오픈소스 소프트웨어의 새로운 봉건주의: 기업들의 '러그 풀'과 개발자들의 포크 대응

클라우드 공급업체와 기업들 간 권력 게임 심화... 개발자·사용자는 디지털 농노 전락 위기

[한국정보기술신문] 오픈소스 소프트웨어 생태계에서 권력 역학이 중세 봉건제와 유사한 양상을 보이고 있다는 분석이 제기되었다. 최근 유럽 오픈소스 서미트에서 발표된 연구에 따르면, 대형 클라우드 서비스 제공업체들이 현대의 봉건 영주 역할을 하며 소규모 기업과 개발자들을 디지털 농노로 만들고 있다는 것이다. 이러한 권력 불균형은 소프트웨어 라이선스 변경('러그 풀')과 프로젝트 분기('포크')라는 두 가지 전술을 통해 더욱 심화되고 있다.

오픈소스 전문가 던 포스터(Dawn Foster)는 이번 발표에서 현재의 오픈소스 생태계를 중세 봉건제에 비유했다. 중세 시대 토지를 지배한 영주들이 농민을 착취했듯이, 현재는 아마존 웹 서비스(AWS), 마이크로소프트 애저, 구글 클라우드 등 대형 클라우드 업체들이 최상위 권력을 행사하고 있다. 이들은 오픈소스 소프트웨어를 서비스로 제공하면서도 해당 프로젝트에 기여하지 않는 경우가 많다.

소규모 기업들은 중간 계층을 형성하며, 실제로 소프트웨어 개발의 대부분을 담당하고 있지만 클라우드 업체들보다는 낮은 권력을 가지고 있다. 개발자와 기여자들은 더 낮은 위치에 있으며, 일반 사용자들은 가장 약한 위치에 놓여 있다.

러그 풀: 라이선스 변경을 통한 권력 이동

'러그 풀(Rug Pull)'은 원래 암호화폐 분야에서 사용되던 용어로, 갑작스럽게 지지를 철회하여 피해를 입히는 행위를 뜻한다. 오픈소스 분야에서는 기업이 자신들이 개발한 소프트웨어의 라이선스를 갑자기 제한적으로 변경하는 것을 의미한다. 이는 주로 클라우드 업체들의 경쟁 압박을 받는 기업들이 수익을 보호하기 위해 사용하는 전술이다.

대표적인 러그 풀 사례로는 2021년 엘라스틱(Elastic)의 엘라스틱서치 라이선스 변경, 2023년 해시코프(HashiCorp)의 테라폼 라이선스 변경, 2024년 레디스(Redis)의 라이선스 변경 등이 있다. 이러한 변경은 기존 사용자들과 기여자들에게 큰 타격을 준다.

포크: 개발자들의 반격

러그 풀에 대한 개발자들의 주요 대응책은 '포크(Fork)'다. 포크는 기존 오픈소스 프로젝트를 복사하여 독립적인 새로운 프로젝트를 만드는 것이다. 하지만 포크는 단순한 일이 아니며, 성공하려면 상당한 인력과 자원이 필요하다.

최근 성공적인 포크 사례들이 주목받고 있다. 엘라스틱서치가 제한적 라이선스로 변경되자 AWS는 '오픈서치(OpenSearch)'라는 포크를 만들었다. 테라폼의 라이선스 변경에는 '오픈토푸(OpenTofu)'가, 레디스에는 '발키(Valkey)'가 대응했다. 특히 오픈토푸와 발키는 리눅스 재단 산하에서 출발하여 중립적 거버넌스를 갖추었다.

기업별 사례 분석

포스터의 연구에 따르면 각 러그 풀 사건마다 다른 패턴을 보였다. 엘라스틱서치의 경우 기존 기여자 대부분이 엘라스틱 직원이었고, 포크 이후에도 이는 변하지 않았다. 오픈서치는 처음부터 강력한 기여자 기반 없이 시작해야 했고, 아마존이 주도하는 형태로 발전했다.

반면 테라폼의 경우 오픈토푸가 여러 회사의 기여자들을 빠르게 확보했으며, 이들 중 누구도 이전에 테라폼에 기여한 적이 없었다. 레디스는 가장 흥미로운 사례로, 포크 이전에 회사 외부 기여자가 내부 기여자의 거의 두 배에 달했고, 포크 이후 외부 기여자들이 모두 발키로 이동했다.

경고 신호와 대응 방안

러그 풀을 예측하기는 어렵지만 몇 가지 경고 신호가 있다. 가장 중요한 것은 기여자 라이선스 계약(CLA)의 존재다. CLA는 권력 불균형을 만들어내며, 기업이 소프트웨어를 재라이선스할 수 있는 권한을 부여한다. CLA를 사용하는 프로젝트는 러그 풀 위험이 높다.

프로젝트의 거버넌스도 중요한 지표다. 재단 산하에 있는 프로젝트라도 기여자가 대부분 한 회사 출신이라면 여전히 위험하다. 중립적 거버넌스와 여러 조직의 리더십이 있는 프로젝트를 선택해야 한다.

기여자 기반도 평가해야 할 요소다. 프로젝트를 지속시킬 충분한 기여자가 있는지 확인해야 한다. 기업들은 직원들이 의존하는 프로젝트에 기여하도록 하여 영향력을 높이고 지속가능성을 확보할 수 있다.

CHAOSS 프로젝트는 개발 프로젝트의 생존 가능성을 판단하는 데 도움이 되는 지표를 제공한다. 또한 기여자와 유지관리자가 프로젝트 내에서 개선을 이룰 수 있도록 돕는 실무자 가이드도 제공하고 있다.

미래 전망과 해결책

대형 클라우드 업체들의 지속적인 부상으로 오픈소스 소프트웨어 주변의 권력 역학은 점점 더 봉건적 양상을 보이고 있다. 기업들은 재라이선스를 통해 클라우드 업체로부터 권력을 되찾을 수 있지만, 이 과정에서 기여자들의 권력도 함께 빼앗는다.

다행히 기여자들은 중세 농노보다 나은 위치에 있다. 그들은 관심 있는 프로젝트를 포크할 수 있는 능력이 있어 권력을 다시 자신들 쪽으로 이동시킬 수 있다. 최근 발키와 오픈토푸의 성공 사례를 본 일부 기업들이 계획된 재라이선스를 철회하기도 했다. 포크할 수 있는 능력은 기업들로 하여금 러그 풀의 결과를 더 신중히 고려하게 만드는 효과가 있다.

전문가들은 중립적 거버넌스로 프로젝트를 이끌고 더 많은 외부 기여자를 유치하는 것이 최선의 방책이라고 조언한다. 외부 기여자가 많을수록 러그 풀과 관련된 위험이 높아지기 때문이다. 프로젝트에서 단순히 승객 역할만 하는 것보다는 적극적으로 운전석에 앉는 것이 중요하다는 것이 전문가들의 공통된 의견이다.

한국정보기술신문 news@kitpa.org