오픈소스 암호화 통신 기술 '오픈SSL(OpenSSL)' 라이선스가 바뀐다. 프로젝트 개발팀이 자체 오픈소스 라이선스에서 좀 더 대중적인 '아파치' 오픈소스 라이선스로 변경하기로 했다고 최근 발표했다.
오픈SSL 프로젝트팀은 지난 16일 공식블로그 공지를 통해 이같은 계획을 내놨다. 팀은 "타 프로젝트를 참조해 면밀한 검토를 거친 다음 소프트웨어자유법센터(SFLC) 법률고문 및 코어인프라이니셔티브(CII)의 자문을 받아, 오픈SSL 팀은 코드 라이선스를 널리 사용되는 '아파치소프트웨어라이선스 버전2(ASLv2)' 라이선스로 바꾸기로 결정했다"고 밝혔다.
이날 프로젝트팀 측은 과거 오픈SSL 프로젝트에 참여한 모든 컨트리뷰터로부터 라이선스 변경 허락을 구하기 위해, 그들에게 연락 가능한 이메일 주소를 별도의 웹페이지에서 수집 중이라고 덧붙였다.
오픈SSL 프로젝트는 공식적으로 1998년부터 진행된 20년 이상 된 기술이다. 1995년 개발된 원조격 기술까지 고려하면 20년 이상 나이를 먹은 프로젝트라 볼 수도 있다. 그간 프로젝트의 3만1천건에 달하는 소스코드 커밋에 기여한 참여자는 약 400명에 달한다. 프로젝트팀은 이들에게서 라이선스 변경 허락을 받을 계획이다. 지난 22일엔 "며칠 후 변경 허락을 구하는 이메일 발송을 시작할 것"이라고도 밝혔다.
현재 오픈SSL 프로젝트의 라이선스는 'OpenSSL License'다. 이 라이선스는 오픈SSL 소프트웨어 소스코드와 바이너리 파일 재배포 관련 조건을 담았다. 이용자가 만드는 홍보물에는 소프트웨어 사용 여부와 특성을 언급하는 특정 문구를 포함해야 한다든지, 프로젝트의 파생 제품을 알릴 때 '오픈SSL 툴킷'이나 '오픈SSL 프로젝트'라는 명칭을 서면 허가 없이 써선 안 된다든지 하는 의무사항을 포함했다.
그리고 오픈SSL 프로젝트의 라이선스 본문에는 'SSLeay License' 내용도 포함돼 있다. SSLeay는 소프트웨어 개발자 에릭 영(Eric A. Young)과 팀 허드슨(Tim J. Hudson)이 만든 암호화 라이브러리다. 1995년부터 1998년까지 개발된 SSLeay 역시 SSLeay License라는 자체 라이선스 기반으로 배포됐다. 오픈SSL 프로젝트가 여기서 포크(Fork)했기 때문에, 라이선스에 SSLeay License 내용이 포함된 것이다.
이처럼 기존 오픈SSL 프로젝트 라이선스는 소스코드 및 바이너리 사용 자체는 어느 정도 자유롭지만, 재배포 행위와 관련해서 몇 가지 일반적인 오픈소스 라이선스와 다른 조건을 명시하고 있다. 이는 다른 기술과 결합한 제품을 개발해 재배포할 때 발생할 문제를 예측하기 어렵다는 뜻이다. 통상 오픈소스를 활용한 제품 개발이나 배포시에는, 해당 프로젝트의 라이선스가 널리 알려진 것일수록 채택에 유리하다.
오픈SSL은 '전송보안계층(TLS)' 암호화 통신 기술을 구현한 오픈소스 소프트웨어로, 거의 모든 리눅스 서버 및 관련 오픈소스 시스템에서 암호화 통신 기능 구현에 활용되고 있다. 3년전 TLS 암호화 통신 내용을 엿볼 수 있는 오픈SSL 보안취약점 '하트블리드'의 존재가 알려졌을 때 업계가 떠들썩했던 이유다.
이런 버그가 제때 발견, 패치되지 못했던 이유 중 하나는 다수 기업들이 오픈SSL 기술을 쓰기만 하고, 핵심인 재정 지원이나 외부 개발자들의 참여 확대 등 프로젝트의 운영 현황을 등한시해서였다. 뒤늦게나마 리눅스재단을 중심으로 오픈SSL 프로젝트를 지원하는 IT거인들의 연합체 CII가 설립돼, 공식적인 프로젝트 후원이 이뤄졌다.
오픈SSL 프로젝트의 라이선스 변경 계획에 주요 오픈소스 기술 관련 단체와 기업들이 환영의 뜻을 밝혔다.
리눅스재단의 닉코 반 소메렌 최고기술책임자(CTO)는 "표준적이고 널리 알려진 라이선스를 사용하는 것은 자유 오픈소스 소프트웨어 프로젝트를 다른 프로젝트에 통합할 때 매우 유리하다"며 "오픈SSL은 일부분 리눅스재단 CII의 지원을 통해 최근 몇년간 큰 발전을 거뒀고, 이 라이선스(변경)는 세계적으로 중요하고 그에 의존한 사례가 많은 오픈소스 프로젝트에 더 큰 도움이 될 것"이라고 강조했다.
인텔의 이마드 소우소우 부사장 겸 오픈소스기술센터 총괄매니저는 "아파치2.0 라이선스로 오픈SSL이 전환하면 오픈소스 생태계 안에서 라이선스 호환성을 개선할 것"이라며 "파편화된 오픈소스 암호기술(cryptography) 생태계를 도와 글로벌 기술 인프라의 프라이버시와 보안을 향상시킬 암호기술 사용에 힘을 실어줄 것"이라고 내다봤다.
오라클 짐 라이트 오픈소스정책, 전략, 컴플라이언스, 연합 담당 수석아키텍트는 "오라클은 암호기술 프로젝트 참여 라이선스 변경으로 오픈SSL 재단과의 협력을 확대할 수 있어 자랑스럽다"며 "오픈SSL은 오라클 제품과 인터넷 인프라의 핵심적인 구성요소고, 우리는 오픈SSL 기반의 암호기술 사용이 늘어 전체 엔터프라이즈 소프트웨어 커뮤니티에 이익이 될 것이라 확신한다"고 평했다.
이 소식을 모두가 반기는 건 아니다. 오픈BSD의 창시자이자 오픈SSL 컨트리뷰터인 소프트웨어 엔지니어 '테오 데 라트(Theo De Raadt)'는 오픈SSL 프로젝트팀의 라이선스 변경 소식에 불만을 표했다. 그는 하트블리드 취약점이 발견된 오픈SSL에서 2014년 포크된 오픈소스 프로젝트 '리브레SSL(LibreSSL)' 프로젝트 창시자이기도 하다.
관련기사
- "한국, 세계 2위 하트블리드 취약점 보유국"2017.03.31
- 하트블리드 오명 쓴 '오픈SSL', 새 버전 뜬다2017.03.31
- 세계 대기업 3%만 하트블리드 완전해결2017.03.31
- 오픈SSL의 대안 '리브레SSL', OS 지원 확대2017.03.31
영국 IT미디어 더레지스터의 지난 24일자 보도에 따르면, 데 라트는 "(코드) 작성자의 권리가 침해당할까 걱정스럽다"며 "(프로젝트팀이) 리눅스재단, 법률가, 대기업들 사이에서 비밀리에 단일한 선택지만 주어진 상황에 합의를 종용하는 것처럼 보인다"고 지적했다.
반면 같은 보도에서 아카마이테크놀로지스 수석아키텍트이자 오픈SSL 개발팀 멤버인 엔지니어 리치 살츠는 "SSLeay 라이선스를 잘 읽어 보면 그 내용은 사람들이 그외의 어떤 다른 라이선스로도 그 코드를 배포할 수 없다고 얘기하는 것"이라며 "(라이선스 변경은) 파생물을 만들고 변경된 내용을 사용할 사람들을 위한 건데, SSLeay라이선스에서 파생되는한 그렇게 할 수가 없다"고 말했다.