PSF는 NSF의 SAFE OSE 프로그램 보조금이 권고 승인되었음에도, DEI 프로그램을 금지하는 조건과 자금 환수 조항 등으로 재단 전체 활동과 재정에 중대한 위험이 된다고 판단해 제안을 철회했다. PSF는 미션과 가치를 최우선에 두며 커뮤니티 전반을 지원할 자유를 지키겠다는 입장을 밝혔다.
파이썬 소프트웨어 재단 뉴스: PSF는 미국 정부 보조금 프로그램에 제출한 150만 달러 제안서를 철회했습니다
===============
파이썬 소프트웨어 재단 소식
2025년 1월, PSF는 파이썬과 PyPI의 구조적 취약점을 해결하기 위해 미국 정부 기관인 국립과학재단(NSF)의 Safety, Security, and Privacy of Open Source Ecosystems 프로그램에 제안서를 제출했습니다. 정부 자금에 신청한 것은 PSF로서는 처음이었고, 소규모 팀이 고강도의 절차를 헤쳐 나가는 일은 가파른 학습 곡선이었습니다. PSF Security Developer in Residence인 Seth Larson이 수석 연구책임자(PI), PSF 부전무이사인 Loren Crary가 공동 연구책임자(co-PI)로서 다단계 제안서 작성과 수개월에 걸친 심사 과정을 이끌었습니다. 우리는 PSF의 작업이 해당 프로그램과 매우 잘 맞고, 제안이 채택될 경우 커뮤니티에 돌아갈 이익이 상당하다고 판단해 시간과 노력을 들였습니다.
수개월의 노고 끝에 우리 제안이 자금 지원 권고를 받았다는 소식을 들었을 때 큰 영광이었습니다. 특히 신규 NSF 보조금 신청자가 첫 시도에서 성공할 확률은 36%에 불과합니다. 그러나 보조금을 수락할 경우 동의해야 하는 약관을 제시받았을 때 우려가 생겼습니다. 해당 약관에는 “우리는 현재, 그리고 본 재정 지원 수여 기간 동안, 연방 차별 금지법을 위반하는 차별적 ‘형평성’ 이념을 고취하거나 홍보하는 프로그램 또는 DEI(다양성, 형평성, 포용)를 증진하거나 홍보하는 어떤 프로그램도 운영하지 않으며, 운영하지 않을 것”이라는 진술을 확인한다는 조항이 포함되어 있었습니다. 이 제한은 보조금으로 직접 지원되는 보안 작업에만 국한되지 않고, PSF 전체의 모든 활동에 적용되었습니다. 더 나아가 이 조항을 위반할 경우 NSF는 이미 승인되어 이체된 자금을 “환수(claw back)”할 권리를 갖게 됩니다. 이는 이미 지출한 돈이 다시 회수될 수 있는 상황을 만들며, 막대하고 무기한의 재정적 위험이 됩니다.
다양성, 형평성, 포용은 PSF 가치의 핵심이며, 이는 우리의 미션 선언문에도 분명히 밝혀져 있습니다.
파이썬 소프트웨어 재단의 미션은 파이썬 프로그래밍 언어를 촉진, 보호, 발전시키고, 파이썬 프로그래머들의 다양하고 국제적인 커뮤니티의 성장을 지원하고 촉진하는 것입니다.
보조금이 커뮤니티와 PSF에 지니는 가치를 고려해, 우리는 약관에 대한 명확한 해석을 얻고 우리의 가치와 조화를 이루는 방향을 찾기 위해 최선을 다했습니다. NSF 담당자와 논의했고, 유사한 상황에서 다른 조직들이 내린 결정, 특히 The Carpentries의 사례를 검토했습니다.
그러나 결국 PSF는 다양성, 형평성, 포용을 “증진하거나 홍보”하는 어떠한 프로그램도 운영하지 않겠다는 진술에 동의할 수 없습니다. 이는 우리의 미션과 커뮤니티를 배신하는 일입니다.
이 결정을 내려야만 하는 상황에 놓였다는 사실이 무척 유감입니다. 제안했던 프로젝트는 파이썬과 더 넓은 오픈 소스 커뮤니티에 매우 값진 진전을 제공하여, 수백만 명의 PyPI 사용자를 공급망 공격 시도에서 보호할 수 있다고 믿기 때문입니다. 제안한 프로젝트는 현재의 사후 대응형 심사 방식이 아닌, PyPI에 업로드되는 모든 패키지에 대한 자동 선제 심사를 위한 새로운 도구를 만들고자 했습니다. 이 혁신적 도구는 알려진 악성코드 데이터셋을 기반으로 설계된 기능(capability) 분석에 의존합니다. PyPI 사용자 보호를 넘어, 이 작업의 산출물은 NPM, Crates.io와 같은 모든 오픈 소스 소프트웨어 패키지 레지스트리에도 이전 가능하여 여러 오픈 소스 생태계 전반의 보안을 향상시킬 수 있을 것입니다.
보안상 이점에 더해, 보조금은 PSF 예산에도 큰 도움이 되었을 것입니다. PSF는 비교적 작은 조직으로, 연간 약 500만 달러의 예산과 14명의 직원으로 운영됩니다. 2년에 걸친 150만 달러는 우리에게 상당한 금액이며, 지금까지 받은 지원금 가운데 단연 최대가 될 규모였습니다. 하지만 궁극적으로 작업의 가치나 보조금의 규모보다 더 중요한 것은 우리의 가치를 실천하고 커뮤니티의 모든 부분을 지원할 자유를 지키는 일입니다. PSF 이사회는 신청 철회를 만장일치로 의결했습니다.
NSF 보조금 기회를 포기한다는 것은—인플레이션, 후원 감소, 기술 분야의 경기 압력, 전 세계/지역의 불확실성과 갈등과 맞물려—PSF가 그 어느 때보다 재정적 지원을 필요로 한다는 뜻이기도 합니다. 여러분이 보태 주시는 어떤 도움에도 깊이 감사드립니다. 이미 PSF 회원이시거나 정기 기부자이시라면 진심으로 감사드리며, 왜 PSF를 지원하는지 여러분의 이야기를 널리 알려 주시길 부탁드립니다. 여러분의 이야기는 PSF의 미션과 활동에 대한 인식을 확산하는 데 큰 힘이 됩니다.
PSF를 지원하는 방법:
작성: Loren Crary | 게시 시각: 10/27/2025 08:00:00 AM
파이썬 소프트웨어 재단의 미션은 파이썬 프로그래밍 언어를 촉진, 보호, 발전시키고, 파이썬 프로그래머들의 다양하고 국제적인 커뮤니티의 성장을 지원하고 촉진하는 것입니다.
우리의 미션을 후원해 주신 위의 PSF 후원사 여러분께 진심으로 감사드립니다!
Powered by Blogger.
