소프트웨어의 오류나 결함은 일상이다. 그 또한 인간의 작업물이기에 빈틈이 있을 수밖에 없다. 코드가 눈에 보이지 않는다고 완벽할 것이라는 기대는 그저 착각이다. 신이 내린 코드가 아닌 이상 허점은 존재하게 마련이고, 그로 인해 여러 피해가 발생할 수도 있다.

트리센티스가 2018년 발표한 소프트웨어 오류 보고서에 따르면 2017년 606건의 소프트웨어 결함 등으로 발생한 재무적 손실은 전 세계적으로 1조7000억달러에 달한다. 2000조원에 육박하는 금액이다. 소프트웨어의 작은 버그 1건이 무려 3조원 이상의 피해를 불러온다는 계산이 가능하다. 하지만 소프트웨어 산업에 종사하지 않는 이들은 이 거대한 경제적 손실을 체감하지 못한다.

‘Log4j 2’라는 치명적인 소프트웨어 결함이 전 세계를 강타하고 있다. 선의로 시작한 소프트웨어 개발자의 작은 기여가 소프트웨어 역사상 유례없는 피해를 불러냈다. 이 결함이 보고되자 취약점을 겨냥한 해커들의 공격이 날로 활개를 치고 있다. 전 세계 정부가 나서서 보안 업데이트를 경고하고 나섰지만, 사용 범위가 워낙 방대해 단기간에 수정될 수도 없는 상황이다.

영향을 받는 기업들의 이름도 쟁쟁하다. 애플, 아마존, 클라우드플래어, 스팀, 테슬라, 트위터, 바이두까지 우리의 일상을 지배하는 빅테크 기업들이 피해 목록에 올라와 있다. 국내 기술 대기업도 예외는 아니다. 이미 국내 금융사들이 공격의 대상이 됐다는 소식도 들린다. 자바(JAVA)라는 보편적인 프로그래밍 언어를 사용할 때 필수적으로 활용되는 로깅(이력 기록) 라이브러리이기에 충분히 예상되는 시나리오다.

Log4j 2 사태에서 우리가 주목해야 할 점은 다른 데 있다. 앞서 언급했듯 Log4j 2는 선의로 설계돼 추가된 오픈소스 소프트웨어 코드다. 오픈소스이기에 누구나 사용할 수 있고 활용할 수도 있다. 이 코드를 관리하는 아파치소프트웨어재단은 비영리 조직이자 자발적인 소프트웨어 개발자들의 커뮤니티다. 이 조직을 통해 내로라하는 핵심 소프트웨어들이 협업을 통해 개발되고 무상으로 공유된다. 아파치 웹 서버, XML 등도 이 재단의 커뮤니티를 거쳐 탄생했다. 비영리재단은 그 속성상 자발적인 기여자들과 후원으로 관리되고 지탱된다. 그러나 유수의 대기업들은 오픈소스 코드에 대한 기여는 물론이고 자금 후원조차 인색하다. 소스 코드를 가져다 쓰는 데 급급할 뿐이다. 이를 ‘오픈소스 착취’라 부른다.

Log4j 2 사태는 ‘코드 노동 착취’에 급급했던 대형 기술 기업들의 관행에 대한 경고음이다. 오픈소스 코드를 검증하고 테스트하는 데 약간의 노력을 기울였어도 지금과 같은 대형 사고로 이어지진 않았을 것이다. Log4j 2가 배포된 지 무려 8년이 지난 지금에야 취약점이 발견됐다는 사실이 이를 반증한다. 오픈소스 소프트웨어 또한 엄연한 노동의 결과물이다. 공유와 공개가 더 나은 세상을 만들 것이라는 확고한 믿음과 전제 위에서 탄생한 것들이다. 이용의 대가를 요구하진 않지만, 그렇다고 기여 없이 지속되기도 어렵다. 오픈소스 생태계의 작동 로직을 외면한 대가는 이렇게 한꺼번에 거대한 비용으로 되돌아왔다. Log4j 2는 그런 상징적 사건의 하나일 뿐이다.

<이성규 미디어스피어 대표>