픈소스 자바 진영에 합류
“TOP500 슈퍼컴퓨터 모두 리눅스 구동” 오픈소스의 가치 증명
아마존, 애플, 구글, 삼성···프로젝트 CHoIP 발족 "오픈소스 스마트홈 표준 위해 뭉쳤다"
2020 베스트 오픈소스 소프트웨어 25선

이렇게 오픈소스는 프로그래밍 언어와 애플리케이션 플랫폼, 머신러닝과 데이터 인프라, 하드웨어까지 전 세계에서 가장 중요한 신기술의 동력이 됐다. 

오픈소스가 지금처럼 널리 사용된 적이 없다는 사실에도 불구하고 현재 “오픈소스 지속 가능성’ 위기에 대한 논의가 진행되고 있다. 오픈소스는 지속될 수 없다는 경고는 오픈소스가 탄생한 이래로 계속 되어왔다. 지난 몇 년 동안 이에 대해 많은 논의가 있었고, 일부 타당한 측면도 있었다. 

'공유지의 비극'이라는 유명한 개념은 오픈소스 지속가능성을 거론할 때 줄기차게 제시되어 온 주장이다. 또한 오픈소스의 문제점 가운데 하나는 중요한 오픈소스 소프트웨어가 상대적으로 적은 인원으로 관리되고 있으며, 기여자에게는 금전적 보상 방법이 많지 않다는 점이다. 예를 들어, 파이썬의 유명한 라이브러리인 넘파이(numpy)는 단 6명의 메인테이너(maintainer)가 유지하고 있다. 

이런 문제로 인해 의존성 혼동(Dependency confusion)이라는 논리적 결함이 등장했다. 의존성 혼동은 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다.

오픈소스 저장소 사용 시의 또 다른 위험, '의존성 혼동'이란 무엇인가

사실 오픈소스 취약점의 문제는 어제 오늘일이 아니다. 2017년 에퀴팩스 해킹 사고는 알려진 오픈소스 보안 취약점을 방치해 발생한 것이며, 2014년 발견된 오픈 SSL의 하트블리드 취약점은 2년이 넘도록 그대로 두었다가 결국 큰일이 터지고 말았으며, 1989년부터 오픈소스 배쉬(Bash) 프로젝트에 숨어 있었던 셸쇼크 버그는 공격자들에게 좋은 먹이가 되었다.

도커 허브(Docker Hub) 리포지토리에 호스팅된 400만 개의 컨테이너 이미지를 보안 분석한 결과에 따르면, 절반 이상의 이미지에 최소 1개 이상의 중대한 취약점이 포함되어 있는 것으로 드러났다. 

에퀴팩스 데이터 침해 사건 FAQ, 사건의 전말과 영향
도커 허브, 절반 이상이 심각한 취약점을 갖고 있다
오픈소스 코드 속 보안 취약점을 피하는 실무 팁 4가지 

오픈소스 전문가들은 각자의 이론으로 지속가능 방법에 대해 설파했으며, 수많은 대안과 주장을 공유하고 있다. 이 가운데 오픈소스의 지속 가능성을 둘러싼 실제 문제는 소프트웨어가 아닌 '사람'이라는 주장이 눈에 띈다. 

오픈소스 및 웹 표준 컨설턴트 토비 랑겔이 지적한 바에 따르면, 오픈소스 코드는 희소 자원이 아니며, 사용자와 생태계에 제로 원가로 무한 재생산할 수 있다. 또한 자금 문제가 진정한 문제는 아니지만, 진실에 더 가깝기는 하다라고. 랑겔은 "대신 오픈소스의 지속 가능성을 둘러싼 실제 문제는 바로 사람이다. 오픈소스에서 소스 코드를 작업하는 메인테이너(maintainer)야말로 보호, 육성해야 하는 진정한 희소 자원이다"라고 주장했다.

IDG 블로그 | ‘고객 중심의 오픈소스’가 소프트웨어의 미래인 이유
글로벌 칼럼 | 다시 오픈소스의 즐거움을 말하자
IDG 블로그 | 오픈소스 프로젝트의 가장 중요한 부분
글로벌 칼럼 | 마이SQL과 리눅스 사례로 본 오픈소스 '성공 방정식'
지속가능한 오픈소스를 위한 3가지 모델
글로벌 칼럼 | 오픈소스 지속 가능성은 '코드'가 아니라 '사람'의 문제  editor@itworld.co.kr
 


2021.03.12

토픽 브리핑 | 오픈소스의 시대, 중요한 것은 "소스 코드"가 아닌 "사람"

이대영 기자 | ITWorld
오픈소스가 10년만에 세상을 바꿨다. 2010년대 들어서면서, 클라우드, 빅데이터, 머신러닝, 프로그래밍 언어 등은 오픈소스를 기반으로 급속하게 발전했으며, 엔터프라이즈 IT는 대부분 오픈소스로 전환했다. '오픈소스는 암이다'라고 주장했던 마이크로소프트는 이제 오픈소스의 가장 큰 기여자가 됐다. 

클라우드는 오픈소스 세상을 만드는 촉진제가 됐고, 대부분 오픈소스로 이뤄진 빅데이터 기술은 데이터 과학자라는 새로운 직업을 창출하기도 했다. 오늘날 많은 개발자는 오픈소스인 비주얼 스튜디오 코드를 편집기로 사용하고, 오픈소스인 타이프스크립트(TypeScript)를 사용해 웹 애플리케이션을 구축하며, 깃허브를 이용해 코드를 저장한다. 특히 현재 전 세계 최고 성능 슈퍼컴퓨터 500대가 모두 리눅스를 구동한다.  

도커에서 데이터과학까지, 오픈소스가 '또 한 번' 세상을 바꾼 방법
MS, 오픈소스 자바 진영에 합류
“TOP500 슈퍼컴퓨터 모두 리눅스 구동” 오픈소스의 가치 증명
아마존, 애플, 구글, 삼성···프로젝트 CHoIP 발족 "오픈소스 스마트홈 표준 위해 뭉쳤다"
2020 베스트 오픈소스 소프트웨어 25선

이렇게 오픈소스는 프로그래밍 언어와 애플리케이션 플랫폼, 머신러닝과 데이터 인프라, 하드웨어까지 전 세계에서 가장 중요한 신기술의 동력이 됐다. 

오픈소스가 지금처럼 널리 사용된 적이 없다는 사실에도 불구하고 현재 “오픈소스 지속 가능성’ 위기에 대한 논의가 진행되고 있다. 오픈소스는 지속될 수 없다는 경고는 오픈소스가 탄생한 이래로 계속 되어왔다. 지난 몇 년 동안 이에 대해 많은 논의가 있었고, 일부 타당한 측면도 있었다. 

'공유지의 비극'이라는 유명한 개념은 오픈소스 지속가능성을 거론할 때 줄기차게 제시되어 온 주장이다. 또한 오픈소스의 문제점 가운데 하나는 중요한 오픈소스 소프트웨어가 상대적으로 적은 인원으로 관리되고 있으며, 기여자에게는 금전적 보상 방법이 많지 않다는 점이다. 예를 들어, 파이썬의 유명한 라이브러리인 넘파이(numpy)는 단 6명의 메인테이너(maintainer)가 유지하고 있다. 

이런 문제로 인해 의존성 혼동(Dependency confusion)이라는 논리적 결함이 등장했다. 의존성 혼동은 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다.

오픈소스 저장소 사용 시의 또 다른 위험, '의존성 혼동'이란 무엇인가

사실 오픈소스 취약점의 문제는 어제 오늘일이 아니다. 2017년 에퀴팩스 해킹 사고는 알려진 오픈소스 보안 취약점을 방치해 발생한 것이며, 2014년 발견된 오픈 SSL의 하트블리드 취약점은 2년이 넘도록 그대로 두었다가 결국 큰일이 터지고 말았으며, 1989년부터 오픈소스 배쉬(Bash) 프로젝트에 숨어 있었던 셸쇼크 버그는 공격자들에게 좋은 먹이가 되었다.

도커 허브(Docker Hub) 리포지토리에 호스팅된 400만 개의 컨테이너 이미지를 보안 분석한 결과에 따르면, 절반 이상의 이미지에 최소 1개 이상의 중대한 취약점이 포함되어 있는 것으로 드러났다. 

에퀴팩스 데이터 침해 사건 FAQ, 사건의 전말과 영향
도커 허브, 절반 이상이 심각한 취약점을 갖고 있다
오픈소스 코드 속 보안 취약점을 피하는 실무 팁 4가지 

오픈소스 전문가들은 각자의 이론으로 지속가능 방법에 대해 설파했으며, 수많은 대안과 주장을 공유하고 있다. 이 가운데 오픈소스의 지속 가능성을 둘러싼 실제 문제는 소프트웨어가 아닌 '사람'이라는 주장이 눈에 띈다. 

오픈소스 및 웹 표준 컨설턴트 토비 랑겔이 지적한 바에 따르면, 오픈소스 코드는 희소 자원이 아니며, 사용자와 생태계에 제로 원가로 무한 재생산할 수 있다. 또한 자금 문제가 진정한 문제는 아니지만, 진실에 더 가깝기는 하다라고. 랑겔은 "대신 오픈소스의 지속 가능성을 둘러싼 실제 문제는 바로 사람이다. 오픈소스에서 소스 코드를 작업하는 메인테이너(maintainer)야말로 보호, 육성해야 하는 진정한 희소 자원이다"라고 주장했다.

IDG 블로그 | ‘고객 중심의 오픈소스’가 소프트웨어의 미래인 이유
글로벌 칼럼 | 다시 오픈소스의 즐거움을 말하자
IDG 블로그 | 오픈소스 프로젝트의 가장 중요한 부분
글로벌 칼럼 | 마이SQL과 리눅스 사례로 본 오픈소스 '성공 방정식'
지속가능한 오픈소스를 위한 3가지 모델
글로벌 칼럼 | 오픈소스 지속 가능성은 '코드'가 아니라 '사람'의 문제  editor@itworld.co.kr
 


X