FFmpeg, 구글에 "자금 지원하거나 버그 보고 중단하라"...오픈소스 프로젝트 재정난 논란 불거져

구글 AI가 1995년 게임 버그 발견해 수정 요구, 자원봉사 개발자들 "과도한 부담" 반발

[한국정보기술신문] 주요 IT 기업들이 광범위하게 사용하는 오픈소스 멀티미디어 프레임워크 FFmpeg 개발팀이 구글을 향해 재정 지원을 요구하며 논쟁이 일고 있다. FFmpeg는 VLC, 크롬, 파이어폭스, 유튜브 등에서 비디오와 오디오 처리에 필수적으로 사용되는 소프트웨어지만, 대부분 자원봉사자들에 의해 개발되고 있다.

논쟁은 지난 10월 구글의 AI 에이전트가 FFmpeg에서 매우 희귀한 보안 취약점을 발견하면서 시작됐다. 해당 버그는 1995년 게임 '레벨 어설트 2'의 처음 10-20 프레임을 디코딩할 때 발생하는 문제로, FFmpeg 팀은 이를 "CVE 쓰레기"라고 표현하며 불만을 토로했다.

자원봉사자에게 전가되는 보안 수정 부담

FFmpeg는 소셜미디어를 통해 "1조 달러 규모의 기업들이 AI를 동원해 사람들의 취미 코드에서 보안 문제를 찾아낸 다음, 자원봉사자들에게 수정을 기대하는 것이 과연 공정한가"라고 반문했다. FFmpeg는 모든 비디오 파일 재생을 목표로 하지만, 어셈블리 언어로 작성된 핵심 코드의 수정은 매우 어려운 작업이다.

FFmpeg 커뮤니티는 자사 제품에 FFmpeg를 크게 의존하는 구글이 취약점 보고와 함께 패치를 제공하거나 프로젝트 유지보수를 직접 지원해야 한다고 주장한다.

구글의 90일 공개 정책, 오픈소스에 압박

논쟁을 심화시킨 것은 구글 프로젝트 제로(GPZ)가 지난 7월 발표한 새로운 '보고 투명성' 정책이다. 이 정책에 따르면 GPZ는 취약점 발견 후 1주일 내에 보고 사실을 공개하고, 패치 제공 여부와 관계없이 90일 후 취약점 세부사항을 공개한다.

많은 자원봉사 개발자들은 수십억 달러 규모의 자금을 보유한 구글이 이러한 압박을 가하는 것이 불공정하다고 느낀다. 구글은 패치 보상 프로그램을 운영하고 있지만, FFmpeg 측은 월 3개 패치 제한 등으로 실효성이 부족하다고 지적했다.

오픈소스 생태계 전반의 위기

이는 FFmpeg만의 문제가 아니다. XML 파싱 라이브러리인 libxml2의 전임 관리자 닉 웰호퍼는 최근 "제3자가 보고하는 보안 문제를 주당 수 시간씩 처리하는 것이 무급 자원봉사자에게는 지속 불가능하다"며 사임을 선언했다. Libxml2는 모든 웹 브라우저와 웹 서버, 리브레오피스 등에서 사용되는 핵심 라이브러리다.

소프트웨어 공급망 보안업체 체인가드의 댄 로렌츠 CEO는 "오픈소스 라이선스 하에 소프트웨어를 만들고 보안 문제를 찾아 공개하는 것 모두 디지털 공유재에 대한 기여"라며 "구글은 다른 어떤 조직보다 오픈소스 프로젝트를 많이 지원한다"고 반박했다.

그러나 보안 전문가들도 FFmpeg가 인터넷 기술 인프라의 핵심 부분이며 보안 문제는 책임감 있게 공개되고 해결되어야 한다는 점에는 동의한다. 해커들도 구글의 AI 버그 파인더 '빅 슬립'과 같은 도구로 취약점을 찾을 수 있기 때문이다.

현실은 오픈소스로 이익을 얻는 대기업들의 더 많은 지원 없이는 재정적으로 열악한 많은 핵심 오픈소스 프로젝트들이 더 이상 유지되지 않을 것이라는 점이다. 또 다른 대규모 보안 침해 사고가 발생하기 전에 실질적인 지원이 필요하다는 목소리가 커지고 있다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org