워드프레스(WordPress) 창시자인 맷 뮬렌웨그가 워드프레스 전문 호스팅 서비스인 WP엔진(WP Engine)을 강력히 비판하고 WP엔진으로부터의 접근을 차단했다. 이 문제에 이어 뮬렌웨그가 WP엔진이 소유한 유명 플러그인인 ACF(Advanced Custom Fields)를 포크했다고 발표했다.
지난 10월 12일 뮬렌웨그는 ACF를 SCF(Secure Custom Fields”)는 새로운 플러그인으로 포크할 것이라고 발표했다. 뮬렌웨그는 ACF를 SCF로 포크하는 이유로 ACF 업데이트가 WP엔진 웹사이트에서 직접 이뤄지게 된 걸 들었다. 이는 워드프레스가 WP엔진으로부터의 접근을 차단한 것으로 인해 발생한 문제이며 ACF는 10월 3일 해당 변경을 발표했다.
이에 워드프레스는 WordPress.org 업데이트 서비스를 사용할 경우 플러그인을 업데이트하면 ACF가 SCF로 전환되도록 했다고 발표했다. WordPress.org를 통해 플러그인을 자동 업데이트하는 웹사이트도 이 프로세스에 의해 플러그인이 ACF에서 SCF로 자동 전환될 것이다.
뮬렌웨그는 SCF에 대해 보안 문제를 수정하기 위한 최소한의 변경이 이뤄진 것이라고 설명했다. 또 ACF에서 SCF로 전환됨에 따라 SCF는 비상업용 플러그인이 되므로 유지보수 및 개선에 참여하고 싶은 개발자를 모집하고 있다.
과거 유사한 사례가 있었지만 이 정도로 대규모는 아니었다고 뮬렌웨그는 설명하며 WP엔진의 법적 공격으로 인해 발생한 드문 이례적인 상황이며 다른 플러그인에서 이런 일이 일어날 것으로 예상하지 않는다고 말했다.
하지만 ACF 개발팀은 ACF 플러그인을 뮬렌웨그에게 도용당했다고 주장하는 블로그를 공개했다. ACF는 20만 줄 이상 코드를 가진 정교한 플러그인으로 워드프레스 사용자를 위해 2011년부터 개발되어 왔다. ACF는 WP엔진에 인수된 이후 지난 2년간 15회 이상 릴리스를 진행하며 지속적으로 새로운 기능을 추가해 왔다고 한다.
이 ACF 플러그인이 개발 팀 동의 없이 WordPress.org에 무단으로 포크됐다고 개발 팀은 주장하고 있다. ACF 개발 팀은 워드프레스 21년 역사상 개발 중인 플러그인이 제작자 동의 없이 일방적으로 가져가진 적은 한 번도 없었다며 워드프레스 측 일방적인 조치를 비판했다.
개발 팀은 뮬렌웨그의 행동은 우려스러운 것이며 워드프레스 생태계 전체를 뒤집고 회복 불가능한 피해를 줄 중대한 위험이 있다면서 많은 플러그인 개발자 및 기여자가 플러그인을 함께 공유한다는 정신 아래 운영해 온 이 오픈 플랫폼을 뮬렌웨그는 일방적으로 통제하려 하고 있다면서 그의 시도는 심각한 신뢰 악용, 다양한 이해상충, 그리고 커뮤니티에서의 개방성과 성실성에 대한 약속을 저버리는 것이라며 뮬렌웨그를 비판했다.
ACF 측 비판에 대해 워드프레스는 이런 상황은 과거에도 여러 차례 있었으며 디렉토리에 참여해 동의하게 되는 가이드라인에 따른 행위라면서 자사는 이용 가능한 최고 GPL 코드를 사용해 사용자에게 훌륭한 버전을 만들 수 있기를 기대한다며 가이드라인에 따른 정당한 포크라고 주장하고 있다.
워드프레스가 포크 근거로 제시한 건 워드프레스 플러그인 가이드라인에 있는 플러그인 디렉토리를 최대한 유지할 권리를 보유한다는 항목이다. 이 가이드라인에는 플러그인 품질 및 플러그인 사용자 안전을 확보하기 위해 워드프레스 측이 보유한 권리가 명시되어 있으며 공공 안전을 위해 개발자 동의 없이 플러그인에 변경을 가할 권리를 워드프레스 측이 갖고 있다고 기재되어 있다.
한편 워드프레스으 WP엔진으로부터의 접근 차단 및 일방적인 ACF 포크에 대해 베이스캠프(Basecamp) 개발자인 데이비드 하이네마이어 한슨은 메타가 마이크로소프트와 법정 싸움을 벌였는데 마이크로소프트가 깃허브에서 메타 직원이 사용하는 저장소에 대한 접근을 전면 금지하고 메타 리액트(React) 저장소를 탈취해 자사 프로젝트로 포크하는 것과 같다고 설명했다. 더 나아가 오픈소스 코드 레지스트리를 무기로 삼는 건 결코 허용될 수 없으며 레지스트리는 중립적인 영역으로 남아있어야 한다며 이 문제는 워드프레스와 WP엔진만의 문제가 아니라 오픈소스 프로젝트 전체에 영향을 미칠 수 있는 것이라고 주장했다.
이 주장에 대해 뮬렌웨그는 한슨은 오픈소스 전문가라고 주장하지만 그의 유해한 성격과 팀을 확장시키는 능력 부족으로 인해 그는 약 5조 달러 상당인 뛰어난 아이디어를 발명했음에도 불구하고 그 가치 대부분을 다른 사람에게 빼앗겼다고 주장했다. 또 한슨과 같은 똑똑한 사람이 WP엔진 측 시시한 수법에 속아 상표가 아닌 GPL 코드나 포크 문제로 화제를 돌리는 건 놀랍다고 말했다.
We have been made aware that the Advanced Custom Fields plugin on the WordPress directory has been taken over by WordPress dot org.
— Advanced Custom Fields (@wp_acf) October 12, 2024
A plugin under active development has never been unilaterally and forcibly taken away from its creator without consent in the 21 year history of… pic.twitter.com/eV0qakURLc
이에 대해 한슨은 쇼피파이, 깃허브, 구스토, 젠데스크, 인스타카트, 프로코어, 독시미티, 코인베이스 등 기업이 레일(Rails)을 사용해 수십억 달러 평가액을 얻었다고 하는 걸 자랑스럽게 생각한다며 지난 20년간 진화와 유지보수를 계속해온 웹 애플리케이션 프레임워크로 이 정도 가치가 창출된 걸 보는 것은 더할 나위 없는 만족감이며 평생의 작업이 실현된 것 같아 훌륭한 훈장이라고 할 수 있다면서 지금까지의 일에 후회는 없다고 했다.
한편 한 소프트웨어 개발자도 인기 있는 플러그인을 일방적으로 탈취하는 건 미친 짓이며 공급망 공격과 어떻게 다른지 이해할 수 없다며 애초 탈취 원인을 만든 건 WP엔진으로부터의 접근을 차단한 WordPress.org 자신이라면서 워드프레스는 우연히 ACF에 경미한 취약점을 발견했고 ACF는 워드프레스로부터 접근을 차단당해 플러그인을 업데이트할 수 없다면서 이를 이유로 워드프레스는 ACF 플러그인을 탈취하려 하고 있는 것이라고 말했다. 관련 내용은 이곳에서 확인할 수 있다.