8개 주요 오픈소스 재단은 기부에 기반한 핵심 인프라 모델이 한계에 다다르고 있다고 경고했다.
세계 최대 규모의 소프트웨어 패키지 레지스트리를 운영하는 8개 단체가 공동 성명을 내고 현재의 자금 조달 모델이 “위태로울 정도로 취약하다”라고 경고했다. 매달 수십억 건의 소프트웨어 다운로드를 지원하는 핵심 인프라에 대해, 향후 접근 방식이 바뀔 수 있음을 시사한 것이다.
이번 공동 성명은 오픈소스 보안 재단(Open Source Security Foundation, OpenSSF) 웹사이트에 공개 서한 형태로 게재됐다. 성명에는 파이썬 소프트웨어 재단(Python Software Foundation), 러스트 재단(Rust Foundation), 이클립스 재단(Eclipse Foundation), OpenJS 재단(OpenJS Foundation) 등과 함께 주요 오픈소스 관리 단체 4곳의 리더가 참여했다. 이는 매년 ‘수조 건’의 다운로드를 처리하는 레지스트리의 운영 단체들이 처음으로 지속 가능한 자금 조달 방안을 공동으로 요구한 사례다. 이들은 막대한 수요가 주로 상용 소프트웨어 개발에서 비롯된다고 설명했다.
오픈소스 보안 재단은 ‘오픈 인프라는 무료가 아니다’라는 블로그 게시글에서 “기업 규모의 사용이 제대로 된 지원 없이 지속될 수는 없다”라고 밝혔다. 성명은 현재 ‘중대한 전환점’이 다가오고 있다며, 대규모 사용자를 대상으로 접근 모델, 가격 구조, 서비스 수준에 변화가 불가피할 수 있다고 경고했다.
파이썬 패키지용 PyPI, 자바(Java) 메이븐 센트럴(Maven Central), 러스트(Rust)의 크레이트(crates.io), 자바스크립트(JavaScript) npm 등 해당 단체의 레지스트리는 사실상 현대 소프트웨어 개발의 핵심 인프라 역할을 하고 있다. 성명은 모든 기업의 CI/CD 파이프라인, 의존성 스캐너, 자동화 빌드 시스템이 이 레지스트리에 의존하고 있으며, 하루에도 수천 건의 요청을 비용 없이 처리하는 경우가 많다고 설명했다.
자금 조달을 넘어서는 수요
각 재단은 기업이 운영하는 자동화 CI 시스템, 대규모 의존성 스캐너, 단기 컨테이너 빌드 등이 인프라에 ‘막대한 부담’을 주고 있다고 지적했다. 대부분 캐싱이나 트래픽 제어 없이 공공 시스템에 미치는 영향조차 고려하지 않은 채 실행되는 경우가 많다고 설명했다.
더욱이 AI의 등장이 상황을 더 악화시키고 있다. 재단은 “생성형 AI와 에이전틱 AI가 기계 주도적이고 종종 자동화 사용 낭비 수준을 폭발적으로 증가시키고 있다”라며, 기본적인 캐싱 같은 효율성 조치조차 없이 레지스트리에 무차별적으로 요청을 쏟아내는 시스템이 늘고 있다고 언급했다.
재단들은 이런 자동화 사용 급증이 EU 사이버 회복력 법 같은 새로운 규제 요건과 맞물려, 이미 자원이 부족한 생태계에 추가적인 규제 준수 부담을 가중시키고 있다고 밝혔다.
게시글에 따르면 이들 서비스는 매달 수십억 건에서 수조 건에 달하는 다운로드를 처리함에도 불구하고, 상당수 서비스가 소수 후원자의 자금에 의존하고 있는 상황이다. 반면 대규모 상업 사용자의 절대 다수는 서비스 지속 가능성에 기여하지 않은 채 자원을 소비하고 있다고 설명했다.
블로그 게시글은 “많은 리포지토리의 수요가 기하급수적으로 증가하고 있지만, 후원자 지원의 증가세는 매우 낮다”라고 밝혔다.
핵심 인프라가 무너질 뻔했던 순간
이번 경고는 돌연 나온 것이 아니다. 지난 2021년 12월 로그4쉘(Log4Shell) 취약점은 인터넷의 핵심 인프라 상당 부분이 사실상 ‘무보수 자원봉사자’에게 의존하고 있음을 드러냈다. 당시 인터넷을 마비 직전까지 몰고 간 로그4j(Log4j) 로깅 라이브러리는 수십억 달러 규모의 상용 소프트웨어를 지원함에도 불구하고, 불과 몇 명의 무보수 개발자에 의해 유지 관리돼 왔다.
재단은 “아직 위기는 아니지만, 지금은 중대한 전환점”이라고 밝히며 명확한 경고 메시지를 제시했다.
이에 대한 의존 규모는 압도적인 수준이다. 하버드-깃허브 공동 연구에 따르면, 핵심 오픈소스 인프라를 처음부터 다시 개발하는 데는 약 41억 5,000만 달러가 필요하다. 그러나 매년 오픈소스 개발에 투입되는 77억 달러 가운데 대부분은 기업 직원의 내부 프로젝트 수행이나 코드 기여에 쓰이고 있으며, 정작 소프트웨어를 배포하는 핵심 공공 레지스트리 운영에는 거의 지원되지 않고 있다.
재단들은 이러한 구조적 불균형이 더는 무시할 수 없는 수준이라고 지적했다.
상업적 배포 문제
재단은 기업 사용자가 놀랄 만한 사실도 지적했다. 공용 레지스트리가 점점 더 상용 소프트웨어 배포 플랫폼으로 사용되고 있다는 것이다.
성명은 “공용 레지스트리는 사실상 상업적 벤더를 위한 무료 글로벌 CDN이 됐다”라며, 기업들이 이제는 오픈소스 인프라를 통해 독점적인 SDK와 도구를 배포하는 것이 일상화됐다고 설명했다.
재단들은 이를 본질적으로 잘못된 일이라고 보지는 않지만, 원래 취지와는 달랐다고 강조했다. 이 시스템은 “개방적이고 커뮤니티 중심의 소프트웨어 배포를 지원하기 위해 만들어진 것이지, 상용 제품 배포를 위한 범용 백엔드로 설계된 것은 아니다”라는 설명이다.
변화는 불가피
재단은 변화가 선택이 아닌 필수임을 분명히 했다. 이들이 검토 중인 방안은 이미 기업들이 다른 인프라 서비스에서 익숙하게 접해온 가격 모델과 유사하다.
구체적으로는 사용량에 비례해 인프라 자금을 조달하는 상업·기관 파트너십, 그리고 일반 사용자에게는 개방성을 유지하면서도 대규모 사용자에게 확장된 성능 및 신뢰성 옵션을 제공하는 계층형 접근 모델이 거론되고 있다.
재단은 “이는 급진적인 발상이 아니다. 이미 인터넷 대역폭이나 클라우드 컴퓨팅 같은 다른 공유 시스템에서도 활용되는, 현실적이고 상식적인 조치”라고 설명했다.
이어 기업에게는 ‘즉시 사용 행태를 점검할 것’을 권고했다. 구체적으로는 캐싱 도입, 중복 트래픽 절감, 그리고 인프라 운영 단체와 ‘사용량에 따른 지원 분담’을 논의할 것을 요청했다. 재단들의 최종 메시지는 명확했다. 무료 이용 시대는 끝났다는 것이다.
dl-ciokorea@foundryco.com
