Log4j 이슈 및 오픈소스에 대한 그늘에 대한 반응

개발하다 보면 보안 이슈는 늘 따라다니는 것들이다.

한 뉴스를 보다 보니 오픈소스에 대한 회의적인 모습을 그려놓았다. 그런데 실상 개발하는 입장에서 볼 때, 오픈소스보다 소프트웨어를 제대로 관리하지 않는 현재 개발자들의 문제점이 아닌가란 생각이 든다. 대단한 기능은 아니지만 시간이 소요되는 기능조차도 며칠 안에 만들어주길 원한다. 그런데 그걸 하기 위한 전제 조건들이 많은 점이 무너져 있다.

 

Log4j는 하나의 라이브러리다. 그리고 요즘 의존성 라이브러리 관리하는 툴들이 존재한다. 그런데 관공서 프로젝트를 보면 알겠지만 온전한 코드... 형상관리가 제대로 되지 않는 코드를 많이 보게 된다. 내가 진행했던 팀은 제대로 된 형상관리가 되었고, 의존성 라이브러리도 어느 정도 관리되고 있었다. Log4j에 대한 이슈는 솔직히 10분 안에 해결할 수 있는 수준이었다.

 

프로젝트는 관리가 제대로 안되는 이유는 무엇일까? 그리고 개발자가 어떻게 해야지 프로젝트에 이바지하는가? 여기에 대한 깊은 고민이 없었던게 아닐까?란 생각이 든다. 그런데 비단 개발자만의 문제인가? 무엇인가 하기 위한 시간을 주지 않은 현재의 소프트웨어 개발 문화가 문제가 아닐까란 생각도 든다.

 

오픈소스의 보안 이슈는 서로가 관심을 가지고 해결할 문제라고 본다. 하지만 오픈소스 자체에 대한 문제가 아닌 소프트웨어 개발 문화의 문제점을 지적해야 하는게 아닐까라 생각이 든다.