GN⁺: Automattic이 오픈 소스 도둑질을 했나요?

(blog.pragmaticengineer.com)

Apple이 Spotify를 위협으로 보고 불공정한 조치를 취하는 상황을 상상하고, 스포티파이가 이에 대해 애플을 고소했다고 가정했을 때, 그 대응으로 애플이 다음과 같은 행동을 취한다면?
- 스포티파이를 개발자 생태계에서 잠그고 앱스토어에서 앱 업데이트를 불가능하게 만듦
- 스포티파이가 필요한 업데이트를 제공할 수 없으므로 "뭔가 조치가 필요하다"고 선언함
- 앱스토어에서 스포티파이 앱의 소유권을 조용히 애플로 이전함
- 무료 앱에서 유료 기능으로 업그레이드하는 방법을 제거하도록 코드를 수정함
- 앱스토어에 있던 스포티파이의 기존 사용자는 이제 애플의 사용자가 됨. 앱스토어 외부 플랫폼에서 스포티파이 앱을 사용하는 사용자만 스포티파이 사용자로 남게 됨
- 공정성에 대해 질문받으면 앱스토어 팀이 애플과는 독립적으로 행동한다고 주장함
물론 이런 일은 절대 일어나지 않을 것임. 이는 반경쟁적일 뿐만 아니라 법적으로도 의심스러움
그러나 애플을 Automattic으로, 앱스토어를 WordPress.org로, 스포티파이를 가장 인기 있는 WordPress 플러그인 중 하나로 바꾸면, Automattic의 CEO가 위와 유사한 일을 조직한 것으로 비난받고 있음
Automattic의 최대 경쟁사인 WP Engine이 만든 Advanced Custom Fields(ACF)라는 플러그인의 소유권을 가져간 것임
이 사건은 웹 오픈 소스 역사상 전례 없는 부끄러운 일임

Automattic와 WP Engine 간의 기업 분쟁 요약

Automattic은 오픈 소스 WordPress CMS의 제작사이며, WordPress는 웹 페이지의 43%, CMS의 65%를 차지하고 있음
WordPress가 인기 있는 이유는 허용적인 GPL 라이선스, 강력한 테마, 많은 커스터마이징 옵션, 강한 브랜드, 막대한 개발 투자, 그리고 20년 동안 존재해왔기 때문임
Automattic은 WordPress 뒤에 있는 VC 자금 지원을 받는 회사이자 프로젝트의 가장 큰 기여자이며, 상용 WordPress 상표를 통제하는 회사임
WP Engine은 가장 인기 있는 관리형 WordPress 호스팅 서비스의 도전자로, 연간 매출이 약 $400M로 추정되며, Automattic의 연간 매출은 약 $500M임
Automattic은 2021년에 $9.8억의 벤처 투자를 유치하여 $75억의 가치를 인정받았고, WP Engine은 2018년에 Silver Lake Partners로부터 $2.5억의 사모 펀드 투자를 받음

Automattic과 WP Engine은 전면적인 기업 분쟁 중이며, 지난 2주 동안 Automattic은 다음과 같은 일련의 공격을 시작함:

모욕/대응: Automattic의 공개 모욕에 WP Engine은 중지 명령으로 대응함
중지 명령/준수: Automattic은 상표권 침해를 주장하는 중지 명령을 보냈고, WP Engine은 상표 사용을 공정 사용으로 업데이트하는 것으로 대응한 것으로 보임
차단/해결: WordPress Foundation(WordPress.org)은 WP Engine이 WordPress.org 플러그인 디렉토리에 접근하는 것을 차단했고, WP Engine은 WordPress.org 플러그인 디렉토리에 의존하지 않는 해결책을 개발함
반소: WP Engine은 Automattic을 상대로 소송을 제기하고 "권력 남용, 강탈, 탐욕에 관한 사건"이라고 언급함. Automattic이 WordPress 상표권이 비밀리에 Automattic으로 이전된 사실을 숨겼고, Automattic의 행위가 WP Engine과 WordPress 커뮤니티에 경제적 피해를 입혔다고 주장함
WordPress.org에서 차단됨: WP Engine의 소송은 Automattic과 그 CEO를 상대로 한 것이지만, WordPress.org는 WP Engine과 관련된 모든 사람이 사이트에 접근하고 플러그인을 업데이트하는 것을 금지함. WordPress.org 플러그인 디렉토리는 대부분의 WordPress 사이트가 플러그인을 업데이트하는 방법임

WordPress Foundation과 Automattic은 완전히 얽혀 있으며, WordPress Foundation은 Automattic의 사업적 이익을 대변하는 것으로 보임. Automattic의 창업자이자 CEO인 Matt Mullenweg는 최근 자신이 WordPress.org를 개인적으로 소유하고 있다고 확인함. 이러한 얽힌 관계 때문에 이 글의 나머지 부분에서는 WordPress.org나 WordPress Foundation의 행동을 포함하여 Automattic을 "행위자"로 지칭할 것임. 사업적 관점에서 현재의 사건은 Automattic의 이익에 의해 추진되고 있음.

WP Engine의 플러그인 탈취 논란

10월 13일, Automattic CEO이자 WordPress Foundation 소유자인 Matt Mullenweg는 WordPress Slack에서 Advanced Custom Fields(ACF)를 "포크"한다고 발표함
이에 대한 반응은 전적으로 부정적이었음. 발표 내용은 다음과 같이 시작됨:

"WordPress 보안 팀을 대표하여, 우리는 플러그인 디렉토리 가이드라인의 18번 항목을 발동하여 Advanced Custom Fields(ACF)를 새로운 플러그인인 Secure Custom Fields로 포크한다고 발표합니다. SCF는 상업적 업셀을 제거하고 보안 문제를 해결하도록 업데이트되었습니다."
ACF 플러그인은 WP Engine이 만든 가장 많이 설치된 플러그인이며, 전체적으로 WordPress 플러그인 중 28번째로 인기 있음
Automattic은 이 변경이 "포크"라고 주장하지만, 이는 사실이 아님:
- Automattic은 플러그인을 포크할 권리가 있고 실제로 포크했지만, 플러그인 디렉토리에서 해당 플러그인을 대체하고 200만 명 이상의 ACF 고객을 이 포크로 조용히 이전시키고 있음
- URL은 그대로 유지되고, 기존 리뷰도 그대로 남아 있음. 이 사건을 지적하는 리뷰는 적극적으로 삭제되고 있음
- 지난 10년 동안 이 플러그인을 설치한 200만 명 이상의 고객은 이제 새로운 소유자에게 속하게 됨
애플과 스포티파이의 예로 돌아가면, 마치 애플이 스포티파이의 앱과 모든 사용자를 "강탈"하고 스포티파이를 생태계에서 잠그는 것과 같음
Automattic은 중지 명령에서 "WP Engine은 WordPress에 거의 아무것도 기여하지 않는다"고 주장했지만, Automattic은 WP Engine의 WordPress 기여물인 10년 넘게 엄청난 성공을 거둔 플러그인을 사용하는 200만 개의 사이트를 탈취함
Automattic의 행동은 어떤 면에서는 공급망 공격과도 유사함:
- 플러그인 디렉토리에서 행위자가 플러그인을 조용히 인수하고 공개 없이 기능 변경을 배포하면 공급망 공격으로 간주되는데, 이 경우에 정확히 그런 일이 일어남
- Automattic은 ACF 플러그인의 소유권을 가져갔을 뿐만 아니라, 고객에게 알리지 않은 채 작은 비즈니스 로직 변경 사항을 배포했고, 이로 인해 수백 개의 사이트가 깨짐
Automattic의 행동은 WP Engine의 수익을 줄이는 것을 목표로 하는 것으로 보임:
- Matt Mullenweg의 발표에는 "상업적 업셀을 제거하기 위해"라는 문구가 포함되어 있음
- WP Engine은 ACF Pro 플러그인에서 상당한 수익을 창출하고 있음

WP Engine만이 유일한 엔터프라이즈급 WordPress 호스팅 제공업체로 남았나?

WordPress.org 플러그인 디렉토리를 사용하는 모든 WordPress 제공업체는 Automattic 자체가 주도한 공급망 공격의 일부분이 되었음
- 주목할 만한 예외는 WP Engine임. 몇 주 전에 차단되어 플러그인 업데이트에 WordPress.org 플러그인 디렉토리를 사용하지 않는 몇 안 되는 관리형 제공업체 중 하나임
- 결과적으로 WP Engine 고객은 ACF 플러그인의 조용한 탈취를 보지 못함
이 사건은 공급망 보안을 중요하게 여기는 기업에게 악몽 같은 시나리오임
- Automattic은 원하는 대로 플러그인을 인수할 준비가 되어 있음을 보여주었고, 거의 테스트하지 않고 조용한 변경 사항을 배포한다는 것도 보여줌
- 이는 기업과 정부 조직이 WordPress.org 플러그인 디렉토리에 의존하는 것이 무책임하다는 것을 의미함
재미있게도 Automattic은 WP Engine과의 전쟁에서 그들의 최대 경쟁자를 위한 최고의 광고를 만들어냈을 수도 있음
- WP Engine은 이제 무단 플러그인 탈취에 면역이 있다는 증거를 가지고 있음
- ACF 플러그인뿐만 아니라 Nitropack 등 여러 패키지도 WordPress 플러그인 디렉토리에서 업데이트를 제출할 수 없게 되었음. 단, WP Engine의 고객은 예외임!

향후 전망

2주 전, 나는 이 분쟁이 어떻게 끝날 수 있을지에 대해 추측했지만, Automattic이 WordPress 플러그인 관리자를 사용하여 다른 회사의 플러그인을 강탈하고 200만 명의 사용자를 가져갈 것이라고는 상상하지 못했음
Automattic은 자신이나 더 넓은 WordPress 생태계에 얼마나 피해를 주는지 신경 쓰지 않으며, WordPress Foundation을 이용해 자신의 의제를 추진할 것임. 그 결과 다음과 같은 일이 일어날 수 있음:
- 기업과 정부 고객은 WordPress로 이전하는 것을 경계함
- WordPress 경쟁업체는 이득을 봄
- WP Engine은 기업 비즈니스 성장을 시도함
- Automattic은 점점 더 예측할 수 없어 보임
- 대부분의 WordPress 사이트에는 변화가 없음
안타깝게도 Automattic은 WP Engine을 아프게 하기 위해 불문율이지만 소중한 윤리를 버린 것으로 보임
- 그러나 중립적인 플랫폼(WordPress 플러그인 관리자)을 활용하는 것이 사업에서 이기는 방법이 되어서는 안 됨.
- 특히 오픈 소스에서는 그래서는 안 됨
만약 Microsoft가 npm에서 경쟁사의 인기 패키지를 탈취한다면 어떻게 될지 생각해보라
- 이런 상상조차 할 수 없는 일이 일어난다면 npm 패키지 시스템에 대한 신뢰도와 사용률이 급락할 것이며, Microsoft 자체가 큰 플레이어이기 때문에 반독점 규제 당국이 개입하여 처벌할 수도 있을 것임
WP Engine은 반드시 법적 방어에 나설 것이며, Automattic으로부터 시장 점유율을 계속 빼앗기 위해 문명화된 태도로 행동하는 것 외에는 아무것도 할 필요가 없을 것임
나는 이 분쟁의 전투원들이 진정하고 공개적인 싸움을 멈추기를 바람. 상대방을 때릴 때마다 분명히 상처를 주지만, 방관자들도 점점 더 큰 타격을 입고 있음
- 이 드라마가 길어질수록 중립적인 관람객들은 다시는 돌아오지 않겠다는 의도로 WordPress에서 떠날 것임
결과가 어떻든 Automattic은 오픈 소스 웹 소프트웨어에서 윤리적 선을 넘은 최초의 기업으로 영원히 기억될 것임
가장 큰 경쟁사를 해치기 위해 다른 팀이 적극적으로 유지 관리하는 플러그인을 강탈하고 비영리 재단을 이용해 사전에 계획된 공격을 감행하며 오픈 소스의 윤리를 무시했기 때문임
"Automattic, 이제는 공정하게 경쟁할 때임"

GN⁺의 의견

Automattic의 이번 행동은 경쟁사를 해치기 위해 오픈 소스의 소중한 윤리를 저버린 것으로 보임
이는 npm을 소유한 Microsoft가 경쟁사의 인기 패키지를 탈취한다면 어떻게 될지를 생각해보면 이해하기 쉬움. 그런 일이 일어난다면 npm에 대한 신뢰가 추락할 것임
WP Engine은 법적 대응에 나설 것이며, 문명화된 태도만으로도 Automattic으로부터 시장 점유율을 계속 빼앗아올 수 있을 것임
이 분쟁의 양측이 진정하고 공개적인 싸움을 멈추기를 바람. 싸움이 길어질수록 중립적인 관람객들이 WordPress를 떠날 것임
Automattic은 앞으로 오픈 소스 웹 소프트웨어에서 윤리적 선을 넘은 최초의 기업으로 기억될 것임. 가장 큰 경쟁사를 해치기 위해 비영리 재단을 이용해 사전에 계획된 공격을 감행하고 오픈 소스의 윤리를 무시했기 때문임
Automattic은 이제 공정하게 경쟁해야 할 때임

▲

ndrgrd 22시간전 [-]

답변달기