보안 문제로 인해 핵심 멤버들이 Nginx 프로젝트를 떠났습니다.

Arstechnica 에 따르면, 핵심 개발자 중 한 명인 Maxim Dounin은 Nginx가 더 이상 커뮤니티를 위한 오픈 소스 무료 프로젝트가 아니라고 느껴 Nginx를 떠났습니다. Dounin은 freenginx를 설립하고 기업이 아닌 개발자들이 운영할 것이라고 밝혔습니다.

두닌은 Nginx 오픈 소스 프로젝트의 초기 개발자 중 한 명이자 현재까지도 가장 활발하게 활동하는 프로그래머 중 한 명이며, 2011년 웹 서버 소프트웨어에 대한 상업적 지원을 제공하기 위해 설립된 Nginx Inc.의 초기 직원 중 한 명이기도 합니다. W3techs 에 따르면, Nginx는 현재 전 세계 웹 서버의 약 3분의 1에서 사용되고 있으며, 그 뒤를 Apache가 잇고 있습니다.

Nginx Inc.는 2019년 F5(미국 시애틀 소재)에 인수되었습니다. 그러나 2019년 말, Nginx의 임원인 막심 코노발로프와 이고르 시소예프가 러시아 정보기관에 의해 자택에서 구금 및 심문을 받았습니다. 인터넷 기업 램블러(Rambler)는 Nginx 소스 코드의 소유권을 주장하며, 시소예프가 자사에서 근무하던 시기에 개발되었다고 밝혔습니다(도우닌 역시 램블러에서 근무했습니다). 비록 형사 고발로 이어지지는 않았지만, 러시아 기업이 인기 있는 오픈소스 웹 인프라의 일부에 침입했다는 사실은 우려를 불러일으켰습니다.

시소예프는 2022년 초 F5와 Nginx 프로젝트를 떠났습니다. 같은 해 말, 러시아의 우크라이나 군사 작전으로 인해 F5는 우크라이나에서의 모든 사업을 중단했습니다. 이에 일부 Nginx 개발자들은 러시아의 Nginx 사용자들을 지원하기 위해 Angie라는 도구를 개발했습니다. 두닌 역시 당시 F5에서 퇴사했지만, Nginx 프로젝트에서는 자원봉사자로서 활동을 이어갔습니다.

두닌은 F5의 새로운 비기술 경영진이 최근 오픈 소스 프로젝트 운영 방식을 완벽하게 알고 있다고 착각했다고 밝혔습니다. 특히 이들은 개발자들을 무시하고 Nginx가 수년간 사용해 온 보안 정책에 간섭하기로 결정했습니다. 그는 이로 인해 Nginx에 대한 변경 사항을 더 이상 통제할 수 없게 되었다고 결론짓고 회사를 떠나게 되었다고 설명했습니다.

Hacker News 에 올라온 댓글들, 특히 F5 직원으로 추정되는 인물의 댓글에 따르면, Dounin은 공개된 CVE 취약점을 QUIC에 귀속시키는 것에 반대했다고 합니다. Nginx 문서에 따르면 QUIC는 Nginx의 기본 설정에는 포함되어 있지 않지만, 애플리케이션의 메인 버전에 포함되어 있으며 최신 기능과 버그 수정 사항을 제공하고 항상 최신 상태로 유지됩니다.

두닌은 해커 뉴스(The Hacker News) 와의 인터뷰에서 F5 팀이 아무런 논의 없이 프로젝트 정책과 개발자들의 일반적인 합의를 모두 무시했다고 밝혔습니다. 구체적인 행동 자체는 나쁘지 않았지만, 전반적인 접근 방식은 문제가 있었다는 것입니다.

Astechnica 에 따르면, F5는 두닌의 퇴사에 유감을 표명하며, Nginx와 같은 성공적인 오픈 소스 프로젝트는 규모가 크고 다양한 협력자 커뮤니티는 물론, 취약점을 식별하고 평가하는 데 있어 엄격한 업계 표준을 적용해야 한다고 밝혔습니다. F5는 이러한 접근 방식이 고객과 커뮤니티를 위한 고도로 안전한 소프트웨어를 개발하는 데 적합하다고 믿는다고 덧붙였습니다.