오픈서치, 엔터프라이즈용 18개월 LTS 프로그램 공개

• 오픈서치 소프트웨어 재단(OpenSearch Software Foundation)이 기업용 장기 지원(LTS) 프로그램을 공개함
  • 주요 버전마다 최소 18개월 지원 제공
  • 첫 LTS 대상은 오픈서치 2.19와 3.6
• 오픈서치를 운영에 올린 기업 입장에서 "언제까지 패치 받을 수 있는지"를 이제야 명시적으로 약속받게 됨
  • 검색, 로그 분석, 관측 가능성, 벡터 DB 업무가 AI 서비스와 엮이면서 플랫폼 장애=서비스 품질 문제로 직결
  • 지금까지는 오픈소스 특유의 "버전 갈아타기 지옥"이 엔터프라이즈 도입을 막는 요인이었음

핵심 약속 3가지

• 예측 가능한 지원 주기 — 주요 버전별 지정 LTS 릴리스, 최소 18개월 패치
  • 18개월이면 애플리케이션/보안 로그/운영 지표가 연결된 시스템 업그레이드 계획 세우기에 숨통이 트임
• SBOM 기반 보안 준수 — 약 150개 오픈서치 저장소 전체를 스캔해 소프트웨어 자재명세서(SBOM) 구축
  • 기업 보안팀이 "우리 환경에 어떤 오픈소스 컴포넌트 들어있냐"를 감사·규제 대응용으로 바로 뽑을 수 있음
• 취약점 대응 SLA — 공개된 중·고위험 취약점은 60일 이내 처리 요구, 조기 보안 취약점 알림 도입

벤더 중립성: 단일 공급자 종속 방지

• 첫 공인 LTS 제공사는 빅데이터 부티크, 엘리아트라, 리졸브 테크놀로지 3곳
  • 재단이 인증·승인 절차를 거친 벤더에 상용 LTS를 맡겨, 기업이 한 벤더에 묶이지 않게 함
• 모든 LTS 관련 개발은 업스트림 기여 의무 — 개선 사항은 전체 커뮤니티에 환원됨
  • 상용 지원 받으면서도 포크나 프로프라이어터리 확장으로 빠지지 않게 막는 장치

3.6은 AI 검색 플랫폼 베이스캠프

• 오픈서치 3.6이 첫 장기 지원 버전으로 지정됨
  • AI 기반 검색 기능, 오픈서치 관측 가능성 스택(OpenSearch Observability Stack) 지원
  • 검색·관측 가능성·AI 실행을 하나의 운영 기반으로 묶는 방향
• 비앙카 루이스 전무이사 "기업이 AI 기반·미션 크리티컬 업무를 배포하면서 유연성과 신뢰성을 결합한 오픈소스 인프라 수요가 커지고 있다"
  • 아틀라시안, 우버 등이 이미 프로덕션에 활용 중

---

기술 맥락

오픈서치는 2021년 AWS가 일래스틱서치의 SSPL 라이선스 전환에 반발해 아파치 2.0 기반으로 포크한 검색/분석 엔진이에요. 검색, 관측 가능성, 벡터 검색까지 한 플랫폼으로 커버하려다 보니 덩치가 커졌고, 지금은 아파치 루씬 위에서 REST API로 접근하는 거의 표준급 오픈소스가 됐어요.

LTS(Long-Term Support) 프로그램이 왜 지금 필요한지는 운영 관점에서 봐야 이해가 돼요. 엔터프라이즈에서는 "버전 하나 올릴 때마다 전면 재검증" 같은 비용이 엄청나서, 한 번 올린 버전을 18개월 이상 패치 받으면서 쓸 수 있는지가 도입 의사결정의 핵심 변수예요. 레드햇 RHEL이 14년 수명 주기를 내세우는 것도 같은 맥락이거든요.

SBOM(Software Bill of Materials)은 요즘 미국 행정명령이나 EU CRA 같은 규제가 강제하기 시작한 항목이에요. "이 소프트웨어 안에 어떤 오픈소스 라이브러리가 몇 버전으로 들어있냐"를 기계가 읽을 수 있는 형식으로 출력하는 건데, 공급망 공격 이후로 보안팀이 요구하는 기본 산출물이 됐어요.

특히 재단이 "업스트림 기여 의무"를 벤더 인증 조건으로 붙인 게 포인트예요. 특정 벤더가 LTS 포크 만들어서 고객 묶어두는 걸 구조적으로 막는 장치라, 오픈소스 재단형 거버넌스의 모범 사례로 자주 인용될 거예요.