레드햇과 협력 택한 알마리눅스, 초기부터 난항

레드햇엔터프라이즈리눅스(RHEL) 클론 배포판 중 하나인 알마리눅스가 혼란에 빠졌다. RHEL 소스코드 100% 호환성 대신 애플리케이션 바이너리 인터페이스(ABI) 호환에 집중하기로 노선을 변경했는데, 레드햇과 협력에 좌절을 겪는 모습이다.

24일(현지시간) 미국 지디넷에 따르면, 알마리눅스 이사회는 최근 익명 투표를 실시해 "RHEL에서 실행되는 소프트웨어가 알마리눅스에서 동일하게 실행될 수 있도록 가능한 범위 내에서 커뮤니티 요구에 부응해 RHEL과 ABI가 호환되고 엔터프라이즈 수준의 장기 지원 배포판을 계속 생산하는 것을 목표로 한다"고 만장일치로 결정했다.

레드햇은 지난달 센트OS재단의 깃 저장소에 제공해오던 RHEL 소스코드 공유를 중단했다. RHEL 소스코드는 유상 서비스 가입 고객에게만 제공하기로 했다. 이에 따라 록키리눅스, 오라클리눅스, 알마리눅스 등 RHEL 클론 프로젝트가 완벽한 소스코드를 확보하기 힘들어졌다.

이에 록키리눅스는 도커허브 등에 공개 배포되는 RHEL 컨테이너 이미지와 퍼블릭 클라우드의 RHEL 인스턴스 일시 구독 등의 방법을 동원해 RHEL과 100% 호환되는 클론을 유지하겠다고 밝혔다. 오라클리눅스도 기존 입장을 유지하겠다고 밝혔고, 수세가 RHEL 클론 프로젝트를 공개하겠다고 선언했다.

반면, 알마리눅스는 레드햇과 평화적 접점을 찾는 방향을 택했다. 소스코드의 100% 호환을 포기하는 대신 RHEL에서 구동되는 애플리케이션을 알마리눅스에서 문제없이 쓸 수 있게 하는 쪽으로 방향을 틀었다.

이에 알마리눅스는 RHEL의 업스트림 버전인 '센트OS 스트림'의 소스코드를 사용하기로 했다. 센트OS 스트림은 RHEL 정식버전에 들어갈 가능성 높은 새 기능과 업데이트 후보를 검증하는 선행 버전이다. RHEL 정식 버전과 코드가 다를 수밖에 없으며, 장기지원을 제공하지도 않는다.

베니 바스케즈 알마리눅스 회장은 "ABI 호환성은 RHEL에서 실행되도록 구축된 애플리케이션이 알마리눅스에서 문제없이 실행되게 하는 작업을 의미한다"며 "이 기대에 맞게 조정하려면 릴리스의 모든 것이 RHEL에서 얻을 수 있는 소스코드의 정확한 복사본인지 확인해야 할 필요성이 사라진다"고 설명했다.

그는 "처음부터 그래왔듯 페도라와 센트OS 스트림의 업스트림과 더 큰 엔터프라이즈 리눅스 생태계에 계속 기여할 것"이라고 덧붙였다.

알마리눅스는 RHEL 개발에 직접 관여하지 못하지만, 센트OS 스트림과 페도라 리눅스에 영향을 미칠 수 있을 것으로 판단했다.

하지만 그 생각은 초기부터 삐걱거리고 있다.

최근 노운호스트 CTO이자 알마리눅스 인프라팀 리더인 조나단 라이트는 iperf3의 메모리 어버플로우 문제인 'CVE-2023-38403'에 대한 센트OS 스트림 수정사항을 게시했다. 중요한 보안 허점이지만 큰 문제는 아니다.

이에 레드햇 수석소프트웨어 엔지니어는 "기여해주셔서 감사하다"며 "현재 RHEL에서 이 문제를 해결할 계획은 없지만 고객 피드백을 기반 평가를 위해 열어두겠다"고 답했다.

깃랩 대화에서 알마리눅스는 CVE 수정에 고객요구가 필수적인지 물었다. 이에 레드햇 측은 심각도 낮음이나 보통의 보안 취약점은 고객이나 기타 비즈니스 요구사항이 있을 때 필요에 따라 해결된다고 답변했다. 알마리눅스는 다시 작업 완료 후 병합되지 않고 수정사항을 왜 거부하냐고 물었다.

이에 마이크 맥그레이스 레드햇 핵심플랫폼 부사장은 "당신이 제출했을 때 예상되는 사항 문서를 만들어야 할 것 같다"며 "코드 작성은 레드햇이 코드를 사용하는 작업의 첫 단계에 불과하고 회귀, QA 등이 없는지 획인해야 한다"고 설명했다.

그는 "페도라 쪽에서 잘 진행되고 있는 듯하니 언젠가 RHEL에 포함될 것"이라고 덧붙였다.

관련기사

레딧에서 해당 이슈가 커지면서 맥그레이스 부사장과 레드햇 직원이 해명을 하기도 했다. 결과적으로 레드햇 제품보안팀은 패치를 병합했다.

그러나 조나단 라이트는 "내게 최악인 부분은 풀요청을 제출하는 것조차 시간을 낭비했다는 느낌을 받은 것"이라고 적었다.