[ITWorld 넘버스] 소프트웨어 세계를 집어삼킨 오픈소스

"오픈소스는 공짜가 아니고 저렴하지도 않다" 한때 오픈소스를 공격하는 핵심 논리였던 이 말이 이제는 오히려 오픈소스의 달라진 위상을 잘 보여주고 있다. 올해 리눅스 파운데이션의 조사 결과, 응답자 2/3가 오픈소스를 사용하거나 오픈소스에 기여하는 비용보다 그 효과가 더 크다고 답했기 때문이다. 즉, 오늘날 기업이 오픈소스를 사용하는 것은 비용을 줄이기 위함이 아니다. 비용과 상관없이 그 이상의 효과가 있기 때문에 오픈소스를 쓰는 것이다. 더구나 이는 일부 기업 만의 사례가 아니다. 시놉시스의 조사 결과, 확인된 코드베이스의 96%에 오픈소스가 포함돼 있다. 소프트웨어는 세계를 집어삼켰고, 그 소프트웨어 대부분이 오픈소스인 셈이다.
 

기업은 왜 오픈소스에 매료된 것일까? 리눅스 파운데이션 조사 결과에 힌트가 있다. 바로 개발 '속도'다. 오픈소스의 가장 큰 장점은 소스코드를 사용할 수 있다는 것이다. 기업이 개발자를 고용해 원하는 코드를 직접 짤 수 있지만, 비용만큼이나 중요한 것이 시간이다. 개발자는 이미 할 일이 많고, 코드를 처음부터 다시 쓰는 방식으로는 혁신의 속도를 맞출 수 없다. 이때 오픈소스는 구원자다. 바로 사용할 수 있는 코드를 곧장 손에 넣을 수 있다. 개발자는 소모적인 작업을 최소화하고 혁신을 구현하는 데 온전히 집중할 수 있다. 앞선 조사에서 "상용 소프트웨어보다 오픈소스가 더 비싸다"는 이들조차 오픈소스의 이점이 비용을 넘어선다고 답한 진짜 이유다.
 

오픈소스는 거대한 기회의 땅

오픈소스의 높은 인기는 오픈소스가 개발자에게 '거대한 기회의 땅'이라는 의미이기도 하다. 실제로 많은 기업이 오픈소스 전문가 '모시기'에 나서고 있다. edX의 조사 결과를 보면, 거의 모든 기업 채용 담당자가 오픈소스 전문가 '구인란'을 겪고 있다. 기업 10곳 중 6곳은 오픈소스 전문가를 붙잡아 두기 위해 사내 평균보다 급여를 더 올려주고, 오픈소스 전문가 73%는 이직이 어렵지 않다고 생각한다. 오픈소스 중에서도 특히 클라우드, 컨테이너 관련 기술에 대한 수요가 많다. 클라우드는 팬데믹 시기에 폭발적으로 확산해 기업의 핵심 인프라가 됐다. 지금은 이 인프라를 제대로 활용하기 위해 많은 기업이 필사적으로 오픈소스 전문가를 찾고 있다.

이젠 '비싸도 쓰고 싶은' 오픈소스가 되면서 과거와 같은 비용 논란은 사라졌다. 그럼에도 기업이 오픈소스를 사용할 때 어려움이 없는 것은 아니다. 현재 오픈소스에 대한 가장 큰 우려는 보안이다. 시놉시스에 따르면, 2023년 기준 오픈소스를 사용한 모든 코드 베이스의 84%에서 하나 이상의 보안 취약점이 발견됐다. 2022년 조사보다 조금 더 늘었다. 개발이 활발한 신기술 관련 오픈소스도 마찬가지다. 레질리온이 깃허브에 등록된 생성형 AI 오픈소스 프로젝트 50가지의 보안 상태를 조사한 결과 10점 만점에 평균 4.6점에 그쳤다. 상황이 이렇다 보니 기업 10곳 중 4곳은 "오픈소스 보안에 확신이 없다"고 했다. 보안 업체 스니크의 조사 결과다.

보안 문제는 소프트웨어 관리 체계와 밀접한 관련이 있다. 세상에 버그 없는 소프트웨어는 없으므로, 지속적으로 새 취약점을 찾아 빠르게 수정하는 체계를 갖추는 것이 중요하다. 오픈소스 관리 현황은 어떨까? 소나타입이 조사한 결과, 오픈소스 프로젝트 5개 중 1개 꼴로 유지 관리가 중단된 것으로 나타났다. 활발하게 관리되는 비율은 11%에 불과했다. 단, 이들 숫자엔 '불안 마케팅'이 섞여 있다. 기업의 지갑을 여는 가장 좋은 방법은 위험을 과장하는 것이다. 오픈소스 보안을 지적하는 보고서 상당수가 보안 업체의 뭉칫돈으로 만들어진 것은 우연이 아니다. 그럼에도 오픈소스 관리 체계에 대한 의심은 유효하다. 기업이 충분히 귀 기울일 만하다.
 

오픈소스 보안을 높이는 2가지 방법

현재 오픈소스 진영이 안전하고 완성도 높은 소프트웨어를 만들기 위해 활용하는 방법은 스코어카드(Scorecard)다. 스코어카드는 오픈소스 보안재단이 2020년에 발표한 일종의 채점표로, 취약점 수, 유지 관리 빈도, 바이너리 파일 포함 여부 등을 기준으로 0~10점으로 매긴다. 10에 가까울수록 보안 수준이 높고 관리가 잘된다는 의미다. 하지만 스코어카드는 아직 보편화하지 않았다. 스코어카드 외에 보안을 높이는 기본적이고 효과가 큰 방법이 코드 리뷰다. 새로운 소스코드를 공유하기 전에 제3자가 검토하는 것을 의미한다. 하지만 이 역시 제대로 이뤄지지 않고 있다. 소나타입에 따르면, 2022년 기준 코드 리뷰를 한 프로젝트가 전년 대비 15% 줄었다.

오픈소스 보안을 따라가다 보면 결국 리소스의 문제로 귀결된다. 코드를 리뷰하고 스코어카드를 신경 쓰며 개발하려면, 오픈소스 개발자, 이른바 '기여자(contributor)'가 더 많이 필요하다. 이런 기여자는 크게 기업에 소속돼 급여를 받으며 오픈소스에 참여하는 이들과, 대가 없이 공헌하는 개인 개발자로 나뉜다. 전자는 오픈소스 시장이 커지면서 상황이 개선되고 있다. 특히 AWS의 개과천선이 화제다. 그동안 오픈소스로 큰돈을 벌면서 기여는 거의 하지 않았는데, 이젠 포스트그레SQL 기여자 목록만 봐도 AWS 직원 이름이 가득하다. 오픈소스 자체를 AWS에 유리하게 바꾸는 것이 더 돈이 된다는 계산 때문이라고 해도 결과적으로 모두에게 이득이다.

오픈소스를 건강하게 유지하는 또 다른 축은 선의로 공헌하는 개인 개발자다. 돈으로 모든 문제를 해결할 수는 없지만, 핵심 개발자가 생계에 치여 열정을 잃는다면 버그는 방치되고 프로젝트는 붕괴하기 시작한다. 그 대안으로 다양한 오픈소스 펀딩 모델이 등장했다. 암호화폐와 오픈소스 개발을 결합한 크립토 토큰, 여러 오픈소스를 사용했을 때 기부금을 해당 프로젝트에 자동으로 분산 배분하는 드립스가 대표적이다. 일정 수준까지는 오픈소스를 활용할 수 있도록 보장하고 사용량이 늘어남에 따라 사용료를 청구하는 방식도 있다. 공짜 점심, 공짜 보안은 없다. 아직 충분하진 않아도 오픈소스를 사용하는 기업이 점차 이를 깨닫고 있다.
 

'언더독이 아닌' 오픈소스의 미래

오픈소스의 달라진 현재를 단적으로 보여주는 주장이 있다. 바로 "라이선스의 엄격성에 얽매이기보다 소프트웨어 접근성과 사용 편의성을 더 중요하게 생각해야 한다"는 것이다. 라이선스 논쟁은 오픈소스의 본질에 해당하는 영역이다. 거대 IT 업체가 지적재산권 보호를 명분으로 혁신을 가로막고 기업을 특정 기술에 종속시켜 온 관행에 대한 가장 강력하고 거대한 반발이 바로 '오픈소스 혁명'이기 때문이다. 이제 오픈소스는 '주류' 소프트웨어다. 리눅스를 '지적재산권의 암 덩어리'라고 맹비난했던 마이크로소프트를 리눅스 프로젝트의 최고 기여자로 바꿔 놓을 정도다. 더는 '언더독이 아닌' 오픈소스는 어떤 모습으로 진화할까. 흥미로운 관전 포인트다.
 

• 세상의 모든 IT 리서치 자료, '넘버스'
  여기서 소개한 모든 자료는 넘버스(Numbers) 서비스에 등록돼 있다. 넘버스는 IT 전문 미디어 ITWorld가 제공하는 IT 리서치 자료 메타 검색 서비스다. IDC, 가트너, 포레스터 등 주요 시장조사 업체의 자료는 물론 국내외 정부와 IT 기업, 민간 연구소 등이 발표한 기술 관련 최신 자료를 총망라했다. 2023년 11월 현재 1,300여 건의 자료가 등록돼 있으며, 매달 50여 건이 새롭게 올라온다. 등록된 자료는 출처와 토픽, 키워드 등을 기준으로 검색할 수 있고, 관련 기사를 통해 해당 자료의 문맥을 이해할 수 있다. 자료의 원문 제목과 내용을 볼 수 있는 링크, 자료를 발행한 주체와 발행 일자도 함께 확인할 수 있다.

editor@itworld.co.kr