전 세계 소프트웨어 공급망을 떠받치는 오픈소스가 무임승차 구조와 인력 고갈, 상용화 압력, 규제 리스크가 겹치며 심각한 '지속가능성 위기' 국면에 들어섰다는 우려가 제기되고 있다.
오픈소스는 기업과 개발자가 검증된 라이브러리를 무료로 재사용하며 개발 속도를 끌어올리는 디지털 시대 '공유지' 역할을 해왔다. 문제는 누구나 자유롭게 가져다 쓰는 '무료'라는 편리함 뒤에 유지보수 책임을 짊어진 소수 개발자 희생이 한계점에 달해 현재 체제는 더 이상 유지되기 어렵다는 점이다.
4일 글로벌 개발 커뮤니티와 업계에 따르면 전 세계 디지털 인프라 근간인 오픈소스 생태계에서 '공유지의 비극'이 위험 수위를 넘어서고 있다는 비판이 쏟아지고 있다.
"전 세계 인프라가 멈출지도"…벼랑 끝에 선 오픈소스 생태계
최근 쿠버네티스 커뮤니티는 핵심 트래픽 관문인 '인그레스 엔진엑스(NGINX)' 지원을 오는 3월부로 중단한다고 공식 선언했다. 기술 부채는 쌓여가는데 이를 감당할 인력이 턱없이 부족하다는 이유다.
프로젝트 핵심 관리자인 리카르도 카츠는 이미 2023년부터 "수천 개 대기업이 우리 코드를 쓰지만 보안 문제를 해결하는 건 주말을 반납한 자원봉사자 2~3명뿐"이라며 인력 지원을 호소해왔다. 하지만 모든 기업은 이를 외면했고 결국 유지보수 포기라는 결말을 맞았다.
이러한 위기는 이번이 처음이 아니다. 2021년 전 세계를 강타한 '로그4j' 보안 사태 당시에도 애플, 테슬라 등 빅테크가 사용하는 이 기술을 지탱하던 건 무보수 개발자 3명이었다.
당시 관리자 랄프 고어스는 "기업들은 수천만 달러를 벌면서 우리에겐 한 푼도 지원하지 않는다"며 분통을 터뜨렸다.
최근 발생한 리눅스 압축 도구 'xz 유틸' 해킹 사건 역시 혼자 프로젝트를 운영해온 개발자 번아웃을 노린 범죄였다.
이런 상황이 반복되자 업계 주요 관계자도 목소리를 높이고 있다. 구글 오픈소스 보안팀 에릭 브루어 부사장은 "오랜 시간 선의에 무임승차해 온 시스템 실패"라고 인정했다.
조 베다 쿠버네티스 창립자는 "기업들이 가치를 빼먹는 데만 천재적이고 환원에는 인색하다"고 꼬집었다.
전문가들은 오픈소스를 사용 중인 기업에서 인력 파견 등 실질적인 기여에 나서지 않는다면 디지털 생태계 붕괴는 가속화될 것이라고 경고하고 있다.
전세계 대기업이 사용해도 수익은 '0', 극한에 달한 '상대적 박탈감'
오픈소스 생태계 붕괴 주원인으로는 핵심 개발자(메인테이너) '상대적 박탈감'과 '번아웃'이 꼽힌다. 전 세계 기업에서 소수가 만든 코드을 사용해 돈을 벌지만 정작 개발자는 아무런 보상 없이 빈곤에 시달리는 현실 때문이다.
리눅스 재단과 하버드대 공동 연구에 따르면 오픈소스 메인테이너 46%가 "적절한 보상을 받지 못한다"고 답했다. 이들은 본업 외에 주당 20시간 이상을 오픈소스에 쏟고 있었다. 사실상 '투잡'을 뛰지만 월급은 한 곳에서만 받는 기형적 구조다.
누적된 분노는 극단적 시위로 이어지기도 했다. 2022년 주당 수천만회 다운로드되던 필수 라이브러리 '페이커js(Faker.js)' 개발자 마락 스콰이어스는 고의로 코드에 무한 루프를 심어 전 세계 애플리케이션을 먹통으로 만들었다.
그는 "포춘 500대 기업 대다수가 내 코드로 수십억 달러를 벌면서 나에게는 월세 낼 돈 한 푼 주지 않는다"며 "더 이상 무임승차를 지켜보지 않겠다"고 항변했다.
생계 위협을 호소하는 사례도 있다. 전 세계 상위 1천개 웹사이트 중 절반이상이 사용하는 '코어js(Core-js)' 개발자 데니스 푸시카레프는 가족 부양비와 사고 합의금이 없어 파산 위기에 몰렸다.
그는 애플, 넷플릭스 등 자신이 개발한 코드를 쓰는 빅테크 기업들을 향해 "당신들은 수백만 달러를 아꼈지만 나는 가족을 먹여 살릴 돈이 없다"며 공개적으로 기부를 호소해야 했다.
'오픈 워싱'부터 '사유화'까지…기업 탐욕에 멍드는 생태계
특히 지난해는 개발자 개인 번아웃을 넘어 기업 탐욕이 빚어낸 '오픈 워싱(Open Washing)'과 사유화 논란으로 생태계 혼란이 그 어느 때보다 극심했던 한 해였다.
오픈AI, 메타 등 빅테크는 개발한 AI 모델을 오픈소스라 홍보했지만 정작 핵심인 학습 데이터나 과정을 공개하지 않는 기만적인 행태가 도마 위에 올랐다.
이에 오픈소스 이니셔티브(OSI)가 '오픈소스 AI'에 대한 엄격한 정의를 내리며 제동을 걸었지만 기업은 여전히 마케팅 용어로만 오픈소스를 소비한다는 비판을 피하지 못했다.
여기에 더해 라이선스를 유료화 전환한 레디스와 워드프레스 창시자의 독단적인 경쟁사 차단 사태 등이 발생했다. 이는 특정 기업이 주도하는 오픈소스는 언제든 '사유재산'으로 돌변해 사용자에게 칼을 겨눌 수 있다는 공포를 심어주며 커뮤니티의 신뢰 자본을 밑바닥부터 뒤흔들었다.
"광고는 혐오하지만 돈 내긴 싫다"
수억 명에 달하며 생태계 절대다수를 차지하는 일반 사용자들 역시 오픈소스 위기에 대한 책임에서 자유롭지 못하다는 비판이 제기된다. SW는 무조건 무료여야 한다는 인식이 개인사용자를 대상으로 한 모든 수익화 시도에 대해 순수성 훼손이라며 비판하고 있기 때문이다.
이러한 적대적 환경 탓에 대다수 오픈소스 프로젝트는 자체적인 수익 모델을 갖추지 못한 채 고사 위기에 처하거나 결국 생존을 위해 거대 기술 기업 자본에 종속되는 길을 택하고 있다.
실제로 세계 최대 오픈소스 플랫폼인 깃허브와 자바스크립트 패키지 저장소 NPM 역시 마이크로소프트에 매각될 당시 심각한 적자난에 허덕이고 있었다. 수억명이 유발하는 천문학적인 트래픽과 서버 비용을 감당해야 했지만 정작 수익 창출 기본인 배너 광고조차 도입할 수 없었다.
수익화에 대한 반감은 메인테이너에 대한 공격으로 이어지기도 한다. 스탠다드 라이브러리 개발자 페로스 아부카디제는 설치 화면에 짧은 후원 요청 텍스트를 띄웠다가 "스팸이자 멀웨어", "당장 삭제하라"는 협박성 비난에 시달려야 했다.
이러한 사례는 많은 사용자가 오픈소스를 함께 개발하는 공간이 아닌 당연한 무료 상품으로 여기고 있다는 분석이다.
메인테이너를 마치 고객 센터 직원 부리듯 하는 문화도 만연하다는 지적도 제기 된다. 코드 작성이나 후원 등 기여는 한 번도 하지 않은 채 "내 마감일이니 책임지라"거나 "왜 문서가 최신이 아니냐"고 항의하는 등 메인테이너를 무급 직원처럼 부리는 문화도 만연하다는 설명이다.
지난해 애플 실리콘용 '아사히 리눅스' 창립자 헥터 마틴 역시 이러한 과도한 요구와 번아웃을 이유로 프로젝트 중단을 선언했다.
오픈소스 운동가 나디아 에그발은 이를 두고 관심의 경제가 낳은 비극이라고 꼬집었다. 그는 "깃허브의 좋아요 표시인 '스타(Star)' 수는 개발자 명예를 높여줄지는 몰라도 당장 서버비를 내거나 식료품을 사는 데는 아무런 도움이 되지 않는다"며 사람들은 환호에는 관대하지만 지갑을 여는 데는 인색하다"고 평했다.
"많이 쓰면 돈 내라"…기업, 사용량 비례 '과금 체계' 도입해야
수년간 지속된 오픈소스 생태계 위기가 한계점에 다다랐다. 전문가들은 기업과 사용자가 오픈소스 지원을 여전히 '자선 활동(CSR)'이나 '커피 한 잔 값 후원' 정도로 여기는 안일한 인식이 생태계 붕괴를 가속화하고 있다고 지적한다.
이제는 오픈소스를 단순한 '공짜 자원'이 아닌 기업 생존을 위한 필수 투자로 받아들여야 한다는 목소리가 높다.
제임스 보텀리 IBM 리서치 엔지니어는 "단순히 재단에 기부금을 내는 것만으로는 부족하다"며 기업들이 오픈소스를 바라보는 프레임을 외부 연구개발(R&D) 부서로 전환해야 한다고 역설했다.
그가 제시한 해법은 업스트림 기여다. 이는 기업 소속 엔지니어를 프로젝트에 파견해 직접 코드를 수정하고 유지보수하게 하는 방식이다.
보텀리는 "핵심 메인테이너가 번아웃으로 떠나면 해당 오픈소스를 사용하는 기업 서비스도 마비된다"며 "인력을 투입해 직접 프로젝트에 참여하는 것은 비즈니스 연속성을 지키기 위한 가장 확실한 투자이자 저렴한 보험"이라고 강조했다.
자발적 참여를 넘어 법적 규제가 기업 지갑을 열게 할 것이란 전망도 나온다. 캐서린 몬로 전략 컨설턴트는 유럽연합(EU) 사이버 복원력 법(CRA)을 예로 들며, 오픈소스 보안 관리가 기업 법적 의무가 되고 있다고 분석했다.
그는 "과거 오픈소스 지원이 '착한 기업'의 이미지용이었다면 이제는 규제 위반에 따른 천문학적 벌금을 피하기 위한 필수 조건이 될 것"이라며 "오픈소스 투자는 자선이 아닌 생존 비용"이라고 정의했다.
이러한 위기감 속에 오픈소스 보안 재단(OpenSSF), 이클립스, 러스트, 파이썬 재단 등 주요 운영 주체들은 최근 "오픈 인프라는 무료가 아니다"라는 공동 성명을 발표했다.
관련기사
- 네이버클라우드, 오픈소스 기반 클라우드 DB 출시…공공시장 공략2026.01.03
- Odoo "중소기업 AI 전환, '데이터 전산화' 선행돼야"2025.12.11
- 쿠버네티스 '인그레스 엔진' 지원 중단, 오픈소스 구조적 한계 지적2025.12.09
- "오픈소스가 생명도 살려"…깃허브, 사회 문제 해결 속도 높였다2025.10.30
이들은 "현재 인프라는 사용량과 책임이 전혀 연결되지 않은 기형적 구조"라며 최금 급증하는 인공지능(AI)를 비롯해 대규모 지속적 통합(CI)이나 보안 스캐너 등으로 막대한 트래픽을 유발하는 고용량 사용자'를 문제 주범으로 지목했다.
재단 측은 "상업적 규모의 사용에는 그에 맞는 지원이 따라야 한다"며 향후 기여 없는 고용량 사용자에 대해서는 ▲접근 제한 ▲가격 정책 도입 ▲서비스 수준(SLA) 조정 등의 물리적 제재가 가해질 수 있음을 강력히 시사했다.
