리눅스 7.0 출시…리누스 토발즈의 한마디 더
리눅스커널 7.0 버전이 출시됐다. 새 버전 자체에 특이사항은 없다. 단, AI를 활용한 보안 취약점 보고 증가에 따라 향후 릴리스 체계에 변화가 예상된다.
리누스 토발즈는 지난 12일 리눅스 7.0을 출시하며 언제나처럼 “지난주 릴리스 작업은 이전과 마찬가지로 자잘한 수정 사항이 많았지만 전반적으로 큰 문제는 없어 보여 최종 7.0 버전을 확정하고 배포했다”고 적었다.
7.0 릴리스의 주요 변경 사항으로 러스트 코드의 ‘실험적’ 상태 제거, io_uring 작업에 대한 새로운 필터링 메커니즘, CPU 스케줄러의 기본 지연 선점 활성화, 타임 슬라이스 확장 지원, nullfs 파일 시스템 지원, XFS 파일 시스템의 자체 복구 지원, 스왑 서브시스템 개선 사항, AccECN 혼잡 알림 에 대한 일반 지원 등이 있다.
리누스 토발즈는 지난 2월 리눅스커널 6.19 버전을 공개하면서 다음 버전을 7.0으로 명명한다고 밝혔었다. 리눅스커널 버전 번호는 3.X 시기부터 20개 내외의 마이너 업데이트 이후 새로운 번호를 부여받았다. 그때마다 토발즈는 자신의 손가락과 발가락으로 더 이상 셀 수 없다며 버전 번호를 바꾸겠다고 했다. 일반적으로 오픈소스 소프트웨어에서 X.0 형식의 버전 번호는 중대한 변화를 의미하지만, 리누스 토발즈는 새 버전 번호를 붙이는 것에 큰 의미를 부여하지 않는다.
시선을 끄는 부분은 릴리스 발표문 다음부터다. 그는 “앞으로도 AI 도구 사용으로 인해 예외적인 상황들이 계속 발견될 것으로 예상된다”며 “적어도 당분간은 이런 상황이 새로운 정상일 수 있겠고, 두고 보면 알 것”이라고 밝혔다.
이는 커널 유지보수팀에게 보안 버그 보고가 급증한 것을 거론한 것이다. 최근 커널 유지관리자인 그렉 크로아-하트만은 AI 도구와 실제로 문서를 읽는 사용자에게 더 나은 보안 버그 보고서를 보내는 방법을 알려주기 위해 security-bugs.rst 파일에 대한 몇가지 문서 업데이트를 수행했다”는 내용의 풀리퀘스트를 제출했다. 근래들어 AI 도구의 오픈소스 버그 탐색 능력이 대폭 향상돼 유지관리자에게 제출되는 보안 보고서가 급증했기 때문이다.
토발즈는 “7.1버전 병합 기간이 시작되는데, 벌써 40개 이상의 풀리퀘스트가 접수됐다”고 적었다.
AI로 많은 버그를 발견하면 오픈소스 프로젝트 유지관리자에게 제출되는 보고서도 늘어난다. 제한된 인력으로 코드와 보고서를 검토하는 부담이 커진다. 오래된 프로젝트의 경우 유지관리자도 노년에 접어들며 업무 부담을 감당하기 힘들어하는 상황이다.
이에 깃허브, 오픈AI, 구글, 앤트로픽, 아마존웹서비스(AWS) 등은 1250만달러의 자금을 투자해 리눅스재단의 알파-오메가 이니셔티브 지원에 나섰다. 알파-오메가 이니셔티브는 오픈소스 생태계의 보안 취약성을 줄이기 위해 자금과 인력, 도구를 지원하는 사업이다. 소수의 개발자가 부족한 자원과 자금 때문에 오픈소스 프로젝트를 제대로 관리하지 못해 보안 취약성을 늘리는 문제를 해결하기 위해 시작됐다.
AI로 인한 오픈소스의 버그와 취약점 발견이 증가하면서 알파-오메가 이니셔티브의 중요성이 주목받고 있다.
그렉 크로아-하트만은 “단순히 보조금만으로 현재 오픈 소스 보안 팀이 AI 도구로 인해 겪고 있는 문제를 해결할 수 없다”며 “오픈소스보안재단(OpenSSF)은 과중한 업무에 시달리는 오픈 소스 보안 담당자들이 급증하는 AI 생성 보안 보고서를 분류하고 처리하는 데 도움이 될 여러 프로젝트를 지원할 수 있는 충분한 자원을 보유하고 있다”고 밝혔다.
OpenSSF의 총괄 책임자인 스티브 페르난데스는 “우리의 목표는 변함없이 오픈 소스 소프트웨어의 전체 수명 주기를 지속 가능하게 보호하는 데 집중돼 있다”며 “유지보수 담당자들에게 직접적인 권한을 부여함으로써, 소프트웨어 보안의 최전선에 있는 사람들이 문제를 사전에 예방하고 모두를 위한 더욱 탄력적인 생태계를 구축하는 데 필요한 도구와 표준을 갖출 수 있도록 보장할 수 있는 특별한 기회를 얻게 됐다”고 평가했다.
오픈소스 진영은 AI 검토자를 고민하고 있다. 유지관리자의 보조 도구로서 AI 검토자가 제출된 풀리퀘스트나 보고서를 먼저 검토하고, 리뷰하는 것이다. 소소한 경우 제출자에게 AI 검토자 차원에서 빠르게 피드백을 주고, 중대한 경우 유지관리자가 직접 처리하는 것이다.
리눅스재단은 구글의 리뷰 시스템을 재단 산하 프로젝트로 전환해 대규모 AI 도구를 리눅스커널을 비롯한 다양한 오픈소스 프로젝트에 제공하는 작업을 진행중이다.
구글의 리눅스커널 엔지니어 로만 구슈친이 공개한 ‘사시코(Sashiko)’란 코드 리뷰 시스템이다. 러스트로 작성된 시스템으로 버그를 발견하고 코드를 스크린한다. 메일링리스트에서 패치를 수집해 분석한 후 관리자와 개발자에게 피드백을 제공한다. 제미나이 3.1 프로를 사용해 업스트림 이슈 1000개를 필터링 없이 분석해 버그의 53%를 찾아냈다고 한다. 사용되는 대형언어모델(LLM)은 자유롭게 바꿀 수 있다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network


