압박

• curl 유지보수는 공익성, 엔지니어링 도전, 품질 목표가 결합된 전업 작업이 되었고 주 50시간 안팎으로 이어져 왔음
• curl은 약 300억 개 설치 기반을 가진 전송 라이브러리와 도구로, 보안 실패가 사용자에게 번지지 않게 해야 한다는 부담이 큼
• 현재 보안 보고 유입은 2024년보다 4~5배, 2025년의 두 배 수준이며 평균 하루 한 건 이상이라 즉시 처리가 필요함
• 보안 처리는 주장 검증, 중요도 평가, 패치 작성, 도입 시점 파악, 권고문 작성, 연구자·보안팀 소통까지 포함함
• 예정 릴리스까지 이미 확정 취약점 12개가 대기 중이며, 전례 없는 압박 속에서도 자금과 인력 지원의 한계가 드러남

curl에 대한 책임감과 장기 유지보수

• 오픈소스 작업은 돈이나 화려한 생활을 위한 일이 아니라, 사회적 의미와 공익성, 모두에게 동작하게 만드는 엔지니어링 도전 때문에 계속되는 일임
• curl 작업은 2019년부터 전업이 되었고, 보통 주 50시간가량을 쓰며 낮과 늦은 밤, 주중과 주말을 모두 포함해 이어져 왔음
• curl의 목표는 가능한 최고의 전송 라이브러리와 도구가 되고, 오픈소스 품질·성능·보안 측면에서 최상위 프로젝트가 되는 것임
• curl은 한 사람의 프로젝트가 아니며 팀원들이 없었다면 지금의 curl은 없었지만, 많은 사람은 여전히 curl을 Daniel Stenberg 개인과 강하게 연결해 봄
• curl에 대한 비판은 자신이 지지하거나 직접 내린 결정과 선택에 대한 비판처럼 받아들여지며, curl은 삶을 영구히 바꾼 개인적인 프로젝트가 되었음
• 2026년 말에는 curl 프로젝트가 30주년을 맞고, 전 세계 curl 설치 수는 약 300억 개로 언급됨

보안 보고 환경의 변화

• 최근 몇 년간 curl 보안 보고 환경은 어리석은 LLM에 대한 불만에서 AI 슬롭 보고서, 버그 바운티 종료, 2026년 3월경 시작된 고품질 혼란으로 바뀌어 왔음
• 인터넷 제품, 소프트웨어 인프라, 오픈소스에서 큰 보안 실패가 반복될 때마다 curl이 어디에나 있다는 사실과, 그런 일이 curl이나 사용자에게 일어나면 안 된다는 압박이 커짐
• curl 프로젝트는 더 많은 점검, 테스트, 지침을 추가하며 결함이 새거나 침몰할 가능성을 조금씩 줄여 왔음

높은 검증 수준과 남는 위험

• Mythos가 첫 스캔에서 낮은 심각도의 문제 하나만 찾았다는 일 이후, curl이 상상 가능한 수준에서 가장 많이 검토되고 퍼징되고 검증된 코드 중 하나라는 평가가 반복됨
• 이런 상태는 우연이나 행운이 아니라, 수십 년간의 집요한 작업과 세부사항에 대한 주의, 끝나지 않는 반복 개선의 결과임
• 검토와 검증이 많아도 버그나 보안 문제가 없다는 뜻은 아니며, curl은 여러 프로토콜, 운영체제, CPU 아키텍처에서 고도로 병렬적인 네트워킹을 수행하는 수십만 줄의 C 코드임
• 문제는 발견될 때마다 수정되고 패치가 릴리스되는 과정이 반복됨
• 약 300억 개의 전 세계 설치 기반은 휴대폰, 태블릿, 자동차, TV, 프린터, 게임 콘솔, 주방 기기 등에 curl이 여러 번 들어 있을 가능성을 뜻함
• 과거에 큰 버그로 세상이 한동안 불타오르게 만든 프로젝트들은 주목을 받고, 일부는 자금과 인력을 얻어 여러 명의 전업 엔지니어를 고용할 수 있었음

전례 없는 보안 보고량

• 현재 보안 보고 유입 속도는 2024년보다 4~5배 높고, 2025년의 두 배이며, 평균적으로 하루에 한 건이 넘는 보고가 들어옴
• 보고 품질은 이전보다 훨씬 높고, 대개 매우 상세하고 길게 작성됨
• 보고가 계속 들어오기 때문에 가능한 한 도착 즉시 처리해야 하며, 도착 속도와 비슷하게 처리하지 않으면 잠재적 보안 문제 목록이 계속 쌓임
• 통제하지 못하는 잠재 보안 문제 목록은 정신적 부담을 만듦
• 현재 대부분의 시간은 HackerOne에 보고된 보안 이슈 목록을 처리하는 데 쓰임
• 주요 작업은 주장 검증, 중요도 평가, 패치 작성, 버그가 도입된 시점 파악, 취약점 이해, 세부 보안 권고문 작성, 보안 연구자 및 curl 보안팀과의 커뮤니케이션임

건강과 팀에 대한 압박

• 처음으로 배우자가 작업 시간과 불균형한 일·생활 상태를 걱정했고, 주변 사람들도 이 대량 유입을 어떻게 감당하는지와 소진 가능성을 걱정함
• 팀원들에 대한 걱정도 커졌고, 조만간 숨 돌릴 시간을 확보하기 위해 작업 시간을 줄여야 할 수도 있음
• 현재 상황은 curl 프로젝트와 보안팀 구성원이 이전에 겪어보지 못한 압박임
• 보안 이슈 처리는 프로젝트의 다른 모든 일을 제치는 높은 우선순위 작업이며, 책임감과 양심, 작업에 대한 자부심 때문에 무시하지 않음
• curl이 전 세계 기기에 배포된 소프트웨어인 만큼, 그 안의 보안 문제를 고쳐야 한다는 의무감이 강함
• 예정된 릴리스까지 릴리스 주기가 절반가량 남은 시점에 이미 확정 취약점 12개가 있고, 이는 대기 중인 CVE 발표 12건을 뜻함
• 이는 프로젝트 신기록이며, 2026년이 절반도 지나기 전에 공개 CVE가 30건에 도달한다는 뜻임
• 이 추세라면 2026년 전체 curl CVE 공개 수는 최소 그 두 배가 될 것으로 예상됨

필요한 지원과 구조적 한계

• 단기적으로는 이미 처리해야 할 일이 너무 많아 즉각적인 도움을 받기에는 늦은 상태임
• curl 또는 libcurl을 상용 소프트웨어와 서비스에서 사용하고 의존하는 기업들이 더 많이 자금을 지원하면, 더 많은 개발자에게 비용을 지급해 작업 부하를 나눌 수 있음
• 지원 계약을 통해 고용주가 비용을 지불하도록 하는 방식도 가능한 지원 경로임
• 이미 이런 지원을 하는 고객들이 있어 일부 구성원은 curl을 전업으로 작업할 수 있음
• 다만 이 영역에서 의미 있는 변화가 곧 일어날 것이라는 기대는 없고, 전례 없는 상황과 더 어려운 국면에서도 결국 스스로 폭풍을 지나갈 가능성이 큼
• curl 프로젝트는 회사 소유가 아니고 어떤 우산 조직에도 속하지 않음
• 이런 구조는 때로 자원이 부족하게 만들지만, 동시에 최대한의 자유와 유연성을 제공함
• 프로젝트의 행동 기준은 전 세계와 curl 사용자를 위해 curl을 가능한 한 좋게 만드는 데 맞춰져 있음

긍정적인 면과 현재 상태

• 버그와 문제를 고치는 일 자체는 좋은 일이며, 보고된 문제 하나는 곧 수정된 이슈 하나를 의미함
• 보고가 늘수록 curl은 더 나은 제품이 됨
• 최근 몇 년간 발견된 curl 취약점은 모두 심각도가 LOW 또는 MEDIUM으로 평가되었고, 매우 심각한 취약점은 거의 발견되지 않았음
• 앞으로 HIGH가 다시 나오지 않는다는 뜻은 아니지만, 적어도 드문 상태임
• 가장 최근의 높은 심각도 curl CVE는 2023년 10월에 공개된 CVE-2023-38545임
• 현재 curl 팀은 압박을 받고 있으며, 때로 응답이 느릴 수 있음