오픈소스 인프라 "무료가 아니다"...주요 재단들 지속가능한 운영모델 촉구

OpenSSF, 파이썬재단 등 8개 조직 공동성명...상업적 대규모 사용자의 책임있는 참여 요구

전 세계 소프트웨어 공급망의 핵심 인프라인 오픈소스 패키지 레지스트리가 지속가능성 위기에 직면했다고 주요 운영기관들이 경고했다.

[한국정보기술신문] 오픈소스 보안재단(OpenSSF), 파이썬 소프트웨어 재단, 러스트 재단 등 오픈소스 생태계 핵심 인프라를 운영하는 8개 조직이 23일(현지시간) "오픈 인프라는 무료가 아니다"라는 제목의 공동성명서를 발표했다.

이번 성명서는 Maven Central, PyPI, crates.io, npm 등 전 세계 개발자들이 의존하는 패키지 레지스트리들이 현재의 운영방식으로는 지속가능하지 않다고 경고하고 있다. 이들 서비스는 매월 수십억 건의 다운로드를 처리하고 있지만, 대부분 소수의 후원자들의 선의에 의존하고 있어 구조적 취약성을 보이고 있다.

성명서에 따르면 현재 대규모 상업적 사용자들이 이러한 서비스를 무료로 이용하면서 경제적 가치를 창출하고 있지만, 인프라 지속가능성에는 거의 기여하지 않고 있다. 특히 자동화된 CI 시스템, 대규모 의존성 스캐너, 컨테이너 빌드 시스템들이 캐싱이나 제한 없이 운영되면서 인프라에 엄청난 부담을 가하고 있다.

생성형 AI가 가속화하는 인프라 부담

생성형 AI와 에이전트 AI의 등장으로 자동화된 사용량이 폭발적으로 증가하면서 기존 문제가 더욱 심화되고 있다. 이러한 AI 시스템들은 종종 비효율적인 방식으로 패키지를 다운로드하여 불필요한 트래픽을 발생시키고 있다.

또한 많은 공개 레지스트리가 오픈소스 라이브러리뿐만 아니라 상용 소프트웨어 배포에도 사용되고 있어, 사실상 상업 벤더들을 위한 무료 글로벌 CDN 역할을 하고 있다는 지적도 나왔다.

지속가능한 운영모델로의 전환 필요

성명서는 "10억 달러 규모의 생태계가 선의와 무급 주말 작업에 기반한 토대 위에 서있을 수는 없다"며 실질적이고 지속가능한 접근법 도입을 촉구했다.

제안된 해결책으로는 사용량에 비례한 상업적·제도적 파트너십, 고용량 소비자를 위한 차등 접근 모델, 상업적 엔티티를 위한 부가가치 서비스 등이 포함되어 있다. 이는 일반적이고 개인적 사용에 대해서는 개방성을 유지하면서도 대규모 사용자들에게는 책임있는 참여를 요구하는 방향이다.

업계 전반의 인식 전환과 참여 필요

성명서는 조직과 개인이 할 수 있는 구체적 행동 방안도 제시했다. 여기에는 의존하는 인프라의 운영 현실 이해, 사용 패턴의 책임있는 관리, 재정적 파트너십 구축 등이 포함된다.

성명서에 서명한 조직들은 "이것은 아직 위기상황은 아니지만 중요한 변곡점"이라며 "지금 행동하지 않으면 현대 소프트웨어의 기반이 무너질 것"이라고 경고했다.

현재 Alpha-Omega, Eclipse 재단, OpenJS 재단, 오픈소스 보안재단, Packagist, 파이썬 소프트웨어 재단, 러스트 재단, Sonatype 등이 성명서에 서명했으며, 향후 더 많은 조직들이 참여할 예정이다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org