본문으로 건너뛰기
피드

Cal.com, 오픈소스 접고 클로즈드로 전환 — 'AI가 코드 뒤지는 시대라서'

open-source 약 5분
vote
0
댓글
북마크

오픈소스 Calendly를 표방하며 성장한 Cal.com이 보안을 이유로 클로즈드 소스 전환을 발표했다. AI가 오픈 코드베이스에서 취약점을 대규모로 찾아내는 시대가 되면서 '코드 공개 = 공격자에게 설계도 제공'이라는 판단을 내렸고, 대신 MIT 라이선스의 Cal.diy를 별도 공개한다.

  • 1

    Cal.com이 창업 이래 유지해온 오픈소스 노선을 포기하고 프로덕션 코드를 클로즈드로 전환

  • 2

    전환 사유는 단 하나, 보안 — AI가 오픈소스 코드베이스를 자동으로 스캔해 취약점을 뽑아내는 시대가 도래

  • 3

    최근 AI가 BSD 커널의 27년 묵은 취약점을 찾아 몇 시간 만에 익스플로잇까지 생성한 사례가 결정적 근거

  • 4

    커뮤니티를 위해 MIT 라이선스의 Cal.diy를 별도 공개. 단, 프로덕션 코드와는 인증·데이터 처리 부분에서 상당히 갈라짐

  • 5

    창립자는 '언젠가 환경이 바뀌면 오픈소스로 돌아오고 싶다'는 여지는 남김

  • 일정 예약 SaaS로 유명한 Cal.com이 오픈소스를 포기하고 클로즈드 소스로 전환함 — 창업 이래 오픈소스를 핵심 가치로 내세워온 회사의 180도 선회
    • 창립자가 직접 블로그에 "쓰기 쉬운 글이 아니다"라며 결정을 공개. 이유는 단 하나, 보안
    • 대신 MIT 라이선스로 Cal.diy라는 별도 버전을 공개하여 오픈소스 커뮤니티는 유지. 다만 프로덕션 코드와는 상당히 갈라진 상태 (인증/데이터 처리 같은 핵심 시스템은 완전히 재작성됨)

왜 지금 닫는가 — AI가 바꾼 보안 판도

  • 과거엔 오픈소스 취약점 공격이 "숙련된 해커가 수년간 시간을 들여야 하는 일"이었음. 사람은 모든 걸 뒤질 인내심이 없었으니까
    • 이제 AI가 오픈소스 코드베이스를 통째로 스캔해서 취약점을 체계적으로 뽑아낼 수 있음
    • Cal.com 표현으로는 "오픈소스 = 공격자에게 금고 설계도 넘기는 것"
  • 최근 몇 달 사이 AI 보안 스타트업들이 이 기능을 제품화하면서 상황이 더 꼬임
    • 플랫폼마다 서로 다른 취약점을 뱉어내서, 뭐가 진짜 안전한지 단일 진실 소스를 만들기 어려워짐
    • "계속 오픈으로 두면 위험 증가, 닫으면 리스크 감소" 사이에서 후자를 택함

중요

> 최근 AI가 BSD 커널에서 27년 묵은 취약점을 찾아내고, 동작하는 익스플로잇까지 몇 시간 만에 생성한 사례가 있었음. BSD는 보안 중심으로 유명한 프로젝트라는 점에서 파장이 큼.

이건 Cal.com만의 이야기가 아니다

  • 창립자는 "언젠가 보안 환경이 바뀌면 오픈소스로 돌아오고 싶다"고 여지를 남김 — 영구 결별이 아니라 '지금은 어쩔 수 없다' 톤
  • 오픈소스 SaaS의 근본적 딜레마를 수면 위로 끌어올린 사건
    • 민감 데이터를 다루는 앱일수록 "코드 공개 = 고객 리스크"라는 주장이 설득력을 얻는 중
    • 반대편에선 "보안을 코드 은폐에 기대는 건 security through obscurity 아니냐"는 반박이 나올 수 있음

기술 맥락

  • Cal.com은 Calendly 같은 일정 예약 SaaS인데, 창업 때부터 "오픈소스 Calendly"를 내세워 성장해왔어요. 그래서 이번 전환이 단순한 기술 선택이 아니라 브랜드 정체성 자체를 흔드는 결정이에요. "Why"를 길게 쓴 이유도 그 때문이고요.

  • AI가 취약점을 찾는 속도가 왜 문제냐면, 기존 responsible disclosure 모델이 사람 속도를 전제로 설계됐거든요. 패치 배포 전에 공격자가 먼저 찾을 확률이 낮다는 가정 위에 굴러갔는데, AI가 몇 시간 단위로 익스플로잇을 뽑아내면 그 전제가 무너져요.

  • Cal.diy를 MIT로 내놓은 건 꽤 실용적인 타협이에요. 완전히 닫으면 커뮤니티 반발이 크니까 "취미/실험용 버전"을 남겨두되, 프로덕션에서 실제 고객 데이터를 다루는 인증·데이터 레이어는 따로 가져가는 거죠. 일종의 듀얼 트랙인데, 업계에서 비슷한 패턴(예: Redis, Elastic, HashiCorp의 라이선스 전환)이 최근 몇 년 계속 나오고 있어요.

  • 주의해서 볼 지점은 "보안이 이유"라는 프레이밍이에요. 과거 OSS→상용 전환은 대부분 경쟁사 무임승차 때문이었거든요(AWS가 Elastic 뜯어다 파는 식). Cal.com은 그걸 전면에 꺼내지 않고 AI 보안 이슈로 포장했는데, 앞으로 다른 회사들이 이 프레임을 복사해서 쓸 가능성이 커요.

경쟁사 무임승차 방지를 위한 라이선스 전환이 유행했던 흐름에서, '보안' 프레임을 꺼낸 첫 대형 사례다. AI 코드 스캐너의 등장이 오픈소스 SaaS 비즈니스 모델 자체를 흔들 수 있다는 신호로 읽힌다.

댓글

댓글

댓글을 불러오는 중...

open-source

NIPA, 260명 규모 오픈소스 컨트리뷰션 아카데미 시작

정보통신산업진흥원이 2026 오픈소스 컨트리뷰션 아카데미 발대식을 열고 13주간의 프로젝트 활동을 시작했음. 국내 개발자들이 GitHub 기반 글로벌 협업 환경에서 코드, 문서, 버그 수정, 풀 리퀘스트를 직접 경험하게 하는 프로그램임.

open-source

그누보드7, 디딤과 손잡고 멀티클라우드 도입 문턱 낮춘다

에스아이알소프트가 클라우드 전문기업 디딤과 협력해 그누보드7 기반 웹서비스 구축·운영 환경을 넓히기로 했다. 커뮤니티, 쇼핑몰, 예약, 구독형 서비스 같은 실무 프로젝트에서 서버 구성과 운영 부담을 줄이는 게 핵심이다.

open-source

오픈소스 컨트리뷰션 아카데미 출범, 국내 개발자 260여 명 참여

정보통신산업진흥원이 2026 오픈소스 컨트리뷰션 아카데미 발대식을 열고 13주간의 활동을 시작했다. 11개 프로젝트팀의 멘토와 멘티 260여 명이 글로벌 오픈소스 프로젝트 기여를 목표로 코드 개발, 문서화, 오류 수정 등을 진행한다.

open-source

NIPA, 국내 개발자 260명 규모 오픈소스 컨트리뷰션 아카데미 시작

정보통신산업진흥원이 2026 오픈소스 컨트리뷰션 아카데미 발대식을 열고 국내 개발자의 글로벌 오픈소스 프로젝트 참여를 지원한다. 11개 프로젝트팀, 멘토·멘티 260여 명이 13주 동안 깃허브 기반 협업, 코드 리뷰, 문서화, 오류 수정 등을 실제로 경험한다.

open-source

Ghostty 엔진을 Emacs 안으로 끌고 온 터미널, Ghostel.el

Ghostel.el은 Ghostty의 libghostty-vt를 기반으로 Emacs 안에서 동작하는 터미널 에뮬레이터다. eat 스타일의 여러 입력 모드, 안정적인 복사 모드, line mode, 자동 password prompt 처리, compile-mode 유사 실행 버퍼, Kitty graphics 지원, 높은 throughput을 앞세워 eat/vterm과 차별화함.