Molayo

© 2026 Molayo

Dev.to헤드라인2026. 06. 27. 04:51

OSS India 2026: Mumbai에서 열린 Linux Foundation의 Open Source Summit에서의 하루 기록

요약

OSS India 2026 컨퍼런스 참관기로, AI 시대에 오픈 소스 생태계의 가치가 코드 작성에서 컨텍스트(Context)로 이동하고 있음을 다룹니다. AI가 코드 작성 비용을 낮춤에 따라 인간의 판단력과 도메인 지식의 중요성이 더욱 커지고 있음을 강조합니다.

핵심 포인트

  • AI로 인해 코드 작성 비용이 제로에 수렴하며 가치의 중심이 컨텍스트로 이동함
  • LFX Skills와 같은 MCP 서버를 통해 AI 에이전트에게 저장소 규칙을 부여하는 표준화 진행
  • 단순 코드 작성자보다는 판단력과 도메인 깊이를 갖춘 인력의 가치가 상승함
  • 인도는 세계에서 두 번째로 큰 오픈 소스 기여자로서 강력한 생태계를 보유함

저는 6월 17일, 노트와 휴대폰 카메라를 준비한 채 Mumbai에서 열린 Linux Foundation의 Open Source Summit India 2026에 참석했습니다. 이 글은 제가 참석한 모든 세션에 대한 기록으로, 실제로 와닿았던 아이디어들, 포착할 수 있었던 슬라이드들, 그리고 저의 솔직한 반응을 담고 있습니다.

전체 일정은 ossindia2026.sched.com에서 확인할 수 있습니다. 세션 녹화본은 Linux Foundation YouTube 채널에 게시되고 있습니다.

기조 연설 1: 해자(Moat)가 코드에서 컨텍스트(Context)로 이동했다

Manish Dixit, Linux Foundation

강연은 상황의 중요성을 보여주는 수치로 시작되었습니다: CNCF 프로젝트에만 428억 달러 규모의 소프트웨어 가치가 존재합니다 (COCOMO 추정치). 인도는 세계에서 두 번째로 큰 오픈 소스 (Open Source) 기여자이며, JioHotstar의 6,500만 명 이상의 동시 스트리밍, Zoho의 1억 3,000만 명 이상의 사용자, 그리고 6억 5,000만 건 이상의 일일 UPI 거래를 뒷받침하는 소프트웨어가 바로 이것을 기반으로 구축되었습니다.

Slide:

핵심 논지는 불편하지만 해방감을 주는 것이었습니다: AI는 코드를 작성하는 비용을 거의 제로(free)로 만들었습니다. 가치는 다른 곳으로 이동했습니다.

Linux Foundation는 메인테이너(Maintainer)들이 조직 전반에서 더 빠르게 결과물을 배포할 수 있도록 돕기 위해 자체 MCP 서버인 LFX Skills를 구축했습니다. AGENTS.md 명세(Specification) 파일은 이제 AI 에이전트(Agent)에게 저장소(Repo)에 대한 규칙을 부여하는 표준적인 방법으로 6만 개 이상의 프로젝트에서 채택되었습니다. PR(Pull Request)을 생성하는 것은 거의 비용이 들지 않습니다. 하지만 이를 검토하는 데에는 여전히 인간의 비용이 발생합니다.

강연은 이른바 "사다리(the ladder)"라고 불리는 것을 제시했습니다:

역할AI의 능력
기여자 (Contributor)대체 가능
...

도발적인 질문: 만약 당신이 커리어 초기 단계에 있고 단순히 코드만 옮기고 있다면, 바닥이 내려앉고 있습니다. 판단력(judgement), 도메인 깊이(domain depth), 그리고 쌓아온 신뢰를 가진 사람들을 위한 천장은 높아지고 있습니다. 이 강연은 인도 특유의 증거들을 제시했습니다: Zerodha의 연간 100만 달러 규모 FLOSS(Free/Libre and Open Source Software) 기금, Infosys의 AI 프레임워크 2종을 LF Networking에 기부, Juspay의 Hyperswitch, 그리고 글로벌 LF 주요 기여자 중 하나인 TCS/Wipro/HCLTech 등이 그 예입니다.

"소비하라. 기여하라. 자금을 지원하라. 최소한 두 가지는 선택하라."

저의 개인적인 교훈은 다음과 같습니다: LFX와 GSSoC에서 기여자(Contributor) 및 리뷰어(Reviewer) 체인을 다시 시작하는 것입니다. github.com/linuxfoundation과 KubeCon + CloudNativeCon India가 곧 개최될 예정입니다.

기조 강연 2: 오픈 소스를 통한 혁신 가속화

Aayush Bhatnagar, CTDO, Jio Platforms

인도 최대 기술 기업 중 하나가 오픈 소스 운영을 어떻게 수행하는지 내부를 들여다봅니다. 2016년에는 IT 산업 전체가 VM(가상 머신) 기반이었으며, 컨테이너화(containerization)는 주류가 아니었습니다. 당시 Jio 팀은 ONAP (Open Networking Automation Platform)에 기여하고 있었으며, 그 초기 투자는 국가적 규모에서 결실을 보았습니다.

Jio는 현재 진행 중인 6G 연구의 일환으로 LF를 통해 OpenCU와 OpenDU에 기여하고 있습니다.

Jio's OS ecosystem slide

세션에서는 Jio의 내부 Linux 팀과 그들의 5.1 Linux 스택을 살펴보았습니다: 컨테이너화된 네트워크 기능 (CNFs, Containerized Network Functions), RHEL + UBI (Universal Base Images), 그리고 Edge, RAN, Transport, Core 전반에 걸쳐 CNF 라이프사이클을 관리하기 위해 Jio MANO + Ansible + OpenShift를 사용하는 자동화 파이프라인(automation pipeline)입니다.

Jio MANO pipeline

여기서 얻은 핵심 통찰은 기술 그 자체가 아니라, 그들이 운영하는 규모와 오픈 소스(open source)가 단순한 취미나 홍보(PR) 전략이 아닌, 핵심적인 기반 인프라(load-bearing infrastructure)로서 작용하는 정도였습니다.

키노트 3: Valkey를 통한 데이터베이스 비용 절감 및 혁신 자금 확보

Roberto Luna-Rojas, Valkey OSS, AWS 시니어 개발자 어드보케이트 (Sr. Developer Advocate)

Valkey는 오픈 소스 기반의 고성능 키/값(key/value) 데이터 스토어입니다. 이는 Redis의 라이선스 변경 이후 등장한 커뮤니티 유지 관리 포크(fork)입니다.

핵심 제안은 다음과 같습니다: 중복된 데이터베이스 쿼리에 낭비되는 모든 달러는 모델 추론(model inference), 임베딩(embeddings) 또는 학습(training)에 투입되지 못하는 달러와 같습니다. MySQL, MariaDB, PostgreSQL을 대상으로 한 Valkey의 벤치마크 결과에 따르면, 공격적인 캐싱(caching)을 통해 응답 시간과 비용을 극적으로 줄일 수 있음을 보여줍니다.

더 흥미로운 관점은 LLM 워크로드(workloads)를 위한 시맨틱 캐싱(semantic caching)이었습니다. 의미론적으로 동일한 두 가지 쿼리를 예로 들어보겠습니다:

  • "이 제품을 어떻게 반품하나요?"
  • "반품 정책이 무엇인가요?"

...이 두 질문은 답변이 동일함에도 불구하고, 모두 추론 엔드포인트(inference endpoint)에 도달하여 각각 비용이 청구됩니다. 시맨틱 캐싱은 두 번째 호출을 가로챕니다. 대규모 프로덕션 AI 애플리케이션에서 이는 단순한 미세 최적화(micro-optimization)가 아니라, 예산 항목(budget line)의 문제입니다.

AI cost problem slide

키노트 4: 설계부터 오픈된 방식 - 거버넌스가 있는 AI, 신뢰할 수 있는 결과

Geeta Gurnani, IBM Technology 인도 및 남아시아 필드 CTO (Field CTO)

RedHat은 IBM과의 파트너십을 통해 이번 강연에서 AI 거버넌스(governance) 이니셔티브인 Project Lightwell을 발표했습니다.

프레임워크(framing): AI 가속화는 강력하면서도 위험합니다. 신뢰의 격차(trust gap)가 벌어지고 있기 때문입니다. 조직들은 거버넌스(governance)라는 비계(scaffolding) 없이 AI 우선(AI-first) 비즈니스 모델을 채택하고 있으며, 다음과 같은 이유로 신뢰가 침식됩니다:

  1. AI 결정이 불투명함 - 감사 가능성(auditability)과 추적 가능성(traceability)이 없음
  2. 환각(Hallucinations) 현상이 실재하며 공개적으로 드러남
  3. 기술이 충분히 새롭기 때문에 사람들에게 아직 이에 대한 문화적 프레임워크(cultural frameworks)가 없음

그녀가 개괄한 거버넌스 스택(governance stack)은 다음과 같습니다:

데이터 (Data) → 모델 (Models) → 학습 (Training) → 배포 (Deployment) → 모니터링 (Monitoring) → 거버넌스 (Governance)

이러한 계층 중 어느 하나라도 숨겨지면 신뢰는 무너집니다. IBM의 AI Risk Atlas는 이 라이프사이클(lifecycle) 전반에 걸쳐 리스크를 매핑하기 위한 프레임워크로 소개되었습니다. 에이전트 시스템(agentic systems)을 구축하고 있다면 살펴볼 가치가 있습니다.

인도 관련 참고 사항: EU에는 EU AI Act가 있고, 싱가포르에는 Singapore AI Act가 있습니다. 인도는 여전히 디지털 거버넌스 프레임워크를 개발 중입니다. 그 격차는 리스크인 동시에 기회이기도 합니다.

India governance framework slide

기조 연설 5: Rust와 Linux - Rust가 Linux의 성공을 어떻게 도울 것인가

Greg Kroah-Hartman, Linux 커널 메인테이너(Maintainer) 및 펠로우(Fellow), The Linux Foundation

Greg는 Linus Torvalds 다음으로 큰 Linux 커널 메인테이너입니다. 그는 안정적인(stable) 커널 브랜치와 다양한 서브시스템(subsystems)을 관리합니다.

Greg Kroah-Hartman OSS India title slide

수치상으로: 오늘날 Linux 커널은 36,000,000줄의 C 언어와 113,000줄의 Rust 코드로 구성되어 있습니다 (커널 7.1-rc3 기준). 이 마이그레이션(migration)은 두 언어가 오랫동안 공존해야 한다는 점을 충분히 인지한 상태에서 신중하고 점진적으로 진행되고 있습니다.

커널에 Rust가 중요한 이유:

  • C 할당 오류 (allocation errors), 스코프 잠금 (scoped lock) 문제, 그리고 포인터 버그 (pointer bugs)는 CVE의 주요 원인입니다.
  • Rust는 이러한 문제의 대다수를 런타임 (runtime)이 아닌 컴파일 타임 (compile time)에 잡아냅니다.
  • Rust의 ? 연산자는 이러한 작업의 상당 부분을 자동으로 수행합니다.
  • Mutex 잠금 (locks) 및 기타 동기화 기본 요소 (synchronization primitives)는 Rust의 소유권 모델 (ownership model)을 통해 훨씬 더 안전해집니다.

"만약 Linux가 Rust로 작성되었다면, 현재 CVE의 80% 이상은 발생하지 않았을 것입니다."

실용적인 툴체인 (toolchain): GCC, RustToC, 그리고 GCC-Rust 컴파일러는 모두 테스트벤치 (testbenches)를 위해 매우 중요합니다. 마이그레이션 (migration)은 완전히 새로 쓰는 것이 아니라, 새로운 코드는 Rust로 작성하고 기존 C 코드는 위험도가 가장 높은 부분부터 신중하게 옮겨가는 점진적인 래칫 (ratchet) 방식입니다.

명확하게 전달된 메시지는 다음과 같습니다: Linux 커널을 유지 관리하는 사람들은 대부분의 애플리케이션 개발자가 접하지 못하는 수준으로 보안을 진지하게 다루며, Rust는 개발자가 규칙을 기억하기를 바라는 대신 그 진지함을 언어 자체에 인코딩할 수 있는 도구를 제공합니다.

세션 205: 통제 불가능한 것을 통제하기 - OSS 내 AI 에이전트를 위한 보안 및 컴플라이언스 (Security and Compliance)

Ronit Raj, GitMesh

빠르게 시급해지고 있는 문제에 관한 강연입니다: AI 에이전트가 귀하의 저장소 (repository)에 접근 권한을 가지고 의도하지 않은 행동을 하면 어떻게 될까요?

핵심 이슈:

  • 에이전트는 신뢰할 수 없는 소스(이슈, PR 댓글, 웹 검색 결과, 사용자가 제출한 콘텐츠)로부터의 프롬프트 인젝션 (prompt injection)에 취약합니다.
  • 에이전트가 자율적으로 코드를 푸시하거나, PR을 열거나, 변경 사항을 만들 때 실수를 되돌리기가 어렵습니다.
  • 대부분의 "안전" 접근 방식은 단순한 필터일 뿐, 강제되는 제약 조건 (enforced constraints)이 아닙니다.

GitMesh security issues slide

핵심 통찰:

"에이전트에게 단순히 규칙을 줄 수는 없습니다. 제한 사항은 에이전트 주변에서 강제되어야 합니다."

그가 설명한 실용적인 접근 방식:

  1. YAML 정책 파일과 AGENTS.md를 사용하여 제약 사항을 명시적으로 선언합니다.
  2. 모든 것을 기록(Log)하십시오. 로그에서 DENY(거부) 라인을 찾는 것이 핵심 신호입니다.
  3. 인간의 승인이 필요한 특정 작업에 게이트(Gate)를 설정합니다:
    • main 브랜치로의 머지 (Merging to main)
    • CI/워크플로우 변경
    • 비밀 정보(Secrets)에 대한 접근
    • 릴리스(Releases) 및 권고 사항(Advisories)

GitMesh는 이를 중심으로 한 툴링을 구축하고 있습니다. 더 넓은 원칙은 다음과 같습니다. 에이전트의 권한을 비밀 정보(Secrets)를 다루듯 명시적이고, 범위가 지정되며, 감사(Audited) 가능하도록 취급하십시오.

Ballroom 3: 기본 설정 보안 (Secure by Default) - AI 증강 및 OSS 기반의 CI/CD

Jenisten Xavier, Full Creative

전적으로 오픈 소스 보안 도구들로 구축된 재사용 가능한 CI/CD 파이프라인에 대한 실무적인 가이드입니다. 기술 스택은 다음과 같습니다:

비밀 정보 스캐닝 (Secret scanning): Gitleaks가 저장소에 커밋된 자격 증명(Credentials)을 스캔합니다.

의존성 CVE: Google의 OSV-Scanner가 락파일(Lockfiles)을 읽고 이를 OSV.dev 오픈 취약점 데이터베이스와 대조합니다.

SAST + 커버리지 (coverage): 자체 호스팅되는 SonarQube Community Edition을 사용합니다. 버그, 스멜(Smells), 취약점에 대한 정적 분석(Static analysis)과 더불어 테스트 커버리지 수집 및 품질 게이트(Quality gate) 강제를 수행합니다.

SBOM 생성: cdxgen을 통한 CycloneDX가 전이적 의존성(Transitive dependencies)을 포함한 모든 의존성의 기계 판독 가능한 인벤토리를 생성합니다. 실질적인 가치는 다음과 같습니다:

"다음 Log4Shell 취약점이 터졌을 때, 며칠이 아니라 단 몇 초 만에 '우리가 영향을 받는가?'라는 질문에 답할 수 있습니다."

SBOM 관리: SBOM 저장소로서 OWASP Dependency-Track을 사용합니다.

릴리스 흐름 (Release flow):

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0