핵심 멤버, 보안 문제로 Nginx 프로젝트 떠나

Arstechnica 에 따르면, 핵심 개발자 중 한 명인 막심 두닌(Maxim Dounin)은 Nginx가 더 이상 커뮤니티를 위한 오픈 소스이자 무료 프로젝트가 아니라고 판단하여 Nginx를 떠났다고 합니다. 두닌은 freenginx를 설립했으며, 기업이 아닌 개발자가 운영할 것이라고 밝혔습니다.

Dounin은 Nginx 오픈 소스 프로젝트의 초기 개발자이자 여전히 가장 활발하게 활동하는 개발자 중 한 명이었으며, 2011년 웹 서버 소프트웨어를 상업적으로 지원하기 위해 설립된 회사인 Nginx Inc.의 초기 직원 중 한 명이었습니다. W3techs 에 따르면, Nginx는 현재 전 세계 웹 서버의 약 3분의 1에서 사용되고 있으며, 그 뒤를 이어 Apache가 뒤따릅니다.

Nginx Inc.는 2019년 시애틀에 본사를 둔 F5에 인수되었습니다. 그러나 2019년 말, Nginx의 임원 두 명인 막심 코노발로프와 이고르 시소예프가 자택에서 러시아 요원들에 의해 구금되어 심문을 받았습니다. 인터넷 회사 램블러는 시소예프가 근무했던 당시(두닌도 근무했던)에 개발된 Nginx 소스 코드의 소유권을 주장했습니다. 형사 고발은 아직 이루어지지 않은 것으로 보이지만, 러시아 기업이 웹 인프라의 인기 있는 오픈소스 부분을 침해했다는 사실은 일부 우려를 불러일으켰습니다.

Sysoev는 2022년 초 F5와 Nginx 프로젝트를 떠났습니다. 그해 말, 러시아의 우크라이나 군사 작전으로 인해 F5는 해당 국가에서 모든 운영을 중단했습니다. 여러 Nginx 개발자가 러시아의 Nginx 사용자를 지원하기 위해 Angie를 설립했습니다. Dounin도 당시 F5를 떠났지만, Nginx 프로젝트에서는 자원봉사자로 활동했습니다.

Dounin은 F5의 새로운 비기술 경영진이 최근 오픈소스 프로젝트를 운영하는 방법을 알고 있다고 생각했다고 말했습니다. 특히, 그들은 Nginx가 수년간 사용해 온 보안 정책을 개발자들을 우회하여 변경하기로 결정했습니다. 그는 이로 인해 Nginx의 변경 사항을 더 이상 통제할 수 없게 되었고, 결국 회사를 떠나기로 결정했다고 말했습니다.

The Hacker News 에 게재된 댓글 중 F5 직원으로 추정되는 한 명의 댓글을 포함하여 Dounin은 공개된 CVE 취약점을 QUIC에 할당하는 것에 반대하는 것으로 나타났습니다. Nginx의 기본 설정에서는 활성화되어 있지 않지만, Nginx 설명서에 따르면 QUIC은 애플리케이션의 기본 버전에 포함되어 있으며 최신 기능과 버그 수정을 포함하고 있으며 항상 최신 상태로 유지됩니다.

The Hacker News 와의 인터뷰에서 Dounin은 F5 팀이 프로젝트 정책과 일반 개발자들의 의견을 아무런 논의 없이 무시했다고 말했습니다. 구체적인 조치가 반드시 나쁜 것은 아니었지만, 전반적인 접근 방식에는 문제가 있었습니다.

Astechnica 에 따르면 F5는 Dounin의 사임을 유감스럽게 생각하며, Nginx와 같은 성공적인 오픈소스 프로젝트에는 크고 다양한 기여자 커뮤니티와 알려진 취약점을 할당하고 평가하는 데 있어 엄격한 업계 표준이 필요하다고 덧붙였습니다. F5는 이것이 고객과 커뮤니티를 위해 매우 안전한 소프트웨어를 개발하는 올바른 접근 방식이라고 생각합니다.