미국 정부 보조금 프로그램에서 PSF가 150만 달러 제안서를 철회

(pyfound.blogspot.com)

1P by GN⁺ 2일전 | ★ favorite | 댓글 1개

파이썬 소프트웨어 재단(PSF)은 Python과 PyPI의 보안 취약점 개선을 목표로 미국 국립과학재단(NSF)에 제출한 150만 달러 규모의 제안서를 철회함
NSF의 ‘오픈소스 생태계의 안전·보안·프라이버시(SAFE OSE)’ 프로그램에 처음으로 지원했으나, 보조금 수락 조건 중 DEI(다양성·형평성·포용성) 활동 제한 조항이 문제가 됨
해당 조항은 PSF 전체 활동에 적용되며, 위반 시 이미 지급된 자금의 환수(claw back) 가능성을 포함해 재정적 위험이 컸음
PSF는 DEI를 핵심 가치로 명시한 미션에 따라 조건 수용을 거부하고, 이사회 만장일치로 철회 결정을 내림
이번 결정은 PSF의 재정에 부담을 주지만, 가치와 공동체 원칙을 지키는 선택으로 평가됨

제안서 제출 배경과 목표

2025년 1월, PSF는 NSF의 SAFE OSE 프로그램에 제안서를 제출해 Python 및 PyPI의 구조적 보안 취약점 해결을 목표로 함
- 이는 PSF가 처음으로 정부 보조금에 지원한 사례로, 소규모 팀이 복잡한 행정 절차를 학습하며 진행한 과정임
- 제안서 작성은 Seth Larson(보안 개발자) 이 주도하고, Loren Crary(부전무이사) 가 공동 책임자로 참여
PSF는 제안서가 프로그램 취지에 부합하며, 채택 시 커뮤니티에 큰 이익을 가져올 것으로 판단해 상당한 시간과 노력을 투자함

제안서 승인과 문제 발생

수개월의 심사 끝에 제안서는 자금 지원 권고(recommended for funding) 를 받았으며, 이는 신규 지원자 중 36%만이 첫 시도에 성공하는 드문 사례였음
그러나 보조금 수락 조건에서 문제가 발생함
- 조건에는 “DEI(다양성·형평성·포용성) 또는 차별적 평등 이념을 촉진하는 프로그램을 운영하지 않는다”는 문구가 포함됨
- 이 조항은 보조금으로 수행되는 보안 프로젝트뿐 아니라 PSF 전체 활동에 적용됨
- 위반 시 NSF가 이미 지급된 자금을 환수(claw back) 할 수 있어, 무제한적 재정 위험이 발생할 수 있었음

PSF의 가치와 미션

PSF는 DEI를 핵심 가치로 명시하고 있으며, 공식 미션 스테이트먼트에서 이를 분명히 밝힘
- “Python 언어의 발전과 보호, 그리고 다양하고 국제적인 커뮤니티의 성장 지원”이 PSF의 사명으로 규정됨
PSF는 NSF와의 협의를 통해 조건 해석을 명확히 하고, 유사한 상황을 겪은 The Carpentries 등의 사례를 검토했으나, 가치와 상충되는 조건을 수용할 수 없다고 결론냄
결과적으로 PSF는 DEI 활동을 중단하지 않겠다는 입장을 고수하며, 보조금 제안을 철회함

제안된 프로젝트의 기술적 내용

제안된 프로젝트는 PyPI의 공급망 공격 방지를 위한 자동화된 사전 검토 도구 개발을 목표로 함
- 현재 PyPI는 사후적 검토 체계만 운영 중이나, 제안된 시스템은 모든 업로드 패키지를 사전 분석하는 구조
- 악성코드 데이터셋 기반의 기능 분석(capability analysis) 을 활용해, 잠재적 위협을 조기에 탐지하도록 설계됨
이 기술은 PyPI뿐 아니라 NPM, Crates.io 등 다른 오픈소스 패키지 레지스트리에도 적용 가능해, 오픈소스 생태계 전반의 보안 강화에 기여할 잠재력이 있음

재정적 영향과 향후 과제

PSF는 연간 약 500만 달러 규모의 예산으로 운영되며, 직원 14명의 소규모 조직임
- 2년간 150만 달러는 PSF 역사상 가장 큰 규모의 보조금이 될 예정이었음
그러나 PSF는 재정적 이익보다 가치 실천과 커뮤니티의 자유로운 지원을 우선시함
- 이사회는 만장일치로 철회 결정을 승인
이번 철회로 인해 PSF는 인플레이션, 후원 감소, 기술 산업의 경기 둔화, 글로벌 불확실성 등과 맞물려 재정 압박을 겪고 있음
- PSF는 회원, 기부자, 기업 후원자에게 지속적 지원과 참여 확대를 요청함
- 개인은 회원 가입, 기부, 스폰서십 참여를 통해 PSF의 사명과 활동을 지원할 수 있음

결론

PSF는 재정적 손실보다 조직의 가치와 커뮤니티 원칙을 지키는 선택을 함
이번 사례는 정부 보조금 조건이 오픈소스 단체의 자율성과 가치에 미치는 영향을 보여주는 중요한 선례로 평가됨
PSF는 앞으로도 Python 생태계의 보안 강화와 다양성 증진을 병행하는 방향으로 활동을 지속할 계획임

▲

GN⁺ 2일전 [-]

Hacker News 의견

많은 댓글에서 “DEI가 능력주의를 해친다”는 주장을 하지만, 실제 DEI 활동의 작동 방식을 잘못 이해하고 있음
2016년 PyCon의 다양성 담당자가 공유한 트윗에 따르면, 여성 발표 비율이 1%에서 40%로 증가했음
이는 심사 과정이 블라인드로 진행되더라도, 지원자 풀 자체를 다양화하는 적극적 아웃리치가 있었기 때문임
세상은 순수한 능력으로만 돌아가지 않음. “소속감”이나 “초대받았다는 느낌”이 결과에 큰 영향을 미침
PSF가 이런 아웃리치를 포기하고 현상 유지에 머무를 수도 있지만, 나는 더 다양하고 포용적인 커뮤니티로 발전하길 바람
- 이런 방식이 DEI가 이상적으로 작동하는 형태라고 생각함
  하지만 현실에서는 “이번 분기엔 다양한 후보만 채용 가능” 같은 식으로 지표 중심의 DEI 정책이 남용되기도 함
  실제로 이런 사례가 존재함을 보여주는 법원 문서를 인용함
- “세상은 능력으로만 돌아가지 않는다”는 말에 동의하지 않음
  중요한 시스템은 결국 능력으로 운영됨
- 인종이나 성별 같은 불변 특성에 따른 차별적 대우는 법적으로 불법임
  어떤 논리적 변명도 그 사실을 바꾸지 못함
- 나는 DEI 프로그램의 강한 반대자임
  DEI는 본질적으로 차별의 한 형태라고 생각함
  실제로 성별 때문에 교육 기회를 박탈당한 경험이 있으며, 이는 결코 정당화될 수 없음
  또한 다양한 집단이 항상 더 나은 결과를 낸다는 주장에도 회의적임
고등학교 때 로봇공학 팀을 운영하며 STEM 교육의 형평성을 목표로 지역 사회 아웃리치를 했음
하지만 현재 행정부의 DEI 정책 하에서는 이런 활동이 소송 위험에 노출될 수 있음
정부가 임의로 “누가 옳은 편인지”를 정하는 상황이 안타까움
- 2019년 Guido가 “더 이상 백인 남성을 멘토하지 않겠다”고 했다는 발언을 기억함
  이런 이분법적 접근은 오히려 반발과 분열을 초래함
  성별이나 인종이 아닌 개인의 필요와 성장 욕구에 초점을 맞춘 지원 프로그램이 필요함
  스웨덴의 한 대학은 기술 분야의 성평등 목표를 달성하고 이제는 생물·화학 분야의 불균형을 개선하려 함
  이런 변화가 진정한 도덕적 용기로 이어지길 바람
- “girls who code” 같은 프로그램은 이름부터 차별적으로 들림
  경제적 여건 때문에 코딩을 배우지 못하는 사람들을 위한 지원은 왜 없는지 의문임
- 결국 이런 상황은 정실주의(cronyism) 의 부활처럼 보임
법적으로 보면 이번 조항은 DEI 자체를 금지하는 게 아니라, 연방법 위반이 되는 DEI 활동만 금지하는 것처럼 보임
하지만 실제로는 정부가 법 위반이 아닌 경우에도 DEI 관련 단체를 압박하거나 자금 회수를 시도한 전례가 있어 신뢰하기 어려움
- 조항의 문법 구조상 “연방법 위반”이 어디에 붙는지 모호함
  문장 부호 사용이 잘못되어 있어서, 정부가 의도적으로 DEI 전체를 금지하려는 해석이 가능함
  실제로 현 행정부는 DEI 자체를 불법으로 간주함
- 진짜 문제는 자금 회수(clawback) 조항임
  150만 달러를 이미 연구에 썼다가 나중에 반환하라는 요구를 받으면 재정적 파탄을 맞게 됨
  결국 이 조항은 지원금이 아니라 부채가 될 위험이 있음
- EO 14151 행정명령은 DEI를 불법적 차별 행위로 규정함
  “discriminatory equity ideology”라는 표현은 그 모순을 감추기 위한 신조어로 보임
- 현 행정부는 DEI를 불법으로 간주하고, 다양성 관련 주제의 연구 지원금도 취소하고 있음
- 문장 내 “or”의 해석에 따라 의미가 달라질 수 있음
PSF가 이런 조건을 거부한 것은 신념을 행동으로 옮긴 결정이라 생각함
이 기회를 계기로 Google, AWS, Microsoft 같은 대기업이 매칭 펀드로 지원해주면 좋겠음
- 하지만 대기업들은 정치적 유불리 때문에 공개적으로 PSF를 지원하지 않을 것 같음
  이미 행정부와의 관계 유지를 위해 DEI 프로그램을 폐지했기 때문임
- 이런 기업들이 “친 DEI 단체”를 지원하면 정부 계약이 위험해질 수 있음
  결국 그들이 행정부의 눈치를 보는 이유는 명확함
- 사실 이런 자금을 받는 건 올가미를 스스로 목에 거는 행위임
  어차피 나중에 자금 회수가 이뤄질 가능성이 높음
  수개월의 NSF 제안서 작성 노력이 허사가 된 게 아쉬움
이번 사건은 PSF뿐 아니라 과학 연구 전반의 위험 신호임
정치적 조건이 붙은 연구 지원은 장기적으로 모두에게 해로움
- 정치적 바람은 언제든 바뀜
  PSF 같은 단체가 이런 무기한적 정치 리스크를 떠안을 수는 없음
  미국의 연구 자금이 정치화되는 건 심각한 문제임
- PSF의 예산은 500만 달러 수준인데, 그 영향력은 수조 단위의 산업 가치를 창출함
- 이전의 DEI 중심 지원도 정치적 조건을 강요했다는 점에서 진자 운동의 반대편일 뿐임
- 과거에도 과학 연구 지원에 정치적 영향력이 점점 커졌음
  DOE 지원서에도 DEI 요건이 있었는데, 이런 정치적 개입은 모두 줄어들길 바람
- 의료 연구에서도 마찬가지임
  연구자들이 ‘성별’ 대신 ‘차이’ 같은 단어로 제안서를 수정해야 했음
  대부분은 “형식적으로 맞추고 실제 연구는 원래대로 진행”하는 식으로 대응함
  정부가 일일이 감시할 인력도 없기 때문임
PSF 이사회는 자금 회수 위험 때문에 지원금을 거부했다고 밝힘
이 결정을 내린 이사회에 존경과 지지를 보냄
150만 달러는 PyPI가 금융권에 제공하는 가치에 비하면 너무 작은 금액임
대형 기업들이 조금만 기여해도 큰 도움이 될 것임
- PSF를 포함한 여러 오픈소스 단체가 지속 가능한 인프라 구축을 위한 공동 성명을 발표했음
  향후 전개가 궁금함
- 대기업의 “오픈소스 펀드”는 대부분 직원 만족용 제스처에 불과함
  실제 지원 규모는 미미하고, 종종 DEI 체크리스트를 채우는 프로젝트에만 배분됨
  기업들은 경제적 이득이 없으면 공익적 지원에 관심이 없음
  윤리보다 수익이 우선인 구조에서 이런 결과는 당연함
“DEI나 차별적 평등 이념을 연방법 위반 형태로 추진하지 않겠다”는 문구의 법적 해석이 모호함
실제로는 어떤 부분에 “위반”이 붙는지 불분명함
- 문장 구조상 “연방법 위반”이 전체에 적용된다고 보는 게 자연스러움
  하지만 EO 14151이 DEI 자체를 불법으로 규정했기 때문에 문법보다 정책 의도가 더 중요함
- 솔직히 지금은 법적 해석이 무의미한 시대임
  행정부가 마음만 먹으면 어떤 조항이든 정치적 무기화할 수 있음
- 결국 정부가 원하면 자기 입맛대로 해석할 것임
- 지금은 법치보다 권력자의 의도가 우선되는 시기임
  PSF가 돈을 받았다면, 그 절반을 트럼프에게 헌납해야 안전했을지도 모름
- 이 모든 건 소수자 지원을 ‘역차별’로 낙인찍기 위한 전략임
  정부가 표현의 자유를 보호한다며 오히려 검열을 강화하는 모순적 상황임
조항의 문구를 보면 “연방법 위반”이 전체에 적용되는지 여부가 쟁점임
만약 그렇다면 DEI 자체가 위법이 아니라면 문제되지 않을 수도 있음
하지만 실제로는 법적 리스크가 너무 커서 수용하기 어려움
- NSF의 자금 회수 조항은 매우 구체적임
  연방법 위반이나 금지된 보이콧(특히 이스라엘 관련) 이 있을 경우 전액 회수 가능함
  PSF가 법률 자문 없이 결정했다면 아쉬운 일임
- 단순히 “법을 위반하지 않겠다”는 약속이라면 굳이 명시할 필요가 없음
  따라서 이는 DEI를 법 위반으로 간주한다는 해석에 동의하라는 의미로 읽힘
거부된 지원금이 원래 어떤 프로젝트에 쓰일 예정이었는지 PSF 블로그에 자세히 나와 있음
Python 생태계의 보안 강화를 직접 후원하고 싶다면 기부 페이지나 스폰서 신청을 참고할 수 있음

답변달기