FFmpeg 개발자들이 구글에게 요구한 것, 돈 아니면 침묵하라

오픈소스 세계에서 FFmpeg은 미디어 처리의 핵심 동력으로 자리 잡았습니다. VLC 플레이어나 유튜브, 크롬 같은 거대 서비스가 이 프레임워크 없이는 제대로 작동하지 않을 정도로 필수적입니다. 그런데 최근 구글의 AI 기반 보안 도구가 FFmpeg에서 아주 사소한 버그를 찾아 제보하면서 논란이 불거졌습니다.

FFmpeg란

FFmpeg은 오디오와 비디오를 변환하고 스트리밍하며 재생하는 멀티미디어 라이브러리입니다. libavcodec이나 libavformat 같은 모듈이 핵심인데, 이들은 Kodi나 Plex 같은 미디어 센터부터 파이어폭스 브라우저까지 폭넓게 쓰입니다. 인터넷 전체 미디어 인프라를 떠받치는 존재지만, 대부분 자원봉사자들이 유지보수합니다. 재정적으로는 턱없이 부족해, 개발자들이 취미 수준으로 코드를 다듬는 실정입니다. 어셈블리 언어로 된 오래된 코드가 많아 호환성을 위해 모든 포맷을 지원하려 하지만, 이게 오히려 유지보수 부담을 키웁니다. 

무슨일인가요?

FFmpeg 개발자들은 이 제보가 자원봉사자들의 어깨를 무겁게 짓누른다고 반발하며, 구글에게 자금 지원 없이는 더 이상 이런 제보를 하지 말라고 공개적으로 요구했습니다. 

갈등은 구글의 Big Sleep이라는 AI 도구가 촉발했습니다. 이 AI는 DeepMind와 Project Zero가 함께 만든 보안 스캐너로, FFmpeg의 LucasArts Smush 코덱에서 버그를 찾아냈습니다. 문제는 1995년 게임 Rebel Assault 2의 처음 10~20프레임에만 영향을 미치는 중간 수준 취약점이었습니다. FFmpeg 팀은 패치를 적용했지만, 이를 ‘CVE 슬롭’이라고 비판했습니다. 30년 전 유물 같은 코드의 사소한 문제를 AI가 대량으로 쏟아내는 게 실질적 도움이 되냐는 겁니다. 구글은 이 AI가 SQLite나 ImageMagick에서도 성과를 냈다고 자랑하지만, FFmpeg 입장에선 시간 낭비로 느껴진겁니다.

FFmpeg처럼 핵심 프로젝트를 자원봉사자들이 이끌다 보니 부담이 큽니다. 비슷한 사례로 libxml2 유지보수자 Nick Wellnhofer가 반복 제보에 지쳐 프로젝트를 포기 선언했습니다. 매주 보안 이슈 처리에 시간을 빼앗기면 본업 개발이 멉니다. Hacker News 토론에서도 “대기업이 문제만 던지고 해결책 없이 가라앉히려 한다”는 의견이 많았습니다. 아마존조차 FFmpeg 문제로 제품 라인을 멈출 위험이 있어 내부적으로 긴장한 적이 있습니다. 기업들은 FFmpeg을 마케팅 이미지로만 쓰고, 실제 기여는 미미합니다. AI가 대량 CVE를 생성하면서 이 부담은 폭증하고 있습니다. 

해결법 없나

문제를 풀려면 기업의 직접 지원이 필수입니다. 정기 후원, 개발자 파견, 보안 감사 도움 등이 방법입니다. 구글처럼 AI 쓰는 기업이 패치 제안까지 하면 모두 이득입니다. 오픈소스 재단이 중재 역할도 강화해야 합니다. FFmpeg은 “모든 비디오 파일 재생” 목표로 버티지만, 한계가 옵니다. 커뮤니티는 GPL 같은 강한 라이선스 논의도 합니다.

사실 구글만의 문제는 아닙니다. 기업들이 정책 유연성을 보이고 지원 확대하면 좋겠습니다. 보안 전문가들은 “공개가 필요하지만, 패치와 함께”라고 합의합니다. FFmpeg 개발자들이 자발적으로 패치한 건 긍정적입니다. 하지만 대기업 책임 없인 핵심 인프라가 무너질 위험이 큽니다. 이 논쟁이 후원 구조를 바꾸는 신호가 되길 바랍니다.