안녕히, 그동안의 모든 Bikeshed에 감사드립니다
(queue.acm.org)- FOSS의 미래를 바꿀 두 요인으로 LLM 기반 코드 리뷰와 연령 확인을 꼽으며, 특히 연령 확인이 현재 형태의 FOSS를 끝내는 계기가 될 것으로 내다봄
- LLM 코드 리뷰는 사람이 살피기 어려운 탐색 공간을 더 넓고 깊게 조사하지만, 초기의 큰 성과 이후 효용이 감소할 수 있어 경제적 지속 가능성은 불확실함
- 온라인 범죄와 아동 보호에 대응하려는 국가가 연령 확인을 요구하면, 사용자가 수정할 수 없는 암호학적으로 증명된 소프트웨어와 컴퓨팅 플랫폼이 필요해짐
- EU의 디지털 주권과 책임 소재 요구는 개인 유지보수자와 면책 조항에 의존하는 FOSS 구조와 충돌하며, 수익이 발생하면 Cyber Resilience Act의 FOSS 예외도 끝남
- 영향력 있는 FOSS 프로젝트는 개인적인 종신 자비 독재자(BDFL) 대신 기업이나 관리 조직이 임명한 위원회가 운영하고, 사용자는 소스를 읽거나 수정 없이 빌드하는 정도만 허용받을 수 있음
마지막 Bikeshed와 두 가지 미래 변수
- 약 20년 전 플래시 메모리에 관한 글을 요청받은 일을 계기로, 대략 1년에 한 번꼴인 Bikeshed 칼럼이 시작됨
- 확신에 찬 원로가 되고 싶지 않아 칼럼을 마치며, 먼 미래에 관한 자신의 예측이 완전히 틀리기를 바람
- 현재 FOSS에 큰 영향을 줄 사안으로 LLM 보조 코드 리뷰와 연령 확인을 지목함
LLM 코드 리뷰의 성과와 한계
- 여러 코드 품질 도구를 사용한 경험에서는 반복적으로 같은 흐름이 나타남
- 첫 1~2일에는 해결할 문제가 대량으로 발견됨
- 3~5일에는 확실한 버그 몇 개와 기술적으로는 버그지만 심각하지 않은 문제가 드러남
- 둘째 주부터는 새로운 성과가 거의 사라짐
- 이 패턴은 1984년 Zilog Zeus 설명서에서
lint(1)를 접했을 때부터 최근 Clang 정적 분석을 사용했을 때까지 이어짐 - 이를 토대로 LLM 도구가 찾아낼 최악의 소프트웨어 버그 가운데 절반 이상은 이미 공개됐을 가능성이 있다고 봄
- AI 업계가 투자 열기를 키우기 위해 큰 성과를 가능한 한 빨리 공개하려 한다는 점도 이 추정을 뒷받침함
- 원자력 발전소의 전체 설계·준공 문서를 모델에 제공하면 인간 공학 시스템의 복잡성을 다루는 한계를 시험하는 동시에 큰 관심도 얻을 수 있다고 제안함
체스와 닮은 버그 탐색
- LLM 도구의 버그 탐색은 컴퓨터 체스와 유사함
- 인간은 시간과 에너지를 아끼기 위해 가능성이 높은 경로를 확률적·휴리스틱하게 탐색함
- LLM은 인간보다 탐색 트리를 더 넓고 깊게 조사할 수 있음
- 사이버 공격과 방어는 본질적으로 체스 같은 게임이며, 앞으로 생명을 맡길 프로그램을 작성하려면 더 나은 도구가 필요함
- 관건은 LLM 코드 리뷰가 투자 거품 밖에서도 경제적으로 성립할 수 있는지임
모델 학습 비용과 복제 경제성
- 모델의 작업과 비용은 대부분 학습 단계에서 먼저 투입되지만, 결과물인 모델 가중치는 현대의 휴대용 저장장치에 들어갈 정도로 작음
- 수익을 내려면 같은 가중치를 수백만 번 판매해야 함
- 이는 세트·배우·의상·특수효과·마케팅에 수백만 달러를 들여 작은 저장장치에 담기는 4K 영상을 만든 뒤, 청소년 용돈의 일부에 해당하는 단위로 수익을 거두는 영화·영상 산업과 비슷함
- Hollywood는 저작권 보호로 이 구조를 어느 정도 유지했지만, LLM 업계는 저작권 침해 소송에서 반복적으로 공정 이용(fair use) 을 내세워 같은 보호를 확보하기 어려울 수 있음
- 투자 거품이 꺼지고 성과가 점차 줄어든다면 누가 차세대 모델의 학습 비용을 부담할지 분명하지 않음
암호화 이후 국가와 익명성의 충돌
- 초기 저장 후 전달(store-and-forward) 통신과 여기서 생겨난 오픈소스에는 영향력 있는 주체가 큰 관심을 보이지 않았음
- 수익화가 가능해지면서 개발 자금이 생겼고, 더 큰 시장인 온라인 디지털 통신으로 발전함
- 이 과정에서 FOSS는 기술 발전과 수익 창출을 함께 가속함
- Edward Snowden의 폭로 이후 기술 업계는 감시를 막기 위해 광범위한 종단 간 암호화를 추진함
- 그 결과 범죄자가 온라인 흔적을 감추기 쉬워졌으며, 무능한 범죄자나 경제적 피해가 큰 사건을 제외하면 기소가 어려움
- 경찰이 해결할 수 없다는 인식 때문에 신고조차 되지 않는 디지털 범죄도 많다고 봄
- 암호화가 국가를 퇴로 없는 궁지로 몰았고, 이제 국가가 그 상황에서 벗어나려 한다고 판단함
연령 확인과 프라이버시 축소
- 프라이버시 옹호자들은 의무적 연령 확인이 인터넷 전체의 포괄적 신원 확인으로 이어질 수 있다고 반발하며, 정부의 시민적 우려를 단순한 “아이들을 생각하라”는 논리로 취급함
- 절대적 프라이버시 권리를 요구하는 여성 기술인은 매우 드물다고 평가함
- 딸이 첫 휴대전화를 받을 때 부모가 온라인 위험에 관해 별도 대화를 하지 않아도 될 만큼 인터넷 익명성이 줄어들 것으로 예상하며, 딸을 둔 부모로서 이를 지지함
- 프로토콜을 법치국가와 최소한으로 호환되도록 설계할 수 있었지만, 타협을 배신으로 간주한 결과 필요 이상으로 많은 프라이버시를 잃게 될 것으로 봄
수정 가능한 FOSS와 연령 확인의 충돌
- 소스 코드를 바꾸고 다시 컴파일할 수 있다면 사용자가 연령 확인 기능을 제거할 수 있음
- 이를 막을 유일한 방법으로 암호학적으로 증명된 소프트웨어 무결성을 제시함
- 누군가 운영체제를 신뢰할 수 있다고 공식 보증해야 함
- 사용자가 운영체제를 수정하고 다시 컴파일할 수 있다면 누구도 그 보증을 맡으려 하지 않음
- 인터넷은 어떤 브라우저·기기·소프트웨어로도 접근할 수 있는 영역이 점점 작아지는 방향으로 분할되고 있음
- 더 많은 서비스가 증명된 컴퓨팅 플랫폼(attested computing platform) 에서만 접근 가능해지고 있으며, 사용자가 소스 코드를 볼 수 있더라도 변경하지는 못할 수 있음
EU 디지털 주권과 책임 소재
- 지난 수십 년의 신자유주의와 세계화 속에서 미국 기술 산업은 소셜 미디어를 포함한 유럽 IT 시장 대부분을 장악함
- EU와 회원국·기업은 이를 심각한 실수로 보고 디지털 주권을 되찾으려 함
- 유럽 자체의 온라인 독점 기업이 있었다면 법률 변경으로 대응할 수 있었겠지만, Google·Apple·Oracle·Microsoft·Facebook·Twitter에 대응하는 유럽 기업은 없음
- 유럽의 CIO들이 FOSS 소스 코드를 발견하더라도 계약을 협상할 공급자나 서명할 상대방이 없음
- 기존 조직 문화는 문제 해결보다 다른 주체에 책임을 넘기는 방식을 선호하지만, 디지털 주권처럼 최종 책임자가 필요한 문제에는 맞지 않음
- FOSS 라이선스에 공통으로 포함된 무보증·면책 조항 때문에 기존 책임 배분 방식을 FOSS에 적용하기도 어려움
- “Microsoft를 구매했다는 이유로 해고되는 사람은 없다”는 환경에서 성장한 의사결정자들에게 이러한 전환은 익숙하지 않음
Cyber Resilience Act의 FOSS 예외
- EU는 FOSS를 디지털 주권의 유일하게 현실적인 희망으로 보고, 최근 법률인 Cyber Resilience Act에서 큰 예외를 제공함
- 그러나 FOSS로 수익을 내는 순간 이 예외가 끝남
- 향후 10년 동안 EU에서 FOSS를 통해 상당한 이익이 발생할 것으로 보여, 상업화가 현재 형태의 FOSS 종말을 앞당길 것으로 예상함
개인 유지보수자 구조의 지속 가능성
- 많은 FOSS가 단 한 사람의 의사에 따라 존속하며, 그 사람은 자신의 프로젝트 위에 얼마나 많은 인프라가 쌓였는지 모르거나 신경 쓰지 않을 수 있음
- 유지보수자 번아웃은 이미 존재하며, FOSS가 나팔바지나 플라워 파워 같은 세대적 현상에 가까워 보이는 만큼 유지보수자의 사망도 더 빈번한 문제가 될 수 있음
- 현 세대의 선의에 의존하는 유지보수자를 대신할 후계자를 끌어들이는 일은 이미 어려움
- 유지보수자는 무보수인데 새로 생긴 “FOSS steward”와 “FOSS manufacturer”가 같은 소프트웨어로 수익을 얻는 구조에서는 후계자 확보가 더욱 불가능해짐
- 종신 자비 독재자(Benevolent Dictator for Life)가 운영하는 시대는 끝나고, 영향력 있는 프로젝트는 FOSS 관리 조직이나 기업이 임명한 위원회가 유지할 것으로 전망함
울타리 안으로 들어가는 FOSS
- 범죄를 가능하게 하는 절대적 프라이버시에 대응하려면 증명된 컴퓨팅 플랫폼이 필요함
- EU 디지털 주권의 기반에도 “어떤 개인”이 아니라 법적으로 실체가 있는 관리 주체가 필요함
- 과거 세대가 자유롭게 실험하던 FOSS 공간은 납세자가 지불하는 범위 안에서 규제되고 안전 승인을 받으며, 상업적 트래픽과 분리된 통제된 환경으로 바뀔 수 있음
- 현재 FOSS의 특성 가운데 남는 것은 사용자가 소스 코드를 읽을 수 있다는 점 정도일 수 있음
- 재현 가능한 빌드가 확산되면 소스를 직접 컴파일할 수도 있지만, 수정하지 않는 조건이 붙을 가능성이 있음
벽으로 둘러싸인 앱스토어 모델
- FOSS에 책임성을 부여하는 가장 저항이 적은 경로는 벽으로 둘러싸인 앱스토어 모델일 수 있음
- 암호학적으로 진품임이 증명된 커널만 연령 확인과 웹 접근에 필요한 법적 증명을 제공함
- FOSS 관리 조직이 승인한 앱스토어에서 내려받은 수정되지 않은 프로그램만 브라우저 샌드박스 밖에서 실행됨
- 40년 이상 알고 지낸 친구의 새 노트북에 Ubuntu를 설치해 준 경험에서 이런 미래의 모습을 발견함
- Ubuntu가 FOSS 보급에 기여한 점은 인정하지만, 설치 과정이 자신이 우려하는 미래와 지나치게 닮았다고 느끼며 이러한 예측이 틀리기를 바람
댓글과 토론
Lobste.rs 의견들
-
인터넷 익명성 축소는 성소수자 정체성을 억압하려는 가정의 아이들을 비롯해 실제 사람들의 목숨을 앗아갈 수 있음
- 성소수자 아이들은 빙산의 일각일 뿐이며, 완전한 투명성은 온갖 사람을 죽음으로 몰 수 있음
인류는 익명성이 자연스러운 환경에서 진화했고, 감시받지 않을 때만 작동하는 생존 기제와 체면 뒤에서 자기 방식대로 살아갈 여지에 의존해 왔음
투명한 환경에서 생존하거나 회피하는 법을 배우고 과도한 투명성에 제동을 걸기 전까지, 예측하기 어려운 희생이 이어질 가능성이 큼 - 저자가 여성의 안전을 말하면서 정작 딸에게 발언권을 주지 않고 자신의 생각만 근거로 삼은 점이 불편함
아동 성폭력의 상당 부분은 가족 구성원이 저지른다는 사실도 간과함
- 성소수자 아이들은 빙산의 일각일 뿐이며, 완전한 투명성은 온갖 사람을 죽음으로 몰 수 있음
-
절대적인 사생활 보호를 옹호하는 여성 기술인이 희귀하다는 말과 달리, 우리는 바로 여기 있음
인터넷에서 신원을 밝히지 않을 권리가 어떻게 여성의 생존을 돕는지 이해하지 못한다면, 오히려 본인이 비판하는 테크 브로에 가까울 수 있음- 이 글은 테크 브로라는 표현을 싫어할 이유를 하나 더 보태줌
-
미래는 정해져 있지 않으며, 어린이를 포함한 모두에게 더 안전한 미래를 만드는 동시에 자유를 인권으로 보장하고 사회가 인권을 집단적으로 지켜야 함
안전과 자유 사이의 긴장은 제거할 결함이 아니라 반드시 유지해야 할 특성임 -
FOSS가 나팔바지나 히피 문화처럼 한 세대에 국한된 현상이라서 유지관리자 소진을 넘어 프로젝트가 사라질 것이라는 진단은 근거를 이해하기 어려움
- 기존 유지관리자가 적절한 후임자를 찾지 못해 일을 그만두면, 프로젝트를 이어갈 사람이 없어지는 유지관리자 단절을 뜻하는 것으로 읽힘
- 이전보다 사회적 선보다 개인의 성공을 선호하는 경향이 강해진 듯함
큰돈을 노리고 블록체인 기반 예측시장 앱을 즉흥적으로 만드는 쪽이, 상대적으로 보상과 감사가 적은 FOSS 유지관리보다 매력적으로 보일 수 있음
다만 후기 자본주의에 대한 반작용으로 더 배려하는 세계관이 다시 힘을 얻을 가능성도 있으며, 나도 그 변화를 만들기 위해 노력할 생각임
-
세대 간 가치와 관행의 차이가 크다면 후속 세대가 기존 유지관리자의 역할을 그대로 떠맡기보다 프로젝트를 완전히 대체하는 편이 쉬움
-
약 20년간 지켜본 이래 FOSS가 가장 큰 변화를 맞고 있다고 강하게 느낌
LLM, 유지관리자 이탈, Bun·Deno·uv 같은 오픈소스 프로젝트의 벤처 투자, 비기업 프로젝트의 자금 부족, 출처 표기가 필요한 라이선스 코드를 학습했으면서도 이를 밝히지 않는 AI 생성 코드 등이 한꺼번에 영향을 미치고 있음
EU CADA와 관련 오픈소스 전략이 오픈소스 커뮤니티의 오랜 불균형을 완화하길 기대함
외국 기업이 사용자 신원 정보를 요구하고 처리하도록 허용하거나 강제하는 일은 디지털 주권을 직접 훼손함
소셜 미디어가 공개적으로 공유할 내용을 수집했다면, LLM 기반 대화형 인터페이스는 입 밖에도 내지 않을 고민과 사진까지 수집하므로 훨씬 두려움
최근 몇 년간 본업에서 디지털 주권 업무를 이끌어 왔으며, CADA가 향할 방향에는 상당한 기대를 품고 있음