# curl 행복의 여름
> Clean Markdown view of GeekNews topic #30517. Use the original source for factual precision when an external source URL is present.
## Metadata
- GeekNews HTML: [https://news.hada.io/topic?id=30517](https://news.hada.io/topic?id=30517)
- GeekNews Markdown: [https://news.hada.io/topic/30517.md](https://news.hada.io/topic/30517.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-06-16T09:04:45+09:00
- Updated: 2026-06-16T09:04:45+09:00
- Original source: [daniel.haxx.se](https://daniel.haxx.se/blog/2026/06/15/curl-summer-of-bliss/)
- Points: 1
- Comments: 2
## Topic Body
- 오픈소스 curl 프로젝트는 2026년 7월 한 달 동안 **취약점 보고** 접수와 처리를 중단해 유지관리자 휴식 시간을 확보함
- HackerOne 제출 양식은 2026년 7월 1일 00:00 CEST부터 중지되고, 2026년 8월 3일 09:00 CEST에 다시 열림
- 보안 이메일 주소로 보낸 보안·취약점 보고도 처리되지 않으며, curl은 일반적으로 이메일을 통한 **취약점 보고**를 받지 않음
- 이 조치로 8.22.0 릴리스 일정이 2주 밀려 **2026년 9월 2일**로 조정됨
- 유료 지원 계약자는 이 기간에도 전체 서비스를 받으며, GitHub의 이슈와 풀 리퀘스트 추적기는 평소처럼 열려 있음
---
### 핵심 일정과 적용 범위
- **curl 행복의 여름** 기간에는 curl 프로젝트가 2026년 7월 한 달 동안 어떤 취약점 보고도 받거나 처리하지 않음
- 시작 시각은 2026년 7월 1일 00:00 CEST임
- 제출 재개 시각은 2026년 8월 3일 09:00 CEST임
- [HackerOne 제출 양식](https://hackerone.com/curl)은 2026년 7월 1일부터 중지되며, 8월 3일 월요일에 다시 제출 가능해짐
- 보안 이메일 주소도 이 기간에는 **보안·취약점 보고** 처리 경로가 되지 못함
- 이 기간에 curl 프로젝트에 보고해야 한다고 느끼는 문제도 기다려야 함
- curl은 일반적으로 이메일 취약점 보고를 받지 않으며, 이 사실은 휴가 기간 중에도 이후에도 유지됨
### 운영 영향과 예외
- ## 진짜 휴가
- curl 유지관리자들은 압박이 줄어든 시간을 이용해 여름을 즐기고, 더 많이 바깥을 걷고, 숨을 돌릴 계획임
- 일부 유지관리자는 이 기간에 다른 장소를 볼 수도 있음
- 버그 수정이나 새 코드 작업에 쓸 시간이 추가로 생길 수도 있으며, 이는 재미있는 작업으로 간주됨
- ## 부작용
- 8월 초에 쌓였을 수 있는 이슈를 처리할 시간을 확보하기 위해 **8.22.0 릴리스** 날짜가 2주 뒤로 밀림
- 8.22.0은 현재 2026년 9월 2일 릴리스 예정임
- ## 취약점 보고 증가
- curl 프로젝트는 지난 약 4개월 동안 큰 **압박**을 받아 왔음
- 현재 휴식이 필요하며, 이러한 대량 유입이 끝날 것으로 기대하지 않음
- ## GitHub
- curl의 [이슈](https://github.com/curl/curl/issues)와 [풀 리퀘스트](https://github.com/curl/curl/pulls) 추적기는 GitHub에서 평소처럼 열리고 활성 상태로 유지됨
- ## 다른 오픈소스 프로젝트
- 다른 오픈소스 프로젝트도 2026년 행복의 여름에 참여하려면 그냥 실행하고 curl 쪽에 알리면 됨
- 자기 자신을 최우선으로 돌보는 일이 권장됨
- ## 나쁜 사람들은 쉬지 않음
- 나쁜 사람들은 쉬지 않을 수 있지만, curl 유지관리자들은 쉼
- ## 긴급 상황
- 긴급 상황이 있어도 curl 유지관리자들은 8월에 읽게 됨
- 더 일찍 읽히려면 [지원 계약](https://curl.se/support.html)이 필요함
- ## 계약 예외
- 유료 지원 계약이 있는 모든 사람은 이 기간에도 전체적이고 적절한 서비스를 받음
## Comments
### Comment 59718
- Author: neo
- Created: 2026-06-16T09:34:12+09:00
- Points: 1
###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48537165)
- 제목이 핵심을 묻어버렸음. 이건 **여름휴가**도 얻고, 계속 지원을 받을 수 있는 **기업용 지원 계약**도 장려하는 방식임
오픈소스/지원/여름휴가를 이렇게 엮은 비즈니스 모델은 처음 듣는 것 같은데 마음에 듦
- 이 아이디어가 좋았고, 오픈소스도 **6개월 공개 지원 + 6개월 기업 지원** 같은 일정을 도입해볼 만함
오픈소스는 더 많은 자금을 얻고, 기업은 특정 오픈소스 때문에 정규직을 뽑는 것보다 저렴하게 지원을 받을 수 있음
- curl의 존재하지 않는 **기업 지원 계약**은 멍청한 서류 담당자들에게 정중하게 꺼지라고 말하는 방식인 줄 알았음: [https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...]()
- 이건 극도로 비유럽적인 접근임. 유럽 회사들은 보통 **5월부터 8월까지** 유료 고객도 무시함
- “나쁜 놈들은 쉬지 않겠지만, 우리는 쉰다”는 말이, 비인간적인 시대에 반가운 **인간미**를 줌
- 정말 수정이 필요하다면 해결책이 있는 것 같아서 더 좋음
“지원 계약을 맺으면 우리가 더 일찍 읽는다”는 식임
- 나쁜 쪽이 그 한 달 동안 찾은 취약점을 자유롭게 악용하려고 **제로데이** 찾기에 집중하게 되지 않을까 걱정됨. 그래도 그들에게 휴식이 필요하다는 건 의심하지 않음
- 휴가 때 완전히 일에서 떨어지고 싶은 사람들은, 아예 **일할 수 없게** 만드는 게 좋음
업무 기기는 두고 가고, 모든 계정에서 로그아웃하고, 2단계 인증 키는 종이에 백업한 뒤 없애고, 휴가 중에는 파트너가 돌려주지 않게 하는 식임. 실제로 원격 근무가 허용되지 않는 나라로 간 적도 있음. 미친 것 같지만 그만큼 심각했음. 전직 워커홀릭이 씀
- 북미를 떠나 유럽으로 간 이유 중 하나가 이런 게 **정상화**되어 있다는 점임. 문화 차이가 엄청남
독일에서는 휴가 중이면 그냥 연락 불가임. 돌아오기 전까지 세상에 없는 사람 취급이고, 이메일도 안 읽고 기기도 사무실에 둠. 또 휴가 중 아프면 휴가일을 돌려받는데, 휴가일은 쉬고 회복하라고 있는 것이기 때문임
- 내 관점은 조금 다름. 휴가 중 가끔 이메일에 답하는 건 괜찮고, 대신 회사도 근무 시간 중 가끔 개인 일을 처리하는 걸 괜찮게 봐야 공정한 거래라고 봄
회사가 출퇴근 시간을 엄격히 따지거나 30분짜리 개인 용무마다 유급휴가를 쓰라고 하거나, 일이 주 40시간을 반복적으로 넘는 방향으로 흐르면 나도 “근무 외” 업무를 멈출 것임. 하지만 회사가 합리적이면 나도 합리적으로 대할 수 있음
- 은행에서 일할 때 좋았던 것 중 하나가 **잠금 휴가**였음. 감사 담당자들은 직원이 계속 개입할 수 있는 능력을 신경 썼고, 일정 권한 이상을 가진 직원은 로그인 권한이 비활성화된 채 N일 연속 휴가를 반드시 가야 했음
숨은 **버스 팩터**를 찾아내는 데 훌륭한 도구였음
- 이건 너무 많은 추가 작업처럼 보임. 가능하면 업무용은 업무 노트북/컴퓨터에만 두고, 그걸 집이나 사무실에 두면 됨
20개 계정에서 로그인/로그아웃할 필요가 없음
- 회사가 우연히 이걸 강제하게 됐는데, 아주 좋음
예전에는 개인 노트북이나 데스크톱에서 VPN+RDC로 사무실 데스크톱에 접속해 원격으로 일할 수 있었음. 이제는 노트북을 받았는데 원격 인증이 안 되고, 회사도 다른 우선순위 때문에 고칠 생각이 없음. 그래서 그 노트북을 들고 있지 않으면 아예 일을 못 하고, 이미 개인 기기를 들고 다니는 상황에서 회사 노트북까지 들고 다니진 않음. 개인 기기도 안 들고 간다면 애초에 어떤 노트북도 가져갈 상황이 아닌 것임
워커홀릭은 아니라고 생각하지만, 도울 수 있다고 느끼면 24시간 내내 스트레스를 받는 타입임. 사무실 밖에서 아예 일할 수 없다는 사실이 실제로 도움이 됨. 말 그대로 할 수 있는 게 없고, 특히 회사가 그렇게 만든 상황이면 같은 방식으로 스트레스받지 않게 됨
[1] VPN 연결기와 오래된 휴대폰의 MFA 장치 말고는, Teams든 이메일이든 어떤 업무 관련 것도 개인 기기에 닿지 않음
[2] 공장 초기화한 작은 오래된 휴대폰에 더미 Google 계정과 MFA 앱만 설치해 둠
- **libexpat**(“Expat”)과 **uriparser**도 curl의 보안 휴가를 따르며, 오늘부터 2026-08-01 전까지 새 취약점 보고를 받지 않음
[1] [https://github.com/libexpat/libexpat/issues/1277]()
[2] [https://github.com/uriparser/uriparser/issues/323]()
- 보안에 영향이 있을 수 있다고 보는 사람들에게는, curl은 충분히 성숙해서 영향 큰 버그 가능성이 사실상 0에 가깝고, 그런 버그가 있더라도 누군가는 Daniel 일행에게 연락할 방법을 찾을 것이며, 더 중요한 건 패키지 관리자에 패치가 들어가 배포되는 것임
**상류 릴리스**는 기다릴 수 있음
- 그게 바로 핵심임. 그들은 취약점 보고를 받지 않을 예정임. **휴가**를 가는 것임
- curl 자체에 취약점이 없더라도, curl은 임의의 인터넷 데이터를 내려받는 도구이기 때문에 애초에 철저히 **샌드박스** 안에 있어야 함
임의 데이터를 셸로 내려받는 것만으로도 환경의 다른 모든 부분에서 취약점을 우연히 건드릴 수 있음
- 이 결정을 박수쳐줄 수밖에 없음. 자유 오픈소스 프로젝트 유지관리자들은 거의 보상 없이 계속 과부하 상태이고, 이제 **LLM** 때문에 병합 요청 관리 부담이 더 폭증했음
유료 사용자에게는 계속 지원을 제공한다는 사실만으로도 충분함
- 유지관리자들에게 공감은 하지만, 결국 우리가 거의 공짜로 일하는 소수 개인에게 **백업 없이** 의존하고 있다는 사실이 다시 드러남
보통 조직은 이런 일을 피하려고 휴가를 엇갈리게 잡음. 고객이 요구하기 때문에 그렇게 할 수밖에 없음. 여기서는 모두가 curl의 고객이지만, 실제로는 또 그렇지 않음. 누구에게도 좋지 않은 이상하고 건강하지 않은 회색지대라고 봄. 심지어 curl조차 한 달 동안 온콜을 둘 재정적 여력이 없다는 점이 놀랍고 슬픔
- 자유 오픈소스 소프트웨어에서 놀라운 점은, 유지관리자가 없으면 전체 권리와 전체 소스코드를 갖고 있으니 직접 고치거나 누군가에게 돈을 주고 고치게 할 수 있다는 것임
이 관계가 건강하지 않아지는 건 **보증 없음**을 비현실적인 기대와 섞어 투사할 때뿐임
- 실제로는 있음. 글 끝에서 지원 계약이 있으면 응답하고 보안 이슈도 처리한다고 했음
글의 핵심도 지원이 필요하면 **지원 계약**을 사라는 것에 가까워 보임
- 있음
“유료 지원 계약이 있는 모든 사람은 물론 이 기간에도 완전하고 적절한 서비스를 받는다”고 되어 있음
- 글에 분명히, 유료 지원 계약이 있으면 평소처럼 **온콜**이 유지된다고 나와 있음
- 이 시나리오를 걱정하면서도, 그 사람이 온콜로 대기할 비용을 직접 내지는 않을 거라고 봄
- 취약점을 계속 발견하고, 보고하고, 분석한 뒤 패치하고, 새 버전을 모든 사용자에게 배포하는 과정을 반복해야 하는 현재 시스템은 명백히 **지속 불가능**함
업계는 버그와 보안 이슈를 다루는 대안적 시스템을 찾아야 함. 지금 업계는 모른 척하면서 자기 실패를 **지대 추구** 기회로 바꾸는 쪽을 선호함
- 더 나은 해결책은 무엇임?
그리고 오픈소스에서 말한 지대 추구의 예시는 무엇임?
- 맞는 말이라고 생각하고, 해법은 **구획화에 의한 보안**임. 참고: [https://qubes-os.org]()
- 한 문장만 읽고도 개발자가 **스웨덴 사람**일 거라고 바로 알았음
- 익숙하지 않은 사람들을 위해 말하자면, 스웨덴은 여름휴가를 진지하게 여김. 연 **25~30일 휴가 + 공휴일**이 보통이고, 직원이 요청하고 쓸 수 있는 휴가가 있다면 4주 연속 여름휴가를 허용하는 게 사실상 법적으로 요구됨
참고: [https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...]()
- 노르웨이 사람으로서도 같은 생각이 들었음. 노르웨이는 기본적으로 **7월에 멈춤**
- 나도 똑같이 웃었음. 내 본업 회사도 스웨덴 사무소가 있는데, 그들의 **여름휴가**는 전설적임
미국 사무소도 있는데, 미국인들이 받는 문화 충격은 볼 때마다 새로움
- 바로 그 사람인 줄 알았음. 관심에 굶주린 정도가 그와 비슷한 사람은 거의 없음
- 유럽, 예를 들어 독일에서는 **20~30일 유급휴가**와 무제한 병가가 정상임. 병가가 3일 이상이면 의사 소견서가 필요함
휴가 중 아프면 그 휴가일을 돌려받음. 휴가 중 갑자기 일을 하게 되면, 그 시간은 휴가 시간일 수 없음. 일반적으로는 통지 기간 없이 해고될 수 없어서 고용 안정성이 높고, 실직해도 실업 지원이 있으니 비상금 약 6천 달러만 있어도 매우 안정적임. 무능한 사람이 해고되지 않는 결과가 되냐면 그렇지 않음. 여전히 해고할 수 있고, 다만 그 뒤 한 달 정도 더 상대하면 됨. 큰 대가가 아님
이게 어떻게 가능하고 누가 보조하느냐면, 모두가 소득의 몇 퍼센트를 내서 이 시스템을 지탱할 뿐임. 몇 퍼센트, 몇 달러로 굶거나 노숙할 걱정을 사실상 하지 않아도 됨
여러분도 투표하고 시위하고 민주주의를 써서 모두의 삶을 더 나쁘게가 아니라 더 좋게 만들면 이런 시스템을 가질 수 있음
### Comment 59713
- Author: neo
- Created: 2026-06-16T09:04:46+09:00
- Points: 1
###### [Lobste.rs 의견들](https://lobste.rs/s/uqagn2/curl_summer_bliss)
- “나쁜 놈들은 쉬지 않는다”지만, 그래도 우리는 쉬어야 함
휴가 잘 보내길 바라고, 충분히 자격 있음. 압박을 느끼는 다른 사람들도 **휴가를 고려**해 보면 좋겠음
- 나쁜 놈들이 **취약점 보고서**를 보내줄 것도 아니니, 대기하고 있다고 해서 이 위협에 달라질 건 없어 보임
개인적으로는 **4주 휴가**도 좀 짧다고 보지만, 내가 너무 프랑스식으로 생각하는 걸 수도 있음
- Daniel은 스웨덴의 **industrisemester** 개념을 은근히 가리키는 듯함
보통 7월에 스웨덴 생산 공장들이 직원 대부분에게 휴가를 주고, 그동안 공장을 점검·정비·수리하던 시기였음. 지금도 많은 사람이 하지 이후 한 달 사이에 연례휴가를 잡으려 하며, 법적으로 하지는 6월 20~26일 사이의 토요일임
- 완전한 휴가도 아님. **지원 계약 이슈**가 생기면 여전히 대응한다고 했으니, 실제로는 더 짧은 셈임 :-D
- 휴가를 즐기면 좋겠음 :)
다만 [Mythos가 버그를 단 하나만 찾았다고 은근히 자랑한 글](https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/) 때문에 벌집을 건드린 걸 미처 몰랐을 수도 있음
- 어쩌면 미국 정부가 최신 **Anthropic 모델** 접근을 막은 진짜 이유가 Daniel에게 휴가를 주려는 것이었을지도 모름
- 그 비유는 잘 안 맞는 듯함. Daniel은 이미 수년째 벌떼에 둘러싸여 있었고, 다들 권위 있는 **curl CVE**를 얻으려고 명성 쌓기에 몰두하고 있었음
- 이런 모습이 보기 좋음. 다른 **오픈소스 관리자**들도 자기 안녕을 우선순위에 두는 계기가 되면 좋겠음
- 마음에 듦. 다른 프로젝트들도 이런 방식을 따라 했으면 좋겠음