오픈소스

오픈소스 취약점, '열정페이'가 문제··· 美 기업들, 후원펀드 잇따라 출범

Scott Carey | InfoWorld 2022.05.06
로그4j(Log4j) 취약점의 여파로 美 기업들이 주요 오픈소스 소프트웨어 프로젝트의 메인테이너를 위한 후원금 지원을 약속하고 나섰다. 
 
ⓒGetty Images Bank 

최근 로그4j(Log4j), 하트블리드(Heartbleed), 쉘쇼크(Shellshock)와 같은 치명적 취약점에 주요 오픈소스 소프트웨어가 노출되면서 몇몇 대기업과 스타트업이 메인테이너를 후원하는 펀드를 발표하고 나섰다.  

오늘날 많은 소프트웨어가 오픈소스 프로젝트를 기반으로 하고 있음에도 오픈소스 개발자와 메인테이너는 아무런 보수를 받지 않고 본업 외 남는 시간에 프로젝트에 기여한다. 예컨대 16명의 자원봉사자로 이뤄진 '아파치 로깅 서비스(Apache Logging Services)' 팀은 홀로 로그4j 프레임워크를 유지하는 책임을 떠안고 있다. 하지만 많이 알려졌다시피 이 프레임워크는 최근 심각한 취약점에 노출됐다.
 
---------------------------------------------------------------

하버드 대학에서는 최근 FOSS(free and open source) 소프트웨어의 현황에 관한 연구를 발표했다. 소프트웨어 산업이 어떤 프로젝트를 가장 많이 지원하여 가장 위험한 취약점으로부터 보호해야 하는지 파악하는 데 필요한 정보를 설명하는 것이 주요 내용이었다. 보고서에 따르면 지금까지 오픈소스 프로젝트에 대한 재정적 지원은 아직 더딘 편인 것으로 드러났다. 

스포티파이, 지난 4월 FOSS 후원 펀드 발표 
스웨덴의 음악 스트리밍 기업 스포티파이는 자사의 R&D 엔지니어가 선별한 독립 오픈소스 프로젝트의 메인테이너를 후원하는 10만 유료 규모의 ‘FOSS Fund’를 출범한다고 지난 4월 밝혔다. 

스포티파이의 오픈소스 기술 책임 펄 플러그는 공식 블로그에서 “독립적이고, 적극적으로 유지되며, 회사의 가치에 부합하는 프로젝트를 후원하는 것이 자사의 목표다. 이런 프로젝트야말로 자부심을 가지고 지원할 수 있으며, 후원이 의미 있는 변화를 만들 것이라는 기대를 할 수 있다”라고 밝혔다. 최종 지원을 받을 프로젝트는 스포티파이의 개발자, 엔지니어, 연구원 및 데이터 사이언티스트에 의해 선별된 뒤 기금 위원회의 선정 과정을 거쳐 5월 말 발표될 예정이다.   

이어서 플러그는 “[10만 유로]는 시작에 불과하다는 것을 강조하고 싶다”라며, “다른 프로젝트와 비슷하게 지금은 프로젝트를 광범위하게 실행하기 전에 테스트하고 검증하는 단계다. 어떤 긍정적 영향을 끼칠 수 있는지 보기 위해 일단 이 정도 금액으로 시작하려고 한다”라고 설명했다. 

스타트업까지 후원 펀드 출범 
빠르게 성장하고 있는 오픈소스 서비스형 백엔드(backend-as-a-service) 스타트업 앱라이트(Appwrite)는 지난 6일 오픈소스 소프트웨어 후원 펀드를 출시했다.

앱라이트 설립자 겸 CEO 엘데드 폭스는 “좋아하는 프로젝트에 피, 땀, 눈물을 쏟으며 컴퓨터 앞에서 오랜 시간을 보내는 것이 얼마나 보람차면서도 힘든 일인지 잘 알고 있다. 이러한 희생 덕분에 전 세계 수많은 개발자가 편하게 소프트웨어를 만들 수 있다”라고 말했다. 그는 “회사를 설립할 때부터 앱라이트의 성공을 다른 개발자와 메인테이너들과 나누려는 계획을 가지고 있었다. 앞으로 나아가기 위에 뒤를 더 돌아볼 것이며 자사의 기여가 큰 변화를 가져올 수 있기를 바란다”라고 덧붙였다. 

앱라이트 후원 펀드는 올 한 해 동안 신청받을 예정이며, DR(developer relations) 팀이 검토하여 지원할 인원을 선발할 계획이다. 5만 달러에 달하는 이 후원 펀드는 앱라이트가 2,700만 달러의 시리즈 A 펀딩을 받은 직후에 발표됐다. 투자자들 또한 이 후원의 취지를 지지한다. 

앱라이트에 투자한 벤처캐피털 회사 플라이브릿지(Flybridge)의 제너럴 파트너 칩 하자드는 “앞으로 계속 오픈소스 소프트웨어를 후원하고 유지할 수 있는 많은 방안이 필요할 것이다”라며, “앱라이트와 엘데드 CEO가 시행하는 이번 후원은 더 공평하고 지속 가능한 오픈소스 생태계 만드려는 시도가 산업 전반으로 퍼지게 되는 계기가 될 수도 있다”라고 말했다. 

다른 회사도 뒤를 이을까? 
몇몇 회사는 오픈소스 메인테이너를 더 적극적으로 지원해야 한다는 주장을 펼치고 있지만, 아직 직접적인 후원을 하지는 않았다. 클라우드 데이터베이스 전문 기업 에이븐(Aiven)에서 일하는 오픈소스 엔지니어링 매니저 조셉 프랫은 “대기업이 오픈소스 프로젝트를 지원해야 한다고 느끼기 시작해 기쁘다”라며, “에이븐은 스포티파이의 후원에서 어떤 프로젝트가 가장 많은 혜택을 받을지 특히 주목할 것”이라고 말했다. 

에이븐은 주요 오픈소스 프로젝트를 지원하기 위해 오픈소스 프로그램 오피스(Open Source Program Office)를 설립했지만 아직 재정 지원 계획을 발표한 적은 없다. “재정적 지원은 많은 인디 오픈소스 프로젝트를 유지하는 데 필수다. 더 많은 기업이 스포티파이의 주도하에 오픈소스 프로젝트를 지원할 수 있는 다양한 방법을 시도해야 한다”라고 프랫은 말했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.