최근 로그4j(Log4j), 하트블리드(Heartbleed), 쉘쇼크(Shellshock)와 같은 치명적 취약점에 주요 오픈소스 소프트웨어가 노출되면서 몇몇 대기업과 스타트업이 메인테이너를 후원하는 펀드를 발표하고 나섰다.
오늘날 많은 소프트웨어가 오픈소스 프로젝트를 기반으로 하고 있음에도 오픈소스 개발자와 메인테이너는 아무런 보수를 받지 않고 본업 외 남는 시간에 프로젝트에 기여한다. 예컨대 16명의 자원봉사자로 이뤄진 '아파치 로깅 서비스(Apache Logging Services)' 팀은 홀로 로그4j 프레임워크를 유지하는 책임을 떠안고 있다. 하지만 많이 알려졌다시피 이 프레임워크는 최근 심각한 취약점에 노출됐다.
로그4j 취약점 인기기사
다 모았다··· '로그4j 취약점' 완화법 총정리
‘로그4j’ 사태, 아직 끝나지 않았다··· 앱 개발자가 해야 할 3가지
기고ㅣ애플리케이션에서 ‘Log4j’ 취약점을 탐지하는 방법
보안 전문가가 Log4j 스트레스에 대처하는 방법
하버드 대학에서는 최근 FOSS(free and open source) 소프트웨어의 현황
스포티파이, 지난 4월 FOSS 후원 펀드 발표
스웨덴의 음악 스트리밍 기업 스포티파이는 자사의 R&D 엔지니어가 선별한 독립 오픈소스 프로젝트의 메인테이너를 후원하는 10만 유료 규모의 ‘FOSS Fund’를 출범한다고 지난 4월 밝혔다.
스포티파이의 오픈소스 기술 책임 펄 플러그는 공식 블로그에서 “독립적이고, 적극적으로 유지되며, 회사의 가치에 부합하는 프로젝트를 후원하는 것이 자사의 목표다. 이런 프로젝트야말로 자부심을 가지고 지원할 수 있으며, 후원이 의미 있는 변화를 만들 것이라는 기대를 할 수 있다”라고 밝혔다. 최종 지원을 받을 프로젝트는 스포티파이의 개발자, 엔지니어, 연구원 및 데이터 사이언티스트에 의해 선별된 뒤 기금 위원회의 선정 과정을 거쳐 5월 말 발표될 예정이다.
이어서 플러그는 “[10만 유로]는 시작에 불과하다는 것을 강조하고 싶다”라며, “다른 프로젝트와 비슷하게 지금은 프로젝트를 광범위하게 실행하기 전에 테스트하고 검증하는 단계다. 어떤 긍정적 영향을 끼칠 수 있는지 보기 위해 일단 이 정도 금액으로 시작하려고 한다”라고 설명했다.
스타트업까지 후원 펀드 출범
빠르게 성장하고 있는 오픈소스 서비스형 백엔드(backend-as-a-service) 스타트업 앱라이트(Appwrite)는 지난 6일 오픈소스 소프트웨어 후원 펀드를 출시했다.
앱라이트 설립자 겸 CEO 엘데드 폭스는 “좋아하는 프로젝트에 피, 땀, 눈물을 쏟으며 컴퓨터 앞에서 오랜 시간을 보내는 것이 얼마나 보람차면서도 힘든 일인지 잘 알고 있다. 이러한 희생 덕분에 전 세계 수많은 개발자가 편하게 소프트웨어를 만들 수 있다”라고 말했다. 그는 “회사를 설립할 때부터 앱라이트의 성공을 다른 개발자와 메인테이너들과 나누려는 계획을 가지고 있었다. 앞으로 나아가기 위에 뒤를 더 돌아볼 것이며 자사의 기여가 큰 변화를 가져올 수 있기를 바란다”라고 덧붙였다.
앱라이트 후원 펀드는 올 한 해 동안 신청받을 예정이며, DR(developer relations) 팀이 검토하여 지원할 인원을 선발할 계획이다. 5만 달러에 달하는 이 후원 펀드는 앱라이트가 2,700만 달러의 시리즈 A 펀딩을 받은 직후에 발표됐다. 투자자들 또한 이 후원의 취지를 지지한다.
앱라이트에 투자한 벤처캐피털 회사 플라이브릿지(Flybridge)의 제너럴 파트너 칩 하자드는 “앞으로 계속 오픈소스 소프트웨어를 후원하고 유지할 수 있는 많은 방안이 필요할 것이다”라며, “앱라이트와 엘데드 CEO가 시행하는 이번 후원은 더 공평하고 지속 가능한 오픈소스 생태계 만드려는 시도가 산업 전반으로 퍼지게 되는 계기가 될 수도 있다”라고 말했다.
다른 회사도 뒤를 이을까?
몇몇 회사는 오픈소스 메인테이너를 더 적극적으로 지원해야 한다는 주장을 펼치고 있지만, 아직 직접적인 후원을 하지는 않았다. 클라우드 데이터베이스 전문 기업 에이븐(Aiven)에서 일하는 오픈소스 엔지니어링 매니저 조셉 프랫은 “대기업이 오픈소스 프로젝트를 지원해야 한다고 느끼기 시작해 기쁘다”라며, “에이븐은 스포티파이의 후원에서 어떤 프로젝트가 가장 많은 혜택을 받을지 특히 주목할 것”이라고 말했다.
에이븐은 주요 오픈소스 프로젝트를 지원하기 위해 오픈소스 프로그램 오피스(Open Source Program Office)를 설립했지만 아직 재정 지원 계획을 발표한 적은 없다. “재정적 지원은 많은 인디 오픈소스 프로젝트를 유지하는 데 필수다. 더 많은 기업이 스포티파이의 주도하에 오픈소스 프로젝트를 지원할 수 있는 다양한 방법을 시도해야 한다”라고 프랫은 말했다. ciokr@idg.co.kr