보안 / 오픈소스 / 웹서비스

유명 오픈소스 프로젝트가 소스포지를 떠나는 이유…”허락없이 정크웨어 끼워넣기”

Chris Hoffman  | PCWorld 2015.06.22

다운로드 호스팅 사이트 소스포지(SourceForge)가 위기를 맞았다.


소스포지는 사용자의 격렬한 반발 후에 한 발 물러서, 개발자의 동의 없이 이미지 편집 프로그램 GIMP의 다운로드 링크에 끼워넣었던 정크웨어를 삭제했다. 그러나 소스포지는 정크웨어 끼워넣기 스캔들 후 여전히 오픈소스 커뮤니티의 신뢰를 잃은 상태이며, 이제 더 많은 오픈소스 프로젝트가 기트허브나 포스허브 등 더 청정한 환경을 찾아 소스포지를 떠나고 있다.

윈도우 애플리케이션용 프로그램을 리눅스나 맥 OS X같은 운영체제에 맞게 하는 호환성 계층인 와인 프로젝트(Wine Project) 역시 소스포지를 떠날 예정인 것으로 보인다. 와인 뉴스레터는 “자신만의 이득을 위해 오픈소스 프로젝트를 팔아 넘긴 소스포지의 최근 행동”을 이유로 소스포지를 떠날 것을 제안한 한 개발자의 의견을 실었다. 다른 개발자들은 이 제안에 긍정적인 반응을 보였으며, 와인은 소스포지를 떠날 것으로 보인다.

소스포지에서 달아나려는 유명 프로그램은 와인만이 아니다. 노트패드++(Notepad++)는 윈도우용 텍스트 편집 기능에 초점을 맞춘 이름난 프로그래밍 프로젝트다. 노트패드++의 개발자는 발표문을 통해 노트패드++가 소스포지를 떠날 예정이며, 다른 오픈소스 프로젝트들에도 같은 행동에 나설 것을 당부했다. 이 개발자는 “소스포지는 좋은 곳이었지만 불행하게도 좋은 장소가 영원히 지속되지는 않는다”고 말했다.

개발자의 의지에 반해 오픈소스 프로젝트에 정크웨어를 묶어 넣는 행동은 정크웨어 없이 사용하기 안전한 무료 소프트웨어를 공급하려는 개발자들에게는 참을 수 없는 한계를 의미한다.

다른 소규모 프로젝트 역시 소스포지를 떠나려는 움직임을 보이고 있다. 최근 대규모 프로젝트의 소스포지 탈출 움직임이 보이지 않았던 이유는, 이미 2013년에 많은 오픈소스 프로젝트가 소스포지를 떠났기 때문이다.

VLC는 2012년 소스포지에서 가장 크고 가장 많이 다운로드된 애플리케이션이었다. 그러나 소스포지는 사용자를 다른 웹사이트로 인도해 VLC와 다른 애플리케이션을 정크웨어와 묶어 다운 받게 하는 광고를 호스팅했다. 소스포지는 광고를 삭제하지 않았고, VLC는 자체적인 다운로드 링크를 호스팅하기 시작했다.


소스포지가 GIMP 인스톨러와 묶어놓은 다수의 광고를 보여주는 영상

소스포지는 이후 다시 VLC에 유해한 정크웨어를 묶음 제공하면서 돈을 받는 ‘데브쉐어(DevShare)’에 참여하겠느냐고 물었으나 VLC는 거절했다. VLC 개발자는 VLC가 그 당시 다운로드 서버의 DDoS 공격에 취약했다며 “우리는 DDoS 공격의 배후와 의도를 아직도 모른다. 그러나 우연치고는 이상하다. 결론은 각 프로젝트 스스로 내리기 바란다”고 밝혔다.

GIMP 역시 2013년에 비슷한 문제에 부딪혔다. 소스포지에서 윈도우 버전 GIMP를 다운로드 받은 사용자가 GMIP가 정크웨어와 묶음 버전으로 다운로드되는 웹 사이트로 가는 스폰서 광고를 클릭할 가능성이 있었던 것이다. 2013년에 VLC가 소스포지를 떠난 몇 달 후, GIMP 역시 데브쉐어 등 수익을 내는 다른 계획에 전혀 흥미가 없다고 단도직입적으로 말하고는 소스포지를 떠났다.
 

VLC 개발자 루도빅 포베에 따르면 ‘GIMP 프로젝트에 가는 잘못된 링크는 소스포지에 의해 정교하게 삽입된 것'으로, 스폰서 링크에 있는 다운로드 버전을 통해 사용자의 시스템에 교묘하게 침투한다

아직도 소스포지의 다운로드 페이지에서 많은 오픈소스 프로그램을 다운로드 받을 수 있다. 오픈소스 라이선스는 소스포지가 프로그램을 호스팅할 수 있다는 의미이기 때문이다. 그러나 많은 개발자들은 모든 사용자가 소스포지에서 프로그램을 다운로드하지 말라고 당부한다.

Nmap의 개발자는 최근 소스포지에 올라와 있는 Nmap 파일이 공식 프로젝트로부터 제공된 파일이 아니라고 경고했다. 이 개발자는 “지금까지 소스포지는 공식 Nmap 파일의 다운로드만 제공하는 것 같았지만 이것도 가짜 다운로드 버튼을 누르지 않았을 때의 이야기이며, 아직 GIMP 사건처럼 Nmap에 트로이 목마 바이러스를 심는 것을 붙잡지는 못했다. 그러나 전혀 소스포지를 신뢰하지 않는다”고 강조했다.

소스포지는 이 개발자의 소원대로 Nmap을 자사 사이트에서 삭제한 것으로 보인다. 그러나 여전히 소스포지를 통해 오픈소스 프로그램을 다운받을 수 있는 경로는 열려 있다. 소스포지를 이용하지 말고, 각 오픈소스 프로젝트의 공식 사이트에서 프로그램을 다운로드 받으라는 것이 많은 관련자들의 충고다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.