미국 정부 보조금 프로그램에서 PSF가 150만 달러 제안서를 철회

• 파이썬 소프트웨어 재단(PSF)은 Python과 PyPI의 보안 취약점 개선을 목표로 미국 국립과학재단(NSF)에 제출한 150만 달러 규모의 제안서를 철회함
• NSF의 ‘오픈소스 생태계의 안전·보안·프라이버시(SAFE OSE)’ 프로그램에 처음으로 지원했으나, 보조금 수락 조건 중 DEI(다양성·형평성·포용성) 활동 제한 조항이 문제가 됨
• 해당 조항은 PSF 전체 활동에 적용되며, 위반 시 이미 지급된 자금의 환수(claw back) 가능성을 포함해 재정적 위험이 컸음
• PSF는 DEI를 핵심 가치로 명시한 미션에 따라 조건 수용을 거부하고, 이사회 만장일치로 철회 결정을 내림
• 이번 결정은 PSF의 재정에 부담을 주지만, 가치와 공동체 원칙을 지키는 선택으로 평가됨

제안서 제출 배경과 목표

• 2025년 1월, PSF는 NSF의 SAFE OSE 프로그램에 제안서를 제출해 Python 및 PyPI의 구조적 보안 취약점 해결을 목표로 함
  • 이는 PSF가 처음으로 정부 보조금에 지원한 사례로, 소규모 팀이 복잡한 행정 절차를 학습하며 진행한 과정임
  • 제안서 작성은 Seth Larson(보안 개발자) 이 주도하고, Loren Crary(부전무이사) 가 공동 책임자로 참여
• PSF는 제안서가 프로그램 취지에 부합하며, 채택 시 커뮤니티에 큰 이익을 가져올 것으로 판단해 상당한 시간과 노력을 투자함

제안서 승인과 문제 발생

• 수개월의 심사 끝에 제안서는 자금 지원 권고(recommended for funding) 를 받았으며, 이는 신규 지원자 중 36%만이 첫 시도에 성공하는 드문 사례였음
• 그러나 보조금 수락 조건에서 문제가 발생함
  • 조건에는 “DEI(다양성·형평성·포용성) 또는 차별적 평등 이념을 촉진하는 프로그램을 운영하지 않는다”는 문구가 포함됨
  • 이 조항은 보조금으로 수행되는 보안 프로젝트뿐 아니라 PSF 전체 활동에 적용됨
  • 위반 시 NSF가 이미 지급된 자금을 환수(claw back) 할 수 있어, 무제한적 재정 위험이 발생할 수 있었음

PSF의 가치와 미션

• PSF는 DEI를 핵심 가치로 명시하고 있으며, 공식 미션 스테이트먼트에서 이를 분명히 밝힘
  • “Python 언어의 발전과 보호, 그리고 다양하고 국제적인 커뮤니티의 성장 지원”이 PSF의 사명으로 규정됨
• PSF는 NSF와의 협의를 통해 조건 해석을 명확히 하고, 유사한 상황을 겪은 The Carpentries 등의 사례를 검토했으나, 가치와 상충되는 조건을 수용할 수 없다고 결론냄
• 결과적으로 PSF는 DEI 활동을 중단하지 않겠다는 입장을 고수하며, 보조금 제안을 철회함

제안된 프로젝트의 기술적 내용

• 제안된 프로젝트는 PyPI의 공급망 공격 방지를 위한 자동화된 사전 검토 도구 개발을 목표로 함
  • 현재 PyPI는 사후적 검토 체계만 운영 중이나, 제안된 시스템은 모든 업로드 패키지를 사전 분석하는 구조
  • 악성코드 데이터셋 기반의 기능 분석(capability analysis) 을 활용해, 잠재적 위협을 조기에 탐지하도록 설계됨
• 이 기술은 PyPI뿐 아니라 NPM, Crates.io 등 다른 오픈소스 패키지 레지스트리에도 적용 가능해, 오픈소스 생태계 전반의 보안 강화에 기여할 잠재력이 있음

재정적 영향과 향후 과제

• PSF는 연간 약 500만 달러 규모의 예산으로 운영되며, 직원 14명의 소규모 조직임
  • 2년간 150만 달러는 PSF 역사상 가장 큰 규모의 보조금이 될 예정이었음
• 그러나 PSF는 재정적 이익보다 가치 실천과 커뮤니티의 자유로운 지원을 우선시함
  • 이사회는 만장일치로 철회 결정을 승인
• 이번 철회로 인해 PSF는 인플레이션, 후원 감소, 기술 산업의 경기 둔화, 글로벌 불확실성 등과 맞물려 재정 압박을 겪고 있음
  • PSF는 회원, 기부자, 기업 후원자에게 지속적 지원과 참여 확대를 요청함
  • 개인은 회원 가입, 기부, 스폰서십 참여를 통해 PSF의 사명과 활동을 지원할 수 있음

결론

• PSF는 재정적 손실보다 조직의 가치와 커뮤니티 원칙을 지키는 선택을 함
• 이번 사례는 정부 보조금 조건이 오픈소스 단체의 자율성과 가치에 미치는 영향을 보여주는 중요한 선례로 평가됨
• PSF는 앞으로도 Python 생태계의 보안 강화와 다양성 증진을 병행하는 방향으로 활동을 지속할 계획임