오연우

CEO/프로덕트 매니저/서비스 기획

팔로우

#로그4J #구글 #아마존 #텐센트 #애플 #테슬라 #Log4J 💌 전세계를 대공황에 빠트린 개발자 이슈 인터넷 역사를 통틀어 최악의 보안 결함 사건이라고도 하는 아파치 로그4J(Apache Log4J) 취약점 이슈, 들어보셨나요? 약 1주 전부터 구글, 애플, 텐센트, 아마존, 테슬라, 스팀, 마인크래프트, 링크드인, 깃허브 등 수많은 기업이 해당 취약점에 노출되었습니다. 한국 정부에서도 대응 현황을 공유하는 등 그야말로 비상사태였죠. Log4J는 간단한 명령어로 “로그(시스템 운영 기록)”를 편리하게 관리할 수 있도록하는 소프트웨어라고 할 수있어요. 게다가 Log4J는 오픈소스로 배포되고 있어 수 많은 사람이 사용하고 있었는데요. Log4J의 등장 이전에는 개발자들이 로그 폼을 맞춰놓고 하나씩 일일이 만들어냈다고 합니다. 그러나 오픈소스 소프트웨어가 주는 무수한 이로움에도, 현재의 Log4J 사태가 일어나게 되었는데요. 현 사태로 인해 MIT 테크리뷰에서는 하루에 22시간을 무보수로 일하는 Log4J 프로젝트 멤버를 인터뷰하는 등, 오픈소스 생태계의 열악한 환경을 파헤쳤습니다. 오픈 소스 코드의 “좋은 부분”은 취하고, 무보수 개발자들에게 “나쁜 부분”은 짊어지게 하는 것 아니냐는 목소리도 나오고 있습니다. 어느 누구도 오픈 소스에 기여한다는 이유로 무보수로 일할 필요는 없습니다. 그래서 오픈소스 프로젝트는 유지보수와 관리가 어렵다고도 하죠. 처음 몇 년은 무보수로 일할 수 있어도, 끝까지 남아있을 확률은 낮으니까요. 결함은 소프트웨어 설계에 있는데, 초기 설계자 없이 이만큼 심각한 사태에 대응하려면, 현재 주어진 자금은 현저히 부족하다고 합니다. 세계 곳곳에서 사용하는 소프트웨어의 유지보수를 하기엔 너무 적은 금액이라는 거죠. 거대한 오픈소스 환경에서 Log4J와 같은 사태가 다시 발생했을 때를 대비해 오픈소스 운영에서도 자금조달에 대해 진지하게 생각봐야할 것같습니다. 이를테면 구글에서 1억 달러를 기부하기로 했지만, 장기적 관점으로 봤을 때는 체계적인 자금조달이 필요하지 않을까요?

The internet runs on free open-source software. Who pays to fix it?

MIT Technology Review