칼럼 | 오픈소스 핵심은 ‘재단’이 아니다··· 렛츠인크립트의 10년의 성공에서 배우자

오픈소스 프로젝트에서 재단의 지원을 받는 것도 도움이 된다. 하지만 그보다 더 중요한 것은 문제를 제대로 인식하고, 해당 문제에 대한 명확한 기술적 솔루션을 갖는 것이다. 
 

재단의 성공 여부는 늘 예측하기 어렵다. 소프트웨어, 특히 오픈소스 관련 재단이라면 아주 망하거나 아니면 아예 성공할 수 있다. 실제로 필자는 최근 설립되고 아직 클라우드 벤더 지원을 얻지 못한 오픈소스 재단 오픈ELA에 대해 비판적인 칼럼을 쓴 적 있다. 동시에 재단 덕에 성장한 오픈소스 커뮤니티 쿠버네티스에 대한 글도 쓴 적도 있다. 그런 면에서 재단은 커뮤니티를 육성하는 데 도움이 될 수 있지만 그 자체로 성공을 보장하지는 않는다.

이런 맥락에서 렛츠 인크립트(Let’s Encrypt)와 이를 운영하는 인터넷 시큐리티 리서치 그룹(Internet Security Research Group, ISRG)은 매우 흥미롭다. ISRG 재단의 성공을 이끈 명백한 이유는 없다. 하지만 렛츠 인크립트가 등장하고 10년이 지난 지금 ISRG의 렛츠 인크립트는 3억 6천만 개 이상의 웹사이트를 보호하기 위해 40억 개 이상의 인증서를 발급했다. 다른 많은 재단이 렛츠 인크립트만큼의 성공을 거두지 못했음에도 ISRG가 주도하는 메모리 안전성 프로젝트 프로스시모(Prossimo)와 개인 정보 보호 메트릭 시스템인 디비업(Divvi Up)도 렛츠 인크립트가 가던 길을 따를 가능성이 높다. (실패 성격이 강한 오픈스택은 다시 점검해 볼 만하다).

문제는 ‘성공 비결’이다. 렛츠 인크립트가 성공한 원인은 무엇이며, 다른 비영리 단체나 오픈소스 프로젝트는 여기서 무엇을 배울 수 있을까?

인터넷 보안을 위한 10년간의 노력
렛츠 인크립트가 성공한 원동력은 핵심 문제를 해결했기 때문이다. 2013년 렛츠 인크립트가 설립되었을 때 웹에서 페이지 로딩의 28%만 보안이 적용됐다. ISRG의 커뮤니케이션 담당 부사장인 사라 그란은 “TLS와 SSL 등 다양한 옵션이 있었지만 널리 사용되지는 않았다”라며 “웹 보안을 진정으로 발전시키기 위해서는 이러한 방식이 바뀌어야 했고, 사람들이 매일 인터넷에 의존하고 성장하는 속도에 걸맞게 변화해야 했다”라고 말했다.

렛츠 인크립트는 공익 광고로 상황을 바꾸려고 하지 않았다. 그들은 자동화와 인증서 발급의 복잡성을 줄이는 데 집중했다. 개발자가 인증서를 더 쉽게 채택하고 웹사이트에 적용할 수 있게 만들면 더 많은 개발자가 인증서를 사용할 가능성이 높아졌다. 레드몽크의 스티브 오그래디는 ‘편의성’이야말로 개발자를 위한 킬러 앱이라고 표현한 적 있다.

또한 ISRG와 렛츠 인크립트 이니셔티브가 상업용 인증 기관과 경쟁하지 않으려는 것도 도움이 되었다. 그랜은 “우리는 영웅이 되려고 여기 있는 것이 아니다”라며 “우리는 그저 문제를 해결하려 한다”라고 설명했다. 독점 인증서 제공업체와 협력함으로써 렛츠 인크립트는 인터넷 보안 문제를 해결하는 데 집중했다. 그리고 그런 협력 과정에서 대가를 바라지 않았다.

그랜에게 렛츠 인크립트에서 ISRG가 성공할 수 있었던 비결을 구체적으로 묻자 “ISRG는 우리가 잘하는 것이 무엇인지 알고 있고, 그 분야에 집중하고 있다. 그리고 우리가 잘하는 것은 어려운 엔지니어링 인프라 문제를 해결하는 것이다”라고 거침없이 대답했다. 특히 인터넷 보안과 관련하여 ISRG는 자동화, 효율성 및 규모라는 렌즈를 통해 문제를 해결하고 있다. ISRG는 개별적인 문제를 해결하는 데 초점을 맞추고 있으며, 이를 통해 렛츠 인크립트를 통해 큰 성공을 거두었다. 이런 관점은 프로스시모나 디비업에게도 도움이 될 것이다.

성공의 비결
ISRG의 재단 접근 방식은 확실히 효과가 있었다. 분명 비슷한 기술을 제공하는 경쟁 없체가 있었지만 실제로 싸우지 않고 함께 일했다. 그렇다고 해도 재단이 소프트웨어 프로젝트 성공을 위해 무조건 있어야 하는 요소는 아니다. 인증 기관의 업계에서는 코모도(Comodo)와 디지서트(Digicert)가 렛츠 인크립트와 함께 성장하고 있다. 

인터넷 보안 영역 밖에서도 마찬가지다. 하시코프, 몽고DB, 엘라스틱 등이 비즈니스 성공을 거두며 큰 인기를 끌고 있다는 것은 쉽게 동의할 수 있을 것이다. 시장에 재단을 도입한다고 해서 반드시 특정 벤더 제품을 물리칠 수 있는 것은 아니다. 하시코프에 대해 말하자면, 하시코프 테라폼을 복사해 만든 오픈토후(OpenTofu) 프로젝트는 재단 중심으로 운영되고 있다. 이에 대해 리눅스 재단의 CEO 짐 젬린은 “테라폼과 오픈토후 모두 다른 이유로 성공할 것으로 믿는다”라고 말했다.

젬린에 따르면, 테라폼은 하시코프라는 신뢰할 수 있는 회사가 지원하는 훌륭한 소프트웨어이기 때문에 성공할 것이다. 동시에 오픈토후가 시장에서 큰 점유율을 차지할 것으로 보았다. 오픈토후는 공식 홈페이지를 통해 “중립적으로 소유되지 않거나 단일 상업 단체가 소유하고 통제하는 프로젝트에 대규모 엔지니어링 리소스를 투자하고 싶어 하는 사람은 아무도 없다. 이는 오픈토후에 대한 ‘더 나은 투자’로 이어질 것”이라고 밝혔다. 

젬린은 현재 비교적 작은 규모의 회사들이 오픈토후에 기여하고 있지만 “코드화된 오픈토후에 대한 다운스트림 공급업체의 의존도가 높아지면 더 많은 공급업체가 다운스트림 제품을 개선하기 위해 재투자함으로써 더 큰 생태계를 만들 수 있을 것”이라고 설명했다.

그럴수도 있다. 하지만 재단 중심의 프로젝트는 실패하는 성향이 있다.

두 프로젝트 모두 재단 주도 커뮤니티로 가득 차 있음에도 불구하고 왜 쿠버네티스는 성공한 반면 오픈스택은 실패했을까? 젬린은 “클라우드 컴퓨팅 워크로드에 적합한 추상화 방식은 컨테이너(예:쿠버네티스)였지 VM(예:오픈스택)이 아니었기 때문”이라고 말했다. 핵심은 결국 기술이다. 어떤 재단도 특정 기술에 대한 고객의 잘못된 선택을 극복할 수 없다.

다시 ISRG와 그 사명으로 돌아가 보자. 2015년 웹사이트 보안에 대한 관찰과 마찬가지로, 오늘날 ISRG는 메모리 안전에 대해서도 똑같이 큰 문제가 있다고 보고 있다. 그랜은 “인터넷이 의존하고 있는 다양한 인프라를 살펴본 결과 많은 인프라가 C와 C++로 작성돼 있었다”라며 메모리 안전성, 버그, 취약성 등의 문제를 지적했다. 이것이 왜 지금 문제가 될까? C나 C++같은 언어에는 오랫동안 문제가 있었다. 그랜은 마이크로소프트와 구글이 취약점의 대부분이 메모리 안전성 문제에서 비롯되었다는 사실을 인정하고 메모리 안전성을 큰 문제로 인식했다고 설명했다. 그리고 러스트(Rust) 같은 언어로 해결될 수 있는 문제라고 표현했다.

렛츠 인크립트를 따라한 프로젝트가 성공할 수 있을까? 확실한 것은 없지만, 큰 문제와 이를 해결할 수 있는 명확한 기술(이 경우 러스트)이 결합하면 성공 가능성이 훨씬 더 높아진다. 비영리 재단이든 영리 기업이든, 고객 문제 해결에 초점을 맞추고 고객의 기술 선택에 약간의 운이 따른다면 성공을 ‘보장’할 수 있을 것이다.
ciokr@idg.co.kr