오픈소스는 진짜 인프라인가 — 도로와 다리에서 배우는 지속가능성
2016년 Nadia Eghbal이 Ford 재단을 위해 작성한 "Roads and Bridges" 보고서는 오픈소스를 공공 인프라에 빗대는 프레임을 대중화했다. 그로부터 10년이 지난 지금, 이 비유는 마침내 실제 공공 인프라를 다루는 정부 관계자들의 귀에도 닿았다. UN 오픈소스 주간에서 수십 개국 정부 관계자들이 "오픈소스는 핵심 인프라"라고 한목소리로 말하는 장면은, 이 프레임이 얼마나 멀리 왔는지를 보여준다. 하지만 이 자리에서 한 가지 질문이 자연스럽게 따라온다. 우리는 정말로 다리를 유지하는 방식으로 오픈소스를 다루고 있는가?
현재의 후원 모델은 "고속도로 입양 프로그램" 수준이다
"Roads and Bridges"가 2016년에 호소한 대상은 기술 기업과 자선 재단이었다. 그 결과 지난 10년간 GitHub Sponsors, Open Collective, 기업 OSPO 예산, 재단 보조금 같은 자발적 기여 모델이 등장했다. 이는 분명 의미 있는 진전이다. 그러나 토목공학의 관점에서 보면, 이것은 사실상 "Adopt-a-Highway" 프로그램에 해당한다. 미국의 실제 도로 제도 중 하나인 Adopt-a-Highway는 지역 기업이 특정 구간의 쓰레기를 줍고 표지판에 이름을 올리는 방식이다. 실용적이고 선한 의도의 제도이지만, 어떤 주(州)도 이 프로그램 하나에 다리의 안전을 맡기지는 않는다.
오픈소스 생태계에서 핵심 라이브러리 메인테이너가 번아웃으로 프로젝트를 포기하거나, 보안 취약점이 수년간 방치되는 사례는 반복되어 왔다. 자발적 후원 구조가 이 문제를 완전히 해결하지 못한다는 것은 이미 실증됐다.
미국 교량 검사 기준이 보여주는 "진짜 인프라 관리"
미국에서는 1967년 Silver Bridge 붕괴로 46명이 사망한 이후, 1971년부터 연방 차원의 국가 교량 검사 기준(National Bridge Inspection Standards, NBIS)이 시행되고 있다. 23 CFR 650 Subpart C에 명문화된 이 기준은 단순한 권고가 아니라 법적 의무다.
핵심은 다음과 같다:
- 의무적 정기 점검: 20피트 이상 경간의 모든 공공 교량은 주기적으로 검사를 받아야 한다
- 등록 및 기록 관리: 모든 교량의 상태가 국가 데이터베이스에 등록·추적된다
- 재정 메커니즘: Highway Trust Fund를 통해 유지보수 비용이 제도적으로 조달된다
이것이 "자발적 기여"와 근본적으로 다른 점은, 의무성과 체계적 재정 조달이 결합되어 있다는 것이다. 누군가 기분이 좋을 때 기부하는 구조가 아니라, 사용자가 지속적으로 비용을 내고 전문 기관이 유지보수를 책임지는 구조다.
오픈소스에 이 프레임을 적용한다면, 단순한 기업 후원이나 재단 보조금을 넘어서 의무적 기여 메커니즘과 체계적 감사 체계가 필요하다는 결론에 이른다. EU의 사이버복원력법(Cyber Resilience Act)처럼 소프트웨어 공급망 보안을 규제 영역으로 끌어들이는 시도들은 바로 이 방향의 실험이라 볼 수 있다.
정리
- 오픈소스 후원 생태계(Sponsors, OSPO 등)는 "Adopt-a-Highway" 수준이며, 핵심 인프라 유지에는 구조적으로 불충분하다
- 진짜 인프라 관리는 자발적 기여가 아닌 의무적 점검·재정 조달 체계를 전제로 한다
- 정부와 규제 기관이 오픈소스를 인프라로 진지하게 다루기 시작한 지금, 백엔드 개발자도 소프트웨어 공급망 의존성과 그 지속가능성을 실무 리스크로 인식해야 한다