정보마당
[2월 월간브리핑]유럽연합의 오픈소스 활동 현황
support
게시글 작성 시각 2021-02-24 13:21:37
유럽연합의 오픈소스 활동 현황 외
- Open UP -
- EU 정책 관련자들도 주목하는 ‘오픈소스 프로그램 사무소(Open Source Program Office, OSPO)’
- OSPO는 구글, 우버, 버라이어즌 같은 오픈소스 친화적인 IT 기업 뿐 아니라 공공 부문과 학계에서도 관심과 확산 중
- * OSPO는 기업이나 단체에서 오픈소스 잘 활용할 수 있도록 지원해주는 일종의 부서나 팀을 뜻하며 조직내의 체계적인 오픈소스 문화 정착에 도움
- IT 환경이 클라우드 환경으로 빠르게 변화하면서, 오픈소스 소프트웨어 개발기업과 대형 퍼블릭 클라우드 업체 간 갈등 심화
- AWS가 엘라스틱서치 코드를 기반으로 매니지드 서비스를 제공하면서 갈등, 결국 엘라스틱 라이선스 정책 변경
□ EU 오픈소스 정책 서밋 온라인 개최, 유럽의 오픈소스 정책 조망 기회
- 유럽의 오픈소스 정책을 연구하는 ‘오픈포럼 유럽(OpenForum Europe, OFE)’, EU 오픈소스 정책 서밋 온라인 개최
- 지난 2월 5일, 오픈포럼 유럽이 리눅스 재단과 함께 ‘EU 오픈소스 정책 서밋’ 개최
- 현 유럽연합(EU) 집행위원 중 한 명인 티에리 브르통(Thierry Breton)은 기조연설을 통해 달라진 오픈소스의 위상과 오픈소스에 대한 정부기관의 영향력을 언급
- 오픈소스 관련 정책 연구를 통한 실질적인 효과를 만들어야 한다고 강조
- 최근에 유럽에서는 다양한 오픈소스 정책과 정부 주도 오픈소스 기술 도입 중
- 지난해 10월, EU 집행위원회에서 주도한 ‘EU 오픈소스 소프트웨어 전략 2020-2023’ 정책 승인
- * ‘EU 오픈소스 소프트웨어 전략 2020-2023’에서는 오픈소스 관련 6가지 원칙 및 구체적인 행동지침 명시
- 독일은 지난해 12월 '개방형'이라는 가치에 중점을 둔 ‘베를린 선언’을 진행했으며 오픈소스 소프트웨어에 관한 내용 포함
- 지난해 10월, EU 집행위원회에서 주도한 ‘EU 오픈소스 소프트웨어 전략 2020-2023’ 정책 승인
- 오픈포럼 유럽이 발표한 자료 중 정책 관련자들을 위한 오픈소스 가이드라인에서 가장 핵심이 되는 부분은 ‘오픈소스 프로그램 사무소(Open Source Program Office, OSPO)’
- * OSPO는 기업이나 단체에서 오픈소스 기술이 퍼질 수 있도록 도와주는 일종의 부서나 팀을 뜻하며 조직내에 있을 경우 체계적인 오픈소스 문화 정착에 도움
- OSPO는 구글, 우버, 버라이어즌 같은 몇몇 오픈소스 친화적인 IT 기업에서뿐 아니라 공공 부문과 학계에도 확산 중
- 지난해 EU 집행위원회가 직접 OSPO를 설립하였으며 이를 통해 각 당국은 오픈소스 전략 실행 점검 및 오픈소스 공유 문화 정착 가능
-
-
[EU 오픈소스 소프트웨어 전략 2020-2023]
(출처 : https://ec.europa.eu/info/sites/info/files/en_ec_open_source_strategy_2020-2023.pdf)
-
- 미국 존스 홉킨스 대학은 학계에서 처음으로 OSPO를 설립, 부서 간 새로운 협업을 추구하고, 학생들에게 오픈소스 기술을 가르치는 기회가 증가
- * 연구원 상당수가 특허, 지적재산권, 상용 제품을 넘어 사회적으로 좋은 영향을 주는 연구물을 만들고 싶어하므로 연구 결과물을 오픈소스 형태로 만들 수 있음
- 프라운호퍼 ISI 연구소와 오픈포럼 유럽이 진행한 오픈소스 영향 연구의 결과 발표에서는 EU의 OSS 기여수준 및 성장모델에 따른 경제적 효과 등 공개
- 공개한 연구 결과자료에 따르면 2018년 유럽 내 오픈소스 기여자는 26만명, 커밋 횟수는 약 3천 만회로 오픈소스 기여자 수가 10% 증가할 경우 유럽 GDP는 연간 0.6%(950억유로) 증가
- 유럽에서 발생하는 깃허브 활동 75%가 직원이 100명 미만인 중소기업으로 오픈소스 기여가 10% 늘어나면 스타트업 1천 개를 육성하는 효과
- 또한, 왜 오픈소스를 개발하는지에 대해 조사한 결과 1)기술 문제를 해결하기 위해, 2)특정 기업의 종속을 피하기 위해, 3)최신기술을 사용하기 위해, 4)지식을 탐구하기 위해 오픈소스 개발에 참여했다고 응답
- 개방형 혁신의 미래에 대한 논의의 핵심은 ‘협업 문화’
- 마이크 밀린코비치(Mike Milinkovich) 이클립스 재단 이사 및 미르코 보엠(Mirko Boehm) 다임러 오픈소스 엠배서더 등 협업문화 강조
□ 아마존웹서비스(AWS) vs 엘라스틱, 오픈소스 비즈니스 모델 간 갈등
- 인기 오픈소스 검색엔진 '엘라스틱서치'의 개발사인 엘라스틱과 대형 글로벌 퍼블릭 클라우드 업체 아마존웹서비스(AWS) 간 갈등 고조
-
- AWS가 엘라스틱서치 오픈소스 프로젝트를 기반으로 자체 매니지드 서비스를 제공하자 엘라스틱은 AWS의 이런 행위가 올바르지 않다며 제동을 걸었지만 해결되지 않자 최근 라이선스를 변경
- * 오픈소스 소프트웨어 개발사와 클라우드 서비스 업체 간 갈등은 이번이 처음은 아니며, 오픈소스 NO SQL DB인 몽고DB와 레디스DB 개발을 주도하는 레디스랩스 등에서 클라우드 서비스 업체가 오픈소스 기반의 매니지드 서비스를 제공할 수 없도록 라이선스에 새 조항을 적용
- 엘라스틱은 아마존 오픈디스트로를 엘라스틱서치 포크라고 발표하면서 커뮤니티를 더욱 분열시키고 추가적인 혼란을 야기했다고 비판
- * 지난 2019년 AWS은 엘라스틱서치용 오픈디스트로를 출시하며 네트워크 암호화 및 액세스 제어 지원 등의 기능을 넣어 오픈소스로 배포한 바 있음
- 이에 더이상 엘라스틱서치에 아파치2.0 라이선스를 적용하지 않을 것이며 '엘라스틱 라이선스'와 '서버사이드 퍼블릭 라이선스(SSPL)' 듀얼 라이선스 정책으로 변경한다고 발표
- * SSPL라이선스 : 지난 2018년 몽고DB는 오픈소스 프로젝트를 주도하는 업체가 대형 클라우드 업체의 공격을 피하는 동시에 기업 고객을 상대로 수익을 창출하기 위한 활로를 모색하기 위해 고안
- * 이 라이선스는 AGPL3 라이선스를 기반으로 하며, 프로그램이 서비스로 제공될 경우, 그 프로그램과 연동돼 실행되는 모든 소프트웨어도 공개돼야 한다는 조항을 포함
- * 엘라스틱은 기본 배포판을 무료로 사용하는 대다수 사용자커뮤니티 및 클라우드 고객, 자체 관리형 소프트웨어 고객에게는 아무런 영향을 미치지 않는다고 밝힘
- 이에 AWS는 엘라스틱을 향해 오픈소스를 유지한다는 약속을 어겼다고 비판하면서 아파치2.0 라이선스가 적용된 최신 버전인 엘라스틱서치를 포크(Fork)하겠다고 선언, 이제부터 포크 버전을 기반으로 오픈소스 생태계를 키워나가겠다고 맞대응
- * 포크 : 코드를 복사해 다른 버전의 배포판을 만드는 행위
- * AWS는 이미 엘라스틱 서치와 엘라스틱 서치의 기반이 되는 핵심 검색 라이브러리인 아파치 루씬 모두에 업스트림 코드 기여를 수행했다고 반박
- AWS가 엘라스틱서치 오픈소스 프로젝트를 기반으로 자체 매니지드 서비스를 제공하자 엘라스틱은 AWS의 이런 행위가 올바르지 않다며 제동을 걸었지만 해결되지 않자 최근 라이선스를 변경
- OSI(Open Source Initiative)는 지난 1월 성명서를 통해 ‘SSPL은 오픈소스 라이선스가 아니’라고 단호하게 선언
-
- 오픈소스 라이선스는 소프트웨어의 공동 개발을 촉진하고 발전시키는 오픈소스 소프트웨어 에코시스템을 위한 기반임
- 새 라이선스는 사용자가 소스코드를 볼 수 있도록 허용하지만, 모든 분야에서 사용할 수 있는 권한과 같은 ‘오픈소스 정의’에 포함되는 매우 중요한 권한은 허용하지 않음
- 모든 기업이 자신의 비즈니스 요구와 방향에 따라 적합한 라이선스를 채택하고 변경할 수 있으나 기업이 ‘오픈소스 정의’를 충족하지 않는 라이선스로 소프트웨어가 오픈소스의 모든 혜택을 가지고 있다고 주장하는 것은 기만이라고 밝힘
- 엘라스틱과 AWS 사이 갈등, IT 업계에서도 의견 분분
-
- AWS가 아파치2.0 라이선스가 적용된 엘라스틱서치 소스코드를 이용해 SaaS 서비스를 만든 것 자체를 문제 삼기는 어려움
- * 아파치2.0 라이선스는 누구나 자유롭게 소프트웨어를 개인적 또는 상업적인 목적으로 사용할 수 있게 허용하고 있으며 재배포 시 수정한 소스코드를 포함시킬 의무도 없음
- AWS의 라이선스 위반은 아니지만, 오픈소스를 기반으로 성장해 온 클라우드가 엘라스틱과 협의하여 수익을 공유할 방안을 찾지 않고 자기 이익만 챙기려고 한 점에서 건전한 오픈소스 생태계 조성에 반하는 행동이라고 비난받고 있음
- 오픈소스 라이선스를 없앤 엘라스틱에 대해서는 법적으로 라이선스 변경 권리를 가지고 있으나 결과적으로 오픈소스 소프트웨어 사용에 대한 기업들의 퍼드(FUD:공포·불확실성·의심)를 심화시켰다는 비판을 받음
- 엘라스틱 서치와 키바나 프로젝트에 참여하는 컨트리뷰터(기여자)들은 자신들의 작업 결과물을 커뮤니티에 있는 누구나 자유롭게 이용할 수 있을 것으로 기대하고 있는데, 엘라스틱이 라이선스를 바꾸면서 이들이 크게 실망할 것이라는 우려도 존재
- AWS가 아파치2.0 라이선스가 적용된 엘라스틱서치 소스코드를 이용해 SaaS 서비스를 만든 것 자체를 문제 삼기는 어려움
□ 주목할 만한 월간 이슈(2월)
- (DBMS) 오픈소스 DBMS의 이용률이 증가하면서 오라클 인기 하락
- 매월 DB관련 정보를 수집해 순위를 발표하고 있는 시장조사업체 DB엔진에서 발표한 세계 DBMS 순위를 보면 증가폭이 가장 큰 DBMS는 PostgreSQL로 전년 동기보다 44.02점 증가한 550.96점을 기록
- 이어 애저 SQL 서버, MongoDB, 아마존 DynamoDB, MariaDB, Redis 순으로 작년 동기에 비해 인기도 상승
- * 리미니스트리트의 ‘오라클 라이선스 사용자 설문조사’에서 오라클 데이터베이스의 ‘비용’을 가장 큰 문제점(97%)으로 꼽았으며, 응답자 중 비용 절감 및 신속 개발 등의 이점으로 오픈소스 DBMS를 고려하거나 전환중에 있다고 응답(35%)
- * 오픈소스 DBMS를 검토 중이라고 답한 응답자들은 PostgreSQL, MySQL, MongoDB를 선호하는 것으로 나타남
- 반면 전년 동기에 비해 가장 감소폭이 큰 DBMS는 MS SQL이며, 이어 오라클, MySQL, MS Access, Hive, IBM Db2 순으로 집계
- 오픈소스 DBMS의 이용률이 증가하면서 오라클의 점수가 조금씩 하락하고 있지만 여전히 1위 유지
- (보안) KISA, 리눅스 Sudo 보안 취약점 최신버전 업데이트 권고
- 한국인터넷진흥원(KISA)은 미국 국립표준기술연구소의 국가 취약점 데이터베이스(National Vulnerability Database, NVD) 자료를 인용, Sudo 명령어의 취약점(CVE-2021-3156)관련 보안 공지
- * sudo 명령어 : 사용자가 다른 사용자의 권한으로 어플리케이션이나 명령을 실행할 수 있도록 하는 시스템 명령어
- 이 취약점은 Sudo 명령어에서 힙 버퍼 오버플로우로 인해 발생하는 권한상승 취약점으로, 영향을 받는 버전의 리눅스 OS(Ubuntu, RedHat, Debian, Fedora, Gentoo 등) 이용자는 최신 버전으로 업데이트할 것을 권고
- * 영향을 받는 Sudo 버전 : 1.8.2∼1.8.31p2 및 1.9.0∼1.9.5p1
- 취약점이 해결된 버전 : 1.9.5p2
- * KISA 보안 공지 :
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35892
- 한국인터넷진흥원(KISA)은 미국 국립표준기술연구소의 국가 취약점 데이터베이스(National Vulnerability Database, NVD) 자료를 인용, Sudo 명령어의 취약점(CVE-2021-3156)관련 보안 공지
- (보안) 구글, 오픈소스 소프트웨어의 보안 취약점 문제 해결을 위한 프레임워크 제안
- 구글은 최근 시큐리티 블로그를 통해 '오픈소스 취약점 논의를 전환하기 위한 프레임워크: 파악, 예방, 수정‘ 발표
- 오픈소스 소프트웨어는 모든 코드와 종속 항목들이 공개돼 있어 보안을 더 강화해야 하며, 보안 수준을 한 단계 높이기 위해 오픈소스의 취약점 추적을 위한 기준이 필요하다고 설명
- 특히 공급망 공격을 포함해 악의적인 행동으로부터 주요 오픈소스 프로젝트를 보호하기 위한 오픈소스 개발 프로세스 개선 필요 제시
- * 공급망 공격 : 해커가 소프트웨어 개발사 네트워크에 침투해 악의적인 소스코드를 추가하거나 파일을 변경하는 등의 공격
- 이에 ‘소프트웨어 속 취약점 파악’, ‘새롭게 추가되는 취약점 예방’, ‘취약점 수정 또는 제거’ 등 3가지 영역으로 나누어 오픈소스의 취약점 문제 해결 방안을 제안
- 핵심 내용은 소프트웨어 소유자와 관리자의 신원을 인증하기 위해 중요 오픈소스 프로젝트의 경우 익명으로 오너나 관리자가 될 수 없고
- 프로젝트 오너나 관리자라고 해도 일방적인 코드 변경을 금지하고, 코드 작성자 외에 별도의 두 독립적인 집단의 코드 리뷰와 승인을 받아야 한다는 것
- (프로그래밍 언어) 프로그래밍 언어 ‘러스트’, 모질라에서 독립해 러스트 재단 출범
- 지난 8일 프로그래밍 언어 러스트는 러스트 및 관리서비스 개발에 필요한 재정기반을 마련하고, 파트너 기업의 투자를 장려하기 위해 모질라에서 독립하여 ‘러스트 재단’을 공식 출범
- 오픈소스 소프트웨어는 모든 코드와 종속 항목들이 공개돼 있어 보안을 더 강화해야 하며, 보안 수준을 한 단계 높이기 위해 오픈소스의 취약점 추적을 위한 기준이 필요하다고 설명
- 러스트 재단은 러스트 개발 및 배포, 운영 정책 등을 담당하며, 그동안 러스트 개발을 주도해온 모질라로부터 패키지 레지스트리를 포함한 모든 상표 및 인프라 자산 이전 완료
- 러스트 재단 회원사로 참여한 아마존웹서비스(AWS), 마이크로소프트, 구글, 화웨이 및 모질라 등 5개 기업은 2년간 100만 달러를 투자
□ 시사점
- 전 세계적으로 ICT 회사는 오픈소스를 다루는 모범 사례로 OSPO를 널리 채택하고 있으며 국내에서도 오픈소스 생태계의 기본 조직 구성 요소로 중요해질 전망
- 오픈소스 소프트웨어 개발기업과 대형 퍼블릭 클라우드 업체 간 문제는 IT환경이 클라우드환경으로 빠르게 변화하면서 이익 갈등 심화 조짐 우려
※ 참고 Reference
- 유럽의 디지털 핵심 정책은 오픈소스, Open UP, 21.02.23.
https://www.oss.kr/oss_guide/show/53f6eaef-38dc-4eea-a462-9128ece67ba2 - The SSPL is Not an Open Source License, Open Source Initiative, 21.01.19.
https://opensource.org/node/1099 - Elastic changes open-source license to monetize cloud-service use, ZDNet, 21.01.20.
https://www.zdnet.com/article/elastic-changes-open-source-license-to-monetize-cloud-service-use/ - [테크인사이드] 클라우드는 오픈소스SW 생태계를 파괴하는가, 디지털투데이, 21.01.25.
http://www.digitaltoday.co.kr/news/articleView.html?idxno=261418 - "오픈소스 생태계 망치지마"...AWS·엘라스틱 '네 탓 공방', 지디넷코리아, 21.01.27.
https://zdnet.co.kr/view/?no=20210127164725 - 갈등 고조된 AWS vs 엘라스틱, 오픈소스의 미래는? [IT클로즈업], 디지털데일리, 21.02.01.
http://www.ddaily.co.kr/news/article/?no=208784 - 리미니스트리트, ‘오라클 라이선스 사용자 설문조사’ 결과 발표, ITWORLD, 2021.01.30.
https://www.itworld.co.kr/news/181139 - "리눅스 Sudo 취약점 주의…보안 패치해야", 정보통신신문, 2021.02.02.
http://www.koit.co.kr/news/articleView.html?idxno=80709 - 오라클 인기 낮아졌지만 ’쏠림’ 현상 여전, 테크월드, 2021.02.09.
http://www.epnc.co.kr/news/articleView.html?idxno=200814 - 프로그래밍 언어 ‘러스트’ 재단 출범, 지디넷코리아, 2021.02.09.
https://zdnet.co.kr/view/?no=20210209110953 - 구글 "주요 오픈소스 개발, 익명으로 못하게 하자", 지디넷코리아, 2021.02.14.
https://zdnet.co.kr/view/?no=20210212165839 - "파악하고, 예방하고, 수정하자" 구글, 오픈소스 취약점 해결 위한 프레임워크 제안, CIO Korea, 2021.02.16.
https://www.ciokorea.com/news/182959 - 공개SW 포털(oss.kr) ‘공개SW 행사안내’ 참조
Open UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2021
| 번호 | 제목 | 작성자 | 조회수 | 작성 |
|---|---|---|---|---|
| 공지 | [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file | support | 12550 | 2024-01-03 |
| 공지 | [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file | support | 10067 | 2024-01-03 |
| 공지 | [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file | support | 9959 | 2024-01-03 |
| 공지 | 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file | support | 22458 | 2022-07-28 |
| 공지 | 공개소프트웨어 연구개발 수행 가이드라인 file | OSS | 20805 | 2018-04-26 |
| 388 | 자동차의 미래와 오픈소스 | support | 4246 | 2021-05-21 |
| 387 | 오픈소스로 지구를 깨끗하게 만든다. | support | 4675 | 2021-05-21 |
| 386 | [기고] 3자 공급 코드의 위협 | support | 3095 | 2021-04-26 |
| 385 | [4월 월간브리핑]구글, 10년 끌어온 ‘자바 전쟁’ 최종 승소로 오픈소스 활용 확대 기대 | support | 2799 | 2021-04-23 |
| 384 | [기고] 오픈소스 보안 관리의 중요성 | support | 4379 | 2021-04-23 |
| 383 | [3월 월간브리핑]오픈소스 개발자 주류로 자리 잡다 | support | 2471 | 2021-03-29 |
| 382 | 오픈소스 개발자 전성시대 file | support | 5120 | 2021-03-25 |
| 381 | 4차 산업혁명으로 재편되는 오픈소스 업계 | support | 3012 | 2021-03-25 |
| 380 | [2월 월간브리핑]유럽연합의 오픈소스 활동 현황 | support | 2135 | 2021-02-24 |
| 379 | 유럽의 디지털 핵심 정책은 ‘오픈소스’ | support | 2869 | 2021-02-23 |
0개 댓글