curl 행복의 여름

제목이 핵심을 묻어버렸음. 이건 여름휴가도 얻고, 계속 지원을 받을 수 있는 기업용 지원 계약도 장려하는 방식임
오픈소스/지원/여름휴가를 이렇게 엮은 비즈니스 모델은 처음 듣는 것 같은데 마음에 듦

• 이 아이디어가 좋았고, 오픈소스도 6개월 공개 지원 + 6개월 기업 지원 같은 일정을 도입해볼 만함
  오픈소스는 더 많은 자금을 얻고, 기업은 특정 오픈소스 때문에 정규직을 뽑는 것보다 저렴하게 지원을 받을 수 있음
• curl의 존재하지 않는 기업 지원 계약은 멍청한 서류 담당자들에게 정중하게 꺼지라고 말하는 방식인 줄 알았음: https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquir...
• 이건 극도로 비유럽적인 접근임. 유럽 회사들은 보통 5월부터 8월까지 유료 고객도 무시함

“나쁜 놈들은 쉬지 않겠지만, 우리는 쉰다”는 말이, 비인간적인 시대에 반가운 인간미를 줌

• 정말 수정이 필요하다면 해결책이 있는 것 같아서 더 좋음
  “지원 계약을 맺으면 우리가 더 일찍 읽는다”는 식임
• 나쁜 쪽이 그 한 달 동안 찾은 취약점을 자유롭게 악용하려고 제로데이 찾기에 집중하게 되지 않을까 걱정됨. 그래도 그들에게 휴식이 필요하다는 건 의심하지 않음

휴가 때 완전히 일에서 떨어지고 싶은 사람들은, 아예 일할 수 없게 만드는 게 좋음
업무 기기는 두고 가고, 모든 계정에서 로그아웃하고, 2단계 인증 키는 종이에 백업한 뒤 없애고, 휴가 중에는 파트너가 돌려주지 않게 하는 식임. 실제로 원격 근무가 허용되지 않는 나라로 간 적도 있음. 미친 것 같지만 그만큼 심각했음. 전직 워커홀릭이 씀

• 북미를 떠나 유럽으로 간 이유 중 하나가 이런 게 정상화되어 있다는 점임. 문화 차이가 엄청남
  독일에서는 휴가 중이면 그냥 연락 불가임. 돌아오기 전까지 세상에 없는 사람 취급이고, 이메일도 안 읽고 기기도 사무실에 둠. 또 휴가 중 아프면 휴가일을 돌려받는데, 휴가일은 쉬고 회복하라고 있는 것이기 때문임
• 내 관점은 조금 다름. 휴가 중 가끔 이메일에 답하는 건 괜찮고, 대신 회사도 근무 시간 중 가끔 개인 일을 처리하는 걸 괜찮게 봐야 공정한 거래라고 봄
  회사가 출퇴근 시간을 엄격히 따지거나 30분짜리 개인 용무마다 유급휴가를 쓰라고 하거나, 일이 주 40시간을 반복적으로 넘는 방향으로 흐르면 나도 “근무 외” 업무를 멈출 것임. 하지만 회사가 합리적이면 나도 합리적으로 대할 수 있음
• 은행에서 일할 때 좋았던 것 중 하나가 잠금 휴가였음. 감사 담당자들은 직원이 계속 개입할 수 있는 능력을 신경 썼고, 일정 권한 이상을 가진 직원은 로그인 권한이 비활성화된 채 N일 연속 휴가를 반드시 가야 했음
  숨은 버스 팩터를 찾아내는 데 훌륭한 도구였음
• 이건 너무 많은 추가 작업처럼 보임. 가능하면 업무용은 업무 노트북/컴퓨터에만 두고, 그걸 집이나 사무실에 두면 됨
  20개 계정에서 로그인/로그아웃할 필요가 없음
• 회사가 우연히 이걸 강제하게 됐는데, 아주 좋음
  예전에는 개인 노트북이나 데스크톱에서 VPN+RDC로 사무실 데스크톱에 접속해 원격으로 일할 수 있었음. 이제는 노트북을 받았는데 원격 인증이 안 되고, 회사도 다른 우선순위 때문에 고칠 생각이 없음. 그래서 그 노트북을 들고 있지 않으면 아예 일을 못 하고, 이미 개인 기기를 들고 다니는 상황에서 회사 노트북까지 들고 다니진 않음. 개인 기기도 안 들고 간다면 애초에 어떤 노트북도 가져갈 상황이 아닌 것임
  워커홀릭은 아니라고 생각하지만, 도울 수 있다고 느끼면 24시간 내내 스트레스를 받는 타입임. 사무실 밖에서 아예 일할 수 없다는 사실이 실제로 도움이 됨. 말 그대로 할 수 있는 게 없고, 특히 회사가 그렇게 만든 상황이면 같은 방식으로 스트레스받지 않게 됨
  [1] VPN 연결기와 오래된 휴대폰의 MFA 장치 말고는, Teams든 이메일이든 어떤 업무 관련 것도 개인 기기에 닿지 않음
  [2] 공장 초기화한 작은 오래된 휴대폰에 더미 Google 계정과 MFA 앱만 설치해 둠

libexpat(“Expat”)과 uriparser도 curl의 보안 휴가를 따르며, 오늘부터 2026-08-01 전까지 새 취약점 보고를 받지 않음
[1] https://github.com/libexpat/libexpat/issues/1277
[2] https://github.com/uriparser/uriparser/issues/323

보안에 영향이 있을 수 있다고 보는 사람들에게는, curl은 충분히 성숙해서 영향 큰 버그 가능성이 사실상 0에 가깝고, 그런 버그가 있더라도 누군가는 Daniel 일행에게 연락할 방법을 찾을 것이며, 더 중요한 건 패키지 관리자에 패치가 들어가 배포되는 것임
상류 릴리스는 기다릴 수 있음

• 그게 바로 핵심임. 그들은 취약점 보고를 받지 않을 예정임. 휴가를 가는 것임
• curl 자체에 취약점이 없더라도, curl은 임의의 인터넷 데이터를 내려받는 도구이기 때문에 애초에 철저히 샌드박스 안에 있어야 함
  임의 데이터를 셸로 내려받는 것만으로도 환경의 다른 모든 부분에서 취약점을 우연히 건드릴 수 있음

이 결정을 박수쳐줄 수밖에 없음. 자유 오픈소스 프로젝트 유지관리자들은 거의 보상 없이 계속 과부하 상태이고, 이제 LLM 때문에 병합 요청 관리 부담이 더 폭증했음
유료 사용자에게는 계속 지원을 제공한다는 사실만으로도 충분함

유지관리자들에게 공감은 하지만, 결국 우리가 거의 공짜로 일하는 소수 개인에게 백업 없이 의존하고 있다는 사실이 다시 드러남
보통 조직은 이런 일을 피하려고 휴가를 엇갈리게 잡음. 고객이 요구하기 때문에 그렇게 할 수밖에 없음. 여기서는 모두가 curl의 고객이지만, 실제로는 또 그렇지 않음. 누구에게도 좋지 않은 이상하고 건강하지 않은 회색지대라고 봄. 심지어 curl조차 한 달 동안 온콜을 둘 재정적 여력이 없다는 점이 놀랍고 슬픔

• 자유 오픈소스 소프트웨어에서 놀라운 점은, 유지관리자가 없으면 전체 권리와 전체 소스코드를 갖고 있으니 직접 고치거나 누군가에게 돈을 주고 고치게 할 수 있다는 것임
  이 관계가 건강하지 않아지는 건 보증 없음을 비현실적인 기대와 섞어 투사할 때뿐임
• 실제로는 있음. 글 끝에서 지원 계약이 있으면 응답하고 보안 이슈도 처리한다고 했음
  글의 핵심도 지원이 필요하면 지원 계약을 사라는 것에 가까워 보임
• 있음
  “유료 지원 계약이 있는 모든 사람은 물론 이 기간에도 완전하고 적절한 서비스를 받는다”고 되어 있음
• 글에 분명히, 유료 지원 계약이 있으면 평소처럼 온콜이 유지된다고 나와 있음
• 이 시나리오를 걱정하면서도, 그 사람이 온콜로 대기할 비용을 직접 내지는 않을 거라고 봄

취약점을 계속 발견하고, 보고하고, 분석한 뒤 패치하고, 새 버전을 모든 사용자에게 배포하는 과정을 반복해야 하는 현재 시스템은 명백히 지속 불가능함
업계는 버그와 보안 이슈를 다루는 대안적 시스템을 찾아야 함. 지금 업계는 모른 척하면서 자기 실패를 지대 추구 기회로 바꾸는 쪽을 선호함

• 더 나은 해결책은 무엇임?
  그리고 오픈소스에서 말한 지대 추구의 예시는 무엇임?
• 맞는 말이라고 생각하고, 해법은 구획화에 의한 보안임. 참고: https://qubes-os.org

한 문장만 읽고도 개발자가 스웨덴 사람일 거라고 바로 알았음

• 익숙하지 않은 사람들을 위해 말하자면, 스웨덴은 여름휴가를 진지하게 여김. 연 25~30일 휴가 + 공휴일이 보통이고, 직원이 요청하고 쓸 수 있는 휴가가 있다면 4주 연속 여름휴가를 허용하는 게 사실상 법적으로 요구됨
  참고: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/sven...
• 노르웨이 사람으로서도 같은 생각이 들었음. 노르웨이는 기본적으로 7월에 멈춤
• 나도 똑같이 웃었음. 내 본업 회사도 스웨덴 사무소가 있는데, 그들의 여름휴가는 전설적임
  미국 사무소도 있는데, 미국인들이 받는 문화 충격은 볼 때마다 새로움
• 바로 그 사람인 줄 알았음. 관심에 굶주린 정도가 그와 비슷한 사람은 거의 없음

유럽, 예를 들어 독일에서는 20~30일 유급휴가와 무제한 병가가 정상임. 병가가 3일 이상이면 의사 소견서가 필요함
휴가 중 아프면 그 휴가일을 돌려받음. 휴가 중 갑자기 일을 하게 되면, 그 시간은 휴가 시간일 수 없음. 일반적으로는 통지 기간 없이 해고될 수 없어서 고용 안정성이 높고, 실직해도 실업 지원이 있으니 비상금 약 6천 달러만 있어도 매우 안정적임. 무능한 사람이 해고되지 않는 결과가 되냐면 그렇지 않음. 여전히 해고할 수 있고, 다만 그 뒤 한 달 정도 더 상대하면 됨. 큰 대가가 아님
이게 어떻게 가능하고 누가 보조하느냐면, 모두가 소득의 몇 퍼센트를 내서 이 시스템을 지탱할 뿐임. 몇 퍼센트, 몇 달러로 굶거나 노숙할 걱정을 사실상 하지 않아도 됨
여러분도 투표하고 시위하고 민주주의를 써서 모두의 삶을 더 나쁘게가 아니라 더 좋게 만들면 이런 시스템을 가질 수 있음

“나쁜 놈들은 쉬지 않는다”지만, 그래도 우리는 쉬어야 함
휴가 잘 보내길 바라고, 충분히 자격 있음. 압박을 느끼는 다른 사람들도 휴가를 고려해 보면 좋겠음

나쁜 놈들이 취약점 보고서를 보내줄 것도 아니니, 대기하고 있다고 해서 이 위협에 달라질 건 없어 보임
개인적으로는 4주 휴가도 좀 짧다고 보지만, 내가 너무 프랑스식으로 생각하는 걸 수도 있음

• Daniel은 스웨덴의 industrisemester 개념을 은근히 가리키는 듯함
  보통 7월에 스웨덴 생산 공장들이 직원 대부분에게 휴가를 주고, 그동안 공장을 점검·정비·수리하던 시기였음. 지금도 많은 사람이 하지 이후 한 달 사이에 연례휴가를 잡으려 하며, 법적으로 하지는 6월 20~26일 사이의 토요일임
• 완전한 휴가도 아님. 지원 계약 이슈가 생기면 여전히 대응한다고 했으니, 실제로는 더 짧은 셈임 :-D

휴가를 즐기면 좋겠음 :)
다만 Mythos가 버그를 단 하나만 찾았다고 은근히 자랑한 글 때문에 벌집을 건드린 걸 미처 몰랐을 수도 있음

• 어쩌면 미국 정부가 최신 Anthropic 모델 접근을 막은 진짜 이유가 Daniel에게 휴가를 주려는 것이었을지도 모름
• 그 비유는 잘 안 맞는 듯함. Daniel은 이미 수년째 벌떼에 둘러싸여 있었고, 다들 권위 있는 curl CVE를 얻으려고 명성 쌓기에 몰두하고 있었음

이런 모습이 보기 좋음. 다른 오픈소스 관리자들도 자기 안녕을 우선순위에 두는 계기가 되면 좋겠음

마음에 듦. 다른 프로젝트들도 이런 방식을 따라 했으면 좋겠음