메이저 트라이얼에 보내는 관제 센터
(virtualize.sh)- Vates는 연 매출 약 1억 3천만 달러 규모의 준정부 성격 우주 기업이 Xen Orchestra Appliance 무료 체험을 10년 가까이 반복 사용한 사례를 공개함
- 해당 조직은 수백 대의 물리 호스트와 약 4,000개 VM을 운영하며 IT 스택 상당 부분을 Vates 플랫폼에 올렸지만, 유료 고객도 소스 설치 무료 사용자도 아니었음
- 반복 체험은 2015년 4월 기업 이메일로 시작해 개인 Outlook·Gmail 주소와
johndoe01,johndoe02같은 증가형 계정으로 이어졌고, 매번 같은 회사명을 입력함 - Xen Orchestra는 소스 설치 시 모든 기능을 무료로 쓸 수 있지만, XOA는 테스트된 사전 구성 VM과 원클릭 업데이트, 지원과 안정성을 제공하는 유료 제품임
- Vates는 이런 trial farming이 오픈소스 지속 가능성을 흔든다고 보고, 정직한 사용자를 막지 않는 선에서 더 똑똑한 체험 제한을 검토할 수 있음
10년간 반복된 Xen Orchestra Appliance 체험 사용
- Vates는 오픈소스 프로젝트 유지 부담과 AI 기반 가짜 기여·보안 리포트 증가를 배경으로 이번 사례를 소개함
- 문제의 조직은 준정부 성격의 기업으로, 연 매출은 약 1억 3천만 달러이며 우주 관련 고가 장비를 만들고 운영함
- 이 조직은 수백 대의 물리 호스트와 거의 4,000개 VM을 보유하고, IT 스택의 상당 부분을 Vates 플랫폼에서 실행함
- 하지만 유료 고객은 아니며, 완전한 오픈소스 버전을 소스에서 직접 사용하는 방식도 아니었음
XOA와 무료 소스 설치의 차이
- 해당 조직이 반복 체험한 제품은 Xen Orchestra Appliance(XOA) 임
- Xen Orchestra가 사전 설치된 턴키 가상 머신
- 정기적으로 테스트됨
- 배포와 업데이트가 쉬움
- 완전한 온프레미스 방식으로 동작함
- 프로덕션에서
master브랜치에git pull하는 방식을 원하지 않는 팀을 위한 지원·안정화된 경험임
- 무료 사용자는 문서를 따라 소스에서 빌드해 모든 기능을 무료로 사용할 수 있음
- 안정성 보장과 전문 지원은 없음
- 기능 자체는 모두 제공됨
- Vates가 판매하는 것은 기능 접근권이 아니라 테스트된 사전 패키지 VM, 원클릭 업데이트, 시간 절약, 위험 감소, 지원 경험임
기업 이메일에서 개인 이메일로 이어진 계정 패턴
- 반복 체험은 2015년 4월에 시작됨
- 초기에는 기업 이메일로 무료 체험을 요청함
- 한두 건씩 나타났고 처음에는 의심스럽지 않았음
- 시간이 지나며 개발자, 시스템 관리자, 매니저 등 여러 계정이 누적됨
- 이후 기업 이메일이 소진되자 개인 Outlook 또는 Gmail 주소를 사용함
- 실제 사람의 개인 이메일로 새 30일 체험을 시작함
johndoe01@outlook.com,johndoe02@outlook.com같은 식으로 핸들을 증가시킴- 현재는
johndoe60을 훨씬 넘은 상태임
- 등록 양식에서 회사명은 필수 입력 항목이 아니지만, 매번 같은 회사명을 입력함
지원까지 받은 뒤에도 계속된 우회
- Vates는 평가 사용자에게 하듯이 해당 조직을 지원함
- 질문에 답변함
- 사용 방향을 안내함
- 초기의 “테스트 중이며 구매를 검토할 수 있다”는 상황에서 거의 하루를 지원에 사용함
- 시간이 지나며 비슷한 질문과 설정이 반복됐고, 기록 검색 결과 같은 조직과 연결된 별도 계정이 최소 60개 확인됨
- Vates가 연락하자 해당 조직은 모호하게 사과하고 소스 버전으로 전환하겠다고 답함
- 전문 지원이나 볼륨 할인 가능성에는 관심을 보이지 않았고, 이후 실제로 소스 버전으로 전환하지 않음
- 대신 개인 Outlook 주소와 증가형 이메일 핸들을 사용하며 무료 체험을 계속 요청함
오픈소스 지속 가능성과 향후 제한
- 이 상황은 셀프호스팅이 불가능한 일반 SaaS를 우회하는 사례와 다름
- Xen Orchestra는 모든 것을 무료로 셀프호스팅할 수 있음
- 기능 제한은 없고, 업그레이드 경험이 XOA보다 덜 편할 뿐임
- 짧은 문서를 읽고 몇 가지 명령을 입력하는 대신 체험 계정을 반복 생성한 점은 XOA의 편의성 가치도 드러냄
- 같은 조직은 지난 10년 동안 개인 Outlook·Gmail 계정으로 무료 체험을 반복 요청하면서 실제 회사명을 계속 입력함
- 이런 행동은 오픈소스를 지속 가능하게 만드는 기반을 약화시킴
- 향후 trial farming을 막기 위한 더 똑똑한 제한이 도입될 수 있음
- 정직한 사용자를 막기 위한 조치는 아님
- 에너지를 소프트웨어 개발, 실제 사용자 지원, 오픈소스 유지에 쓰기 위한 조치임
댓글과 토론
Hacker News 의견들
-
이제 Larry Ellison식 압박을 할 때가 된 것 같음. 최소한 주머니라도 털어 잔돈을 받아내야 함
저 회사는 훔치고 있음. OSS 선택지를 제공하며 기업을 도우려 애써 왔다는 점에서, 이미 충분히 원칙적이고 관대함. 이건 악용이니 참을 필요 없음
과거 기록을 감안하면, 10년간의 절도와 우회 조치를 짧은 중지 요구서(C&D) 로 정리하고, 15일 안에 중단하거나 라이선스를 구매하지 않으면 10년치 라이선스 비용·이자·벌금을 청구하겠다고 통보하는 편이 좋겠음. 특히 16일째에 소프트웨어를 꺼야 한다면 반드시 누군가에게서 연락이 올 것임
이건 금액도 상당해 보이지만, 윤리와 책임의 문제이기도 함. CEO라면 직원과 주주에게 더 큰 책임이 있는지, 이 우주 기업에 더 큰 책임이 있는지 따져봐야 함. 회사가 엄청 부유하더라도, CEO로서 도난당한 자산을 회수하려 할 강한 의무가 있다고 봄
미국 회사라면 이런 행위는 아마 DMCA 우회 금지 조항에 걸릴 수 있음. 그렇다면 개인에게 형사 책임도 생길 수 있음. DMCA는 라이선스 계약으로 기업이 형사 책임을 만들어낼 수 있게 하는 끔찍한 법이라고 보지만, 미국에서는 현재 법이고, 변호사가 이 부분을 설명하면 상대 변호사들도 곧 협상에 나설 가능성이 큼- 동의함. 이건 명백한 절도라 회사가 거의 즉시 합의할 것임. 회수 비용만으로도 말 그대로 수백만 달러가 들 수 있고, 벌금까지 붙으면 더 커짐
법정까지 가지 않을 것 같음. 행위 자체가 방어 불가능하고, 쟁점은 OP 회사에 얼마를 내야 하느냐뿐일 것임 - 먼저 청구서를 보내면 됨. 작성은 법률 자문을 받아야 함. 매달 새 비용을 반영해 새 청구서를 보내고, 몇 차례 지난 뒤 추심으로 넘기겠다고 압박하면 됨
시간이 걸릴 수는 있지만 결국 받아낼 수 있음
- 동의함. 이건 명백한 절도라 회사가 거의 즉시 합의할 것임. 회수 비용만으로도 말 그대로 수백만 달러가 들 수 있고, 벌금까지 붙으면 더 커짐
-
“며칠씩 쫓아다니며 시간을 낭비하진 않겠다. 하지만 어느 순간부터는 몇 푼 아끼는 수준을 넘어 행위예술이 된다”라니, 제발 쫓아가야 함
이건 무료 체험 약관 위반일 가능성이 매우 높으니 법정으로 끌고 가야 함. 그게 아니라면 최소한 회사 이름을 공개해 망신을 줘야 함. 이런 우스운 절도를 꾸민 멍청한 관리자가 잘리고 더 성숙한 사람이 들어올 수 있음- 실제로 CEO에게 직접 연락해서 전말을 설명할까 생각 중임. 하지만 솔직히 CEO가 이미 다 알고 있고, 전혀 문제로 여기지 않을 가능성도 큼. 그 점이 특히 실망스러움
당장 법적 조치를 서두르진 않음. 지금으로선 에너지를 쓸 가치가 크지 않지만, 이런 행태를 공개적으로 짚는 건 필요하다고 느꼈음. OSS 유지보수자가 가끔 어떤 헛소리를 상대해야 하는지 생태계의 다른 사람들에게도 신호가 됨
회사 이름을 직접 공개하는 건 아직 보류 중이지만, 완전히 배제한 건 아님 - 이 부분이 이상하다고 느꼈음. 분명 무료 체험에 동의하면서 맺은 라이선스 조건 위반일 텐데, 자기 작업에 대해 돈 받는 걸 싫어하는 건가 싶음
- 음모론적으로 보면 이 모든 게 그냥 광고일 수도 있음
“우리 제품이 너무 좋아서 항공우주 회사들이 말 그대로 훔쳐 쓰고 있습니다. 그런데 혹시 새 30일 체험판은 보셨나요? 다시 그 항공우주 회사 얘기로 돌아가서, 우리 소프트웨어를 얼마나 싸게 쓸 수 있는지 현재 상품을 한번 보세요…” 같은 식임 - 악마의 변호인 입장에서 보면, 이메일 주소만 넣으면 30일 무료 체험이 열리는 구조라면 사람들이 이메일 주소를 넣는다고 불평하기는 어려움. 특히 경험을 매끄럽게 하려고 이메일 입력칸과 “start free trial” 버튼 말고 아무것도 없다면 더 그렇다
사람들은 언제나 한계까지 쓰거나 악용할 방법을 찾음. 사용자 경험과 악용 방지 사이에서 어디에 제한을 둘지 고민해야 함 - 연 매출이 약 1억 3천만 달러이고 우주에 위성을 둔 항공우주 회사는 많지 않음. Planet Labs일 것 같음
- 실제로 CEO에게 직접 연락해서 전말을 설명할까 생각 중임. 하지만 솔직히 CEO가 이미 다 알고 있고, 전혀 문제로 여기지 않을 가능성도 큼. 그 점이 특히 실망스러움
-
이전 직장인 10억 달러 규모 회사에서, 누군가 무료 사용자 계정 하나를 약 100명이 쓰도록 프록시 같은 걸 만들어둔 적이 있음
더 많은 기능이 필요해 경쟁 제품도 살펴봤고, 기존 방식을 계속 쓸지 더 나은 솔루션으로 갈지 결정하는 회의에 참석했음. 두 제품은 공정하게 비교됐지만 가격만 예외였음
계획은 원래 내야 할 비용을 내지 않고 계속 불법 사용하거나, 합법적으로 썼다면 더 저렴했을 다른 서비스를 쓰는 것이었음. 비교하려면 최소한 실제 비용으로 비교해야 한다고 문제를 제기했지만 아무도 공감하지 않았고, 결국 전환하지 않고 계속 불법 사용하기로 함. 돈이 문제도 아니었음
이걸 만든 사람은 이미 회사를 떠났지만, 아무도 이 문제를 처리하고 싶어 하지 않았고 그냥 무시하는 편이 더 쉽다고 판단한 것 같음- 그런 불법적이거나 비윤리적인 행동으로 5~10년 동안 얼마를 아꼈을까?
“Rocket Company”가 월평균 30대 장비를 썼고 월 최대 1,600달러라고 치면 할인 전 연 60만 달러 수준임. 10년이면 300만 달러 정도를 붙잡아둔 셈일 수 있음
Vates가 돈을 받으려면 실제 업무를 하는 운영 조직에서 통제권을 떼어내 중앙 IT 조직으로 추상화해야 가능할 것 같음
- 그런 불법적이거나 비윤리적인 행동으로 5~10년 동안 얼마를 아꼈을까?
-
“하지만 어느 순간부터는 몇 푼 아끼는 수준을 넘어 행위예술이 된다”는 표현이 좋음. 유머도 좋고 사례도 좋음
회사가 제품 비용보다 직원 시간에 더 많은 돈을 쓰고 있을 가능성이 큼
무료 체험판으로 미션 크리티컬한 걸 돌린다는 건 상상하기도 어려움. 예전에 Adobe가 소송에서 졌다는 얘기를 들은 적이 있음. 누군가 무료 체험판에서 이미지를 만들었는데 체험 기간이 끝난 뒤 열 수 없게 됐다는 이유였음
내가 그 회사 고객이라면 꽤 걱정될 것임 -
“무료 체험이 끝났고, 귀사는 더 이상 무료 체험 키를 받을 수 없습니다”라고 말하면 됨. 그건 변호사도 필요 없고 협박도 필요 없음
“저희 제품을 좋아해 주셔서 기쁩니다. 안타깝지만 더 이상 무료 체험으로 지원해 드릴 수 없습니다”처럼 예의 있게 말하면 됨
소속을 숨기고 계속 무료 체험을 받는다면, 발견할 때마다 가짜 신청을 막고, 정말 마지막 수단으로 법적 경고를 하면 됨. 전부 잡지는 못해도 상대에겐 매우 성가심
목표는 이들을 유료 고객으로 온보딩하는 것임. 그 외의 결과는 사실상 손실임. 예의 바르되 단호해야 함- 나라면 최소한 무료 체험 가입 백엔드 로직에 회사명과 알려진 별칭을 검사하는 작은 루틴을 넣고, “무료 대상이 아니지만 영업팀이 기꺼이 상담해 드립니다! 좋은 하루 되세요!” 같은 메시지를 반환하게 했을 것임
-
가장 우울한 건 이 일이 전혀 놀랍지 않다는 점임
무료 체험에 신용카드를 먼저 요구하는 이유가 바로 이것임. 몰래 과금하려는 게 아니라 위조하기 더 어렵기 때문임. 이런 사람들 덕분임- 정말 마음먹으면 이런 방식도 우회하기는 거의 사소한 수준임. 미국의 CapitalOne은 신용카드가 있으면 검증 가능한 가상 카드를 만들 수 있고, 언제든 무료로 삭제하거나 차단할 수 있음
이런 관행이 가볍게 체험판을 악용하려는 사람은 막겠지만, 실제 유료 고객만 괴롭게 만들고 악의적 행위자는 거의 막지 못하는 느낌임
- 정말 마음먹으면 이런 방식도 우회하기는 거의 사소한 수준임. 미국의 CapitalOne은 신용카드가 있으면 검증 가능한 가상 카드를 만들 수 있고, 언제든 무료로 삭제하거나 차단할 수 있음
-
CTO로서 이런 행동에는 꽤 강하게 반대하며, 책임은 항공우주 회사의 CTO에게 있다고 봄
초기에 절약하며 버티는 건 일의 일부지만, 매출이 나기 시작하면 규모가 커지는 시점에 무료 요금제를 시작 요금제로 전환해야 함
우리 업계에 이런 식으로 행동하는 사람들이 있다는 게 유감임- 120% 동의함. 다만 무료 요금제를 얼마나 잘 활용하고 있는지도 궁금함
개인적으로 클라우드/SaaS의 무료 요금제는 초기 사용 비용을 상쇄해 주는 정도라고 봄. 그래서 정말 작은 규모가 아니라면 무료 요금제는 맞지 않음
- 120% 동의함. 다만 무료 요금제를 얼마나 잘 활용하고 있는지도 궁금함
-
소비자 대상 스타트업에서 추천 제도 때문에 비슷한 일을 겪었음
매달 시계처럼 한 사람이 가짜 추천을 만들어 한 달 무료 이용권을 얻었고, 앱 재설치, 가짜 계정에 콘텐츠 생성, 다시 돌아오기 같은 꽤 번거로운 과정을 거쳤음. 전부 5달러를 아끼려고 한 일이었고, 거의 같은 품질의 무료 요금제도 있었음
시스템을 이기고 들키지 않았다는 짜릿함도 꽤 큰 요인이라고 봄. 이해는 됨 -
예전에 대기업 IT 부서에서 일했을 때, 소프트웨어를 구매하는 데 필요한 일이 너무 엄청나서 어떤 “창의적 해결책”이든 훨씬 나아 보였음
최악은 저렴한 소프트웨어가 가장 큰 피해를 본다는 점임. 수백만 달러짜리 Cisco 업그레이드는 문제가 안 됨. 이미 수백만 달러니까. 하지만 10달러짜리 이메일 셰어웨어 라이선스를 사려면 여러 사람이 많은 근무 시간을 써야 하니 누가 하겠음- 한 고객과 미팅한 적이 있음. 그들은 우리 제품을 평가 중이었고, 우리 제품은 OSS가 아니었음. 분위기는 좋았고 제품을 좋아했으며 구매할 것처럼 보였음
그런데 어색하게도 담당자가 CEO에게 규칙이 있다고 말함. 회사는 OSS만 쓸 수 있다는 규칙이었음. 정작 그 회사의 자체 제품은 OSS가 아니었음 - 내 노트북에 신경다양성 지원 소프트웨어를 설치하려다 비슷한 일을 겪고 있음. 도와주려는 사람은 많고 정부가 비용도 환급해 주지만, 새 공급업체를 등록하는 일이 어렵고 보안 승인도 필요함
- 회계 관점에서는 아마 매입채무 사기를 막기 위한 장치일 가능성이 큼
- 한 고객과 미팅한 적이 있음. 그들은 우리 제품을 평가 중이었고, 우리 제품은 OSS가 아니었음. 분위기는 좋았고 제품을 좋아했으며 구매할 것처럼 보였음
-
이 이야기가 꽤 정확하다고 가정하면, 양쪽이 무슨 생각을 했는지 궁금함
공짜로 쓰는 쪽에서는 자신들이 규칙 안에 있다고 생각했을까? 이 방식을 계속 쓰는 승인이 얼마나 윗선까지 올라갔을까? 누군가는 결제하려 했지만 막혔을까? 누군가 상사에게 전부 내부에서 만들었다고 말해놓고, 이제 외부에 맡겼고 회사가 노출됐다는 걸 인정하고 싶지 않은 걸까? 최상층까지 올라갔고, 변호사가 매번 회사명과 실명을 넣으면 선의로 보호받을 수 있다고 조언했을까?
제공자 쪽에서는 10년이나 묶여 있는 기업 사용자를 보고 영업 담당자가 왜 달려들지 않았을까? 정책을 조금 바꿔 이 무임승차자와 따라 할 수 있는 다른 이들을 막지 않고 어떻게 10년을 놔뒀을까? 그동안 이 일이 떠올랐을 때 사업 담당자들은 뭐라고 했을까? 사업이 너무 잘돼서 이들을 유료 고객으로 전환할 시간이 아까웠던 걸까?- 위 질문들의 답은 대체로 이런 모양일 가능성이 큼
https://250bpm.substack.com/p/accountability-sinks
- 위 질문들의 답은 대체로 이런 모양일 가능성이 큼