웹서버 '엔진엑스', 새 포크 버전 나왔다

러시아 태생 오픈소스 엔진엑스(Nginx)의 분기(Fork)가 이뤄졌다. 러시아 개발자가 엔진엑스 소유기업인 F5의 통제를 벗어나기 위해 '프리엔진엑스(Freenginx)'란 프로젝트를 출범시켰다. 국가 간 분쟁에 따른 지정학적 문제가 오픈소스 소프트웨어 진영에서도 협력을 방해하는 모습이다. 최근 러시아의 개발자 막심 두닌은 엔진엑스의 포크 버전인 '프리엔진엑스'를 공개했다. 엔진엑스는 2002년 러시아에서 시작된 오픈소스 웹서버 및 캐싱 프록시 프로젝트다. 2004년 처음 출시됐고 2011년 자체 회사가 설립됐다. 여러 웹서버 소프트웨어와 함께 주류를 형성하고 있다. F5는 2019년 6억7천만달러에 엔진엑스를 인수했다. 현재 엔진엑스는 F5의 자회사로 운영되고 있다. 2019년 F5의 엔진엑스 인수 후 러시아 램블러그룹이 코드 소유권을 주장하며 경찰과 함께 모스크바의 F5 사무실을 급습하기도 했다. F5는 2022년 러시아의 우크라이나 침공에 대응해 모스크바 사무실을 폐쇄했다. 막심 두닌은 "F5의 새로운 일부 비기술적 경영진은 오픈소스 프로젝트를 운영하는 방법을 더 잘 알고 있다고 판단했다"며 "특히 그들은 수년간 엔진엑스에서 사용해온 보안정책에 간섭하기로 결정했고 정책과 개발자의 입장을 모두 무시했다"고 비판했다. 그는 "그들은 프로젝트를 소유해 마케팅 동기를 유발하거나 개발자의 입장과 커뮤니티를 무시하는 등의 행동을 포함해 무엇이든 할 수 있다"며 "이는 우리의 계약과 모순된다"고 주장했다. 그는 "더 중요한 건 내가 더 이상 F5 내에서 엔진엑스에 어떤 변경이 이뤄지는지 제어할 수 없다"며 "나는 더는 공익을 위해 개발되고 유지되는 프리 오픈소스 프로젝트로 보지 않는다"고 덧붙였다. 두닌은 F5 소속으로 엔진엑스 개발에 참여했었다. 모스크바 사무실 폐쇄 후 F5 소식이 아니었지만 자원봉사자로서 엔진엑스 개발 참여를 지속하기로 합의했다고 그는 밝혔다. 두닌의 엔진엑스 포크를 촉발한 계기 중 하나는 최근 공개된 CVE-2024-24989 보안 취약점에 대한 F5의 결정이다. F5는 실험적 HTTP/3 코드의 특정 버그에 대해 보안 릴리스를 만들도록 했다. 두닌은 "해당 버그는 기존 보안 정책에 따라 일반 버그로 수정될 것으로 예상되고 모든 개발자도 이에 동의하지만, F5는 보안 릴리스를 강오했다"고 밝혔다. 그는 "프리엔진엑스의 목표는 엔진엑스 개발을 기업의 임의적 행동으로부터 보호하는 것"이라고 강조했다. 프리엔진엑스가 엔진엑스의 번째 포크는 아니다. 러시아 기업인 '웹서버'가 2022년 앤지(Angie)란 프로젝트를 선보였다. 이 회사는 F5에서 해고된 러시아 내 엔진엑스 개발자와 엔지니어 다수를 흡수했다. 앤지는 웹서버에서 소유하고 있다. 더레지스터는 앤지 역시 특정 영리 기업에 의해 운영되므로 F5 사례처럼 상황이 예기치 않게 바뀔 수 있다는 막심 두닌의 지적을 전했다.