유럽연합의 오픈소스 활동 현황

- Open UP -

 

  • EU 정책 관련자들도 주목하는 ‘오픈소스 프로그램 사무소(Open Source Program Office, OSPO)’
    1. OSPO는 구글, 우버, 버라이어즌 같은 오픈소스 친화적인 IT 기업 뿐 아니라 공공 부문과 학계에서도 관심과 확산 중
    2. * OSPO는 기업이나 단체에서 오픈소스 잘 활용할 수 있도록 지원해주는 일종의 부서나 팀을 뜻하며 조직내의 체계적인 오픈소스 문화 정착에 도움
  • IT 환경이 클라우드 환경으로 빠르게 변화하면서, 오픈소스 소프트웨어 개발기업과 대형 퍼블릭 클라우드 업체 간 갈등 심화
    1. AWS가 엘라스틱서치 코드를 기반으로 매니지드 서비스를 제공하면서 갈등, 결국 엘라스틱 라이선스 정책 변경

 

□ EU 오픈소스 정책 서밋 온라인 개최, 유럽의 오픈소스 정책 조망 기회

  • 유럽의 오픈소스 정책을 연구하는 ‘오픈포럼 유럽(OpenForum Europe, OFE)’, EU 오픈소스 정책 서밋 온라인 개최
    1. 지난 2월 5일, 오픈포럼 유럽이 리눅스 재단과 함께 ‘EU 오픈소스 정책 서밋’ 개최
    2. 현 유럽연합(EU) 집행위원 중 한 명인 티에리 브르통(Thierry Breton)은 기조연설을 통해 달라진 오픈소스의 위상과 오픈소스에 대한 정부기관의 영향력을 언급
    3. 오픈소스 관련 정책 연구를 통한 실질적인 효과를 만들어야 한다고 강조

 

  • 최근에 유럽에서는 다양한 오픈소스 정책과 정부 주도 오픈소스 기술 도입 중
    1. 지난해 10월, EU 집행위원회에서 주도한 ‘EU 오픈소스 소프트웨어 전략 2020-2023’ 정책 승인
      1. * ‘EU 오픈소스 소프트웨어 전략 2020-2023’에서는 오픈소스 관련 6가지 원칙 및 구체적인 행동지침 명시
    2. 독일은 지난해 12월 '개방형'이라는 가치에 중점을 둔 ‘베를린 선언’을 진행했으며 오픈소스 소프트웨어에 관한 내용 포함

 

  • 오픈포럼 유럽이 발표한 자료 중 정책 관련자들을 위한 오픈소스 가이드라인에서 가장 핵심이 되는 부분은 ‘오픈소스 프로그램 사무소(Open Source Program Office, OSPO)’
    1. * OSPO는 기업이나 단체에서 오픈소스 기술이 퍼질 수 있도록 도와주는 일종의 부서나 팀을 뜻하며 조직내에 있을 경우 체계적인 오픈소스 문화 정착에 도움
    2. OSPO는 구글, 우버, 버라이어즌 같은 몇몇 오픈소스 친화적인 IT 기업에서뿐 아니라 공공 부문과 학계에도 확산 중
    3. 지난해 EU 집행위원회가 직접 OSPO를 설립하였으며 이를 통해 각 당국은 오픈소스 전략 실행 점검 및 오픈소스 공유 문화 정착 가능
    4.  

    5. [EU 오픈소스 소프트웨어 전략 2020-2023]

      에픽 메가그랜트

      (출처 : https://ec.europa.eu/info/sites/info/files/en_ec_open_source_strategy_2020-2023.pdf)

    6.  

    7. 미국 존스 홉킨스 대학은 학계에서 처음으로 OSPO를 설립, 부서 간 새로운 협업을 추구하고, 학생들에게 오픈소스 기술을 가르치는 기회가 증가
      1. * 연구원 상당수가 특허, 지적재산권, 상용 제품을 넘어 사회적으로 좋은 영향을 주는 연구물을 만들고 싶어하므로 연구 결과물을 오픈소스 형태로 만들 수 있음

 

  • 프라운호퍼 ISI 연구소와 오픈포럼 유럽이 진행한 오픈소스 영향 연구의 결과 발표에서는 EU의 OSS 기여수준 및 성장모델에 따른 경제적 효과 등 공개
    1. 공개한 연구 결과자료에 따르면 2018년 유럽 내 오픈소스 기여자는 26만명, 커밋 횟수는 약 3천 만회로 오픈소스 기여자 수가 10% 증가할 경우 유럽 GDP는 연간 0.6%(950억유로) 증가
    2. 유럽에서 발생하는 깃허브 활동 75%가 직원이 100명 미만인 중소기업으로 오픈소스 기여가 10% 늘어나면 스타트업 1천 개를 육성하는 효과
    3. 또한, 왜 오픈소스를 개발하는지에 대해 조사한 결과 1)기술 문제를 해결하기 위해, 2)특정 기업의 종속을 피하기 위해, 3)최신기술을 사용하기 위해, 4)지식을 탐구하기 위해 오픈소스 개발에 참여했다고 응답

 

  • 개방형 혁신의 미래에 대한 논의의 핵심은 ‘협업 문화’
    1. 마이크 밀린코비치(Mike Milinkovich) 이클립스 재단 이사 및 미르코 보엠(Mirko Boehm) 다임러 오픈소스 엠배서더 등 협업문화 강조

 

 

□ 아마존웹서비스(AWS) vs 엘라스틱, 오픈소스 비즈니스 모델 간 갈등

  • 인기 오픈소스 검색엔진 '엘라스틱서치'의 개발사인 엘라스틱과 대형 글로벌 퍼블릭 클라우드 업체 아마존웹서비스(AWS) 간 갈등 고조
    1. AWS가 엘라스틱서치 오픈소스 프로젝트를 기반으로 자체 매니지드 서비스를 제공하자 엘라스틱은 AWS의 이런 행위가 올바르지 않다며 제동을 걸었지만 해결되지 않자 최근 라이선스를 변경
      1. * 오픈소스 소프트웨어 개발사와 클라우드 서비스 업체 간 갈등은 이번이 처음은 아니며, 오픈소스 NO SQL DB인 몽고DB와 레디스DB 개발을 주도하는 레디스랩스 등에서 클라우드 서비스 업체가 오픈소스 기반의 매니지드 서비스를 제공할 수 없도록 라이선스에 새 조항을 적용
    2. 엘라스틱은 아마존 오픈디스트로를 엘라스틱서치 포크라고 발표하면서 커뮤니티를 더욱 분열시키고 추가적인 혼란을 야기했다고 비판
      1. * 지난 2019년 AWS은 엘라스틱서치용 오픈디스트로를 출시하며 네트워크 암호화 및 액세스 제어 지원 등의 기능을 넣어 오픈소스로 배포한 바 있음
    3. 이에 더이상 엘라스틱서치에 아파치2.0 라이선스를 적용하지 않을 것이며 '엘라스틱 라이선스'와 '서버사이드 퍼블릭 라이선스(SSPL)' 듀얼 라이선스 정책으로 변경한다고 발표
      1. * SSPL라이선스 : 지난 2018년 몽고DB는 오픈소스 프로젝트를 주도하는 업체가 대형 클라우드 업체의 공격을 피하는 동시에 기업 고객을 상대로 수익을 창출하기 위한 활로를 모색하기 위해 고안
      2. * 이 라이선스는 AGPL3 라이선스를 기반으로 하며, 프로그램이 서비스로 제공될 경우, 그 프로그램과 연동돼 실행되는 모든 소프트웨어도 공개돼야 한다는 조항을 포함
      3. * 엘라스틱은 기본 배포판을 무료로 사용하는 대다수 사용자커뮤니티 및 클라우드 고객, 자체 관리형 소프트웨어 고객에게는 아무런 영향을 미치지 않는다고 밝힘
    4. 이에 AWS는 엘라스틱을 향해 오픈소스를 유지한다는 약속을 어겼다고 비판하면서 아파치2.0 라이선스가 적용된 최신 버전인 엘라스틱서치를 포크(Fork)하겠다고 선언, 이제부터 포크 버전을 기반으로 오픈소스 생태계를 키워나가겠다고 맞대응
      1. * 포크 : 코드를 복사해 다른 버전의 배포판을 만드는 행위
      2. * AWS는 이미 엘라스틱 서치와 엘라스틱 서치의 기반이 되는 핵심 검색 라이브러리인 아파치 루씬 모두에 업스트림 코드 기여를 수행했다고 반박

 

  • OSI(Open Source Initiative)는 지난 1월 성명서를 통해 ‘SSPL은 오픈소스 라이선스가 아니’라고 단호하게 선언
    1. 오픈소스 라이선스는 소프트웨어의 공동 개발을 촉진하고 발전시키는 오픈소스 소프트웨어 에코시스템을 위한 기반임
    2. 새 라이선스는 사용자가 소스코드를 볼 수 있도록 허용하지만, 모든 분야에서 사용할 수 있는 권한과 같은 ‘오픈소스 정의’에 포함되는 매우 중요한 권한은 허용하지 않음
    3. 모든 기업이 자신의 비즈니스 요구와 방향에 따라 적합한 라이선스를 채택하고 변경할 수 있으나 기업이 ‘오픈소스 정의’를 충족하지 않는 라이선스로 소프트웨어가 오픈소스의 모든 혜택을 가지고 있다고 주장하는 것은 기만이라고 밝힘

 

  • 엘라스틱과 AWS 사이 갈등, IT 업계에서도 의견 분분
    1. AWS가 아파치2.0 라이선스가 적용된 엘라스틱서치 소스코드를 이용해 SaaS 서비스를 만든 것 자체를 문제 삼기는 어려움
      1. * 아파치2.0 라이선스는 누구나 자유롭게 소프트웨어를 개인적 또는 상업적인 목적으로 사용할 수 있게 허용하고 있으며 재배포 시 수정한 소스코드를 포함시킬 의무도 없음
    2. AWS의 라이선스 위반은 아니지만, 오픈소스를 기반으로 성장해 온 클라우드가 엘라스틱과 협의하여 수익을 공유할 방안을 찾지 않고 자기 이익만 챙기려고 한 점에서 건전한 오픈소스 생태계 조성에 반하는 행동이라고 비난받고 있음
    3. 오픈소스 라이선스를 없앤 엘라스틱에 대해서는 법적으로 라이선스 변경 권리를 가지고 있으나 결과적으로 오픈소스 소프트웨어 사용에 대한 기업들의 퍼드(FUD:공포·불확실성·의심)를 심화시켰다는 비판을 받음
    4. 엘라스틱 서치와 키바나 프로젝트에 참여하는 컨트리뷰터(기여자)들은 자신들의 작업 결과물을 커뮤니티에 있는 누구나 자유롭게 이용할 수 있을 것으로 기대하고 있는데, 엘라스틱이 라이선스를 바꾸면서 이들이 크게 실망할 것이라는 우려도 존재

 

□ 주목할 만한 월간 이슈(2월)

  • (DBMS) 오픈소스 DBMS의 이용률이 증가하면서 오라클 인기 하락
    1. 매월 DB관련 정보를 수집해 순위를 발표하고 있는 시장조사업체 DB엔진에서 발표한 세계 DBMS 순위를 보면 증가폭이 가장 큰 DBMS는 PostgreSQL로 전년 동기보다 44.02점 증가한 550.96점을 기록
    2. 이어 애저 SQL 서버, MongoDB, 아마존 DynamoDB, MariaDB, Redis 순으로 작년 동기에 비해 인기도 상승
      1. * 리미니스트리트의 ‘오라클 라이선스 사용자 설문조사’에서 오라클 데이터베이스의 ‘비용’을 가장 큰 문제점(97%)으로 꼽았으며, 응답자 중 비용 절감 및 신속 개발 등의 이점으로 오픈소스 DBMS를 고려하거나 전환중에 있다고 응답(35%)
      2. * 오픈소스 DBMS를 검토 중이라고 답한 응답자들은 PostgreSQL, MySQL, MongoDB를 선호하는 것으로 나타남
    3. 반면 전년 동기에 비해 가장 감소폭이 큰 DBMS는 MS SQL이며, 이어 오라클, MySQL, MS Access, Hive, IBM Db2 순으로 집계
    4. 오픈소스 DBMS의 이용률이 증가하면서 오라클의 점수가 조금씩 하락하고 있지만 여전히 1위 유지
  • (보안) KISA, 리눅스 Sudo 보안 취약점 최신버전 업데이트 권고
    1. 한국인터넷진흥원(KISA)은 미국 국립표준기술연구소의 국가 취약점 데이터베이스(National Vulnerability Database, NVD) 자료를 인용, Sudo 명령어의 취약점(CVE-2021-3156)관련 보안 공지
      1. * sudo 명령어 : 사용자가 다른 사용자의 권한으로 어플리케이션이나 명령을 실행할 수 있도록 하는 시스템 명령어
    2. 이 취약점은 Sudo 명령어에서 힙 버퍼 오버플로우로 인해 발생하는 권한상승 취약점으로, 영향을 받는 버전의 리눅스 OS(Ubuntu, RedHat, Debian, Fedora, Gentoo 등) 이용자는 최신 버전으로 업데이트할 것을 권고
      1. * 영향을 받는 Sudo 버전 : 1.8.2∼1.8.31p2 및 1.9.0∼1.9.5p1
      2. 취약점이 해결된 버전 : 1.9.5p2
      3. * KISA 보안 공지 :
           https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35892
  • (보안) 구글, 오픈소스 소프트웨어의 보안 취약점 문제 해결을 위한 프레임워크 제안
    1. 구글은 최근 시큐리티 블로그를 통해 '오픈소스 취약점 논의를 전환하기 위한 프레임워크: 파악, 예방, 수정‘ 발표
      1. * 구글 시큐리티 블로그 원문 :
           https://security.googleblog.com/2021/02/know-prevent-fix-FRAMEwork-for-shifting.html
    2. 오픈소스 소프트웨어는 모든 코드와 종속 항목들이 공개돼 있어 보안을 더 강화해야 하며, 보안 수준을 한 단계 높이기 위해 오픈소스의 취약점 추적을 위한 기준이 필요하다고 설명
    3. 특히 공급망 공격을 포함해 악의적인 행동으로부터 주요 오픈소스 프로젝트를 보호하기 위한 오픈소스 개발 프로세스 개선 필요 제시
      1. * 공급망 공격 : 해커가 소프트웨어 개발사 네트워크에 침투해 악의적인 소스코드를 추가하거나 파일을 변경하는 등의 공격
    4. 이에 ‘소프트웨어 속 취약점 파악’, ‘새롭게 추가되는 취약점 예방’, ‘취약점 수정 또는 제거’ 등 3가지 영역으로 나누어 오픈소스의 취약점 문제 해결 방안을 제안
    5. 핵심 내용은 소프트웨어 소유자와 관리자의 신원을 인증하기 위해 중요 오픈소스 프로젝트의 경우 익명으로 오너나 관리자가 될 수 없고
    6. 프로젝트 오너나 관리자라고 해도 일방적인 코드 변경을 금지하고, 코드 작성자 외에 별도의 두 독립적인 집단의 코드 리뷰와 승인을 받아야 한다는 것
  • (프로그래밍 언어) 프로그래밍 언어 ‘러스트’, 모질라에서 독립해 러스트 재단 출범
    1. 지난 8일 프로그래밍 언어 러스트는 러스트 및 관리서비스 개발에 필요한 재정기반을 마련하고, 파트너 기업의 투자를 장려하기 위해 모질라에서 독립하여 ‘러스트 재단’을 공식 출범
    2. 오픈소스 소프트웨어는 모든 코드와 종속 항목들이 공개돼 있어 보안을 더 강화해야 하며, 보안 수준을 한 단계 높이기 위해 오픈소스의 취약점 추적을 위한 기준이 필요하다고 설명
    3. 러스트 재단은 러스트 개발 및 배포, 운영 정책 등을 담당하며, 그동안 러스트 개발을 주도해온 모질라로부터 패키지 레지스트리를 포함한 모든 상표 및 인프라 자산 이전 완료
    4. 러스트 재단 회원사로 참여한 아마존웹서비스(AWS), 마이크로소프트, 구글, 화웨이 및 모질라 등 5개 기업은 2년간 100만 달러를 투자

□ 시사점

  • 전 세계적으로 ICT 회사는 오픈소스를 다루는 모범 사례로 OSPO를 널리 채택하고 있으며 국내에서도 오픈소스 생태계의 기본 조직 구성 요소로 중요해질 전망
  • 오픈소스 소프트웨어 개발기업과 대형 퍼블릭 클라우드 업체 간 문제는 IT환경이 클라우드환경으로 빠르게 변화하면서 이익 갈등 심화 조짐 우려

 

※ 참고 Reference

 

 

Creative Commons LicenseOpen UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2021
맨 위로
맨 위로