Cal.com, 오픈소스 접고 클로즈드로 전환 — 'AI가 코드 뒤지는 시대라서'

• 일정 예약 SaaS로 유명한 Cal.com이 오픈소스를 포기하고 클로즈드 소스로 전환함 — 창업 이래 오픈소스를 핵심 가치로 내세워온 회사의 180도 선회
  • 창립자가 직접 블로그에 "쓰기 쉬운 글이 아니다"라며 결정을 공개. 이유는 단 하나, 보안
  • 대신 MIT 라이선스로 Cal.diy라는 별도 버전을 공개하여 오픈소스 커뮤니티는 유지. 다만 프로덕션 코드와는 상당히 갈라진 상태 (인증/데이터 처리 같은 핵심 시스템은 완전히 재작성됨)

왜 지금 닫는가 — AI가 바꾼 보안 판도

• 과거엔 오픈소스 취약점 공격이 "숙련된 해커가 수년간 시간을 들여야 하는 일"이었음. 사람은 모든 걸 뒤질 인내심이 없었으니까
  • 이제 AI가 오픈소스 코드베이스를 통째로 스캔해서 취약점을 체계적으로 뽑아낼 수 있음
  • Cal.com 표현으로는 "오픈소스 = 공격자에게 금고 설계도 넘기는 것"
• 최근 몇 달 사이 AI 보안 스타트업들이 이 기능을 제품화하면서 상황이 더 꼬임
  • 플랫폼마다 서로 다른 취약점을 뱉어내서, 뭐가 진짜 안전한지 단일 진실 소스를 만들기 어려워짐
  • "계속 오픈으로 두면 위험 증가, 닫으면 리스크 감소" 사이에서 후자를 택함

이건 Cal.com만의 이야기가 아니다

• 창립자는 "언젠가 보안 환경이 바뀌면 오픈소스로 돌아오고 싶다"고 여지를 남김 — 영구 결별이 아니라 '지금은 어쩔 수 없다' 톤
• 오픈소스 SaaS의 근본적 딜레마를 수면 위로 끌어올린 사건
  • 민감 데이터를 다루는 앱일수록 "코드 공개 = 고객 리스크"라는 주장이 설득력을 얻는 중
  • 반대편에선 "보안을 코드 은폐에 기대는 건 security through obscurity 아니냐"는 반박이 나올 수 있음

---

기술 맥락

• Cal.com은 Calendly 같은 일정 예약 SaaS인데, 창업 때부터 "오픈소스 Calendly"를 내세워 성장해왔어요. 그래서 이번 전환이 단순한 기술 선택이 아니라 브랜드 정체성 자체를 흔드는 결정이에요. "Why"를 길게 쓴 이유도 그 때문이고요.

• AI가 취약점을 찾는 속도가 왜 문제냐면, 기존 responsible disclosure 모델이 사람 속도를 전제로 설계됐거든요. 패치 배포 전에 공격자가 먼저 찾을 확률이 낮다는 가정 위에 굴러갔는데, AI가 몇 시간 단위로 익스플로잇을 뽑아내면 그 전제가 무너져요.

• Cal.diy를 MIT로 내놓은 건 꽤 실용적인 타협이에요. 완전히 닫으면 커뮤니티 반발이 크니까 "취미/실험용 버전"을 남겨두되, 프로덕션에서 실제 고객 데이터를 다루는 인증·데이터 레이어는 따로 가져가는 거죠. 일종의 듀얼 트랙인데, 업계에서 비슷한 패턴(예: Redis, Elastic, HashiCorp의 라이선스 전환)이 최근 몇 년 계속 나오고 있어요.

• 주의해서 볼 지점은 "보안이 이유"라는 프레이밍이에요. 과거 OSS→상용 전환은 대부분 경쟁사 무임승차 때문이었거든요(AWS가 Elastic 뜯어다 파는 식). Cal.com은 그걸 전면에 꺼내지 않고 AI 보안 이슈로 포장했는데, 앞으로 다른 회사들이 이 프레임을 복사해서 쓸 가능성이 커요.