--- title: "Cal.com, 오픈소스 접고 클로즈드로 전환 — 'AI가 코드 뒤지는 시대라서'" published: 2026-04-15T15:26:46.000Z canonical: https://jeff.news/article/1794 --- # Cal.com, 오픈소스 접고 클로즈드로 전환 — 'AI가 코드 뒤지는 시대라서' 오픈소스 Calendly를 표방하며 성장한 Cal.com이 보안을 이유로 클로즈드 소스 전환을 발표했다. AI가 오픈 코드베이스에서 취약점을 대규모로 찾아내는 시대가 되면서 '코드 공개 = 공격자에게 설계도 제공'이라는 판단을 내렸고, 대신 MIT 라이선스의 Cal.diy를 별도 공개한다. - 일정 예약 SaaS로 유명한 **Cal.com**이 오픈소스를 포기하고 클로즈드 소스로 전환함 — 창업 이래 오픈소스를 핵심 가치로 내세워온 회사의 180도 선회 - 창립자가 직접 블로그에 "쓰기 쉬운 글이 아니다"라며 결정을 공개. 이유는 단 하나, 보안 - 대신 MIT 라이선스로 `Cal.diy`라는 별도 버전을 공개하여 오픈소스 커뮤니티는 유지. 다만 프로덕션 코드와는 상당히 갈라진 상태 (인증/데이터 처리 같은 핵심 시스템은 완전히 재작성됨) ### 왜 지금 닫는가 — AI가 바꾼 보안 판도 - 과거엔 오픈소스 취약점 공격이 "숙련된 해커가 수년간 시간을 들여야 하는 일"이었음. 사람은 모든 걸 뒤질 인내심이 없었으니까 - 이제 AI가 오픈소스 코드베이스를 통째로 스캔해서 취약점을 체계적으로 뽑아낼 수 있음 - Cal.com 표현으로는 "오픈소스 = 공격자에게 금고 설계도 넘기는 것" - 최근 몇 달 사이 **AI 보안 스타트업들이 이 기능을 제품화**하면서 상황이 더 꼬임 - 플랫폼마다 서로 다른 취약점을 뱉어내서, 뭐가 진짜 안전한지 단일 진실 소스를 만들기 어려워짐 - "계속 오픈으로 두면 위험 증가, 닫으면 리스크 감소" 사이에서 후자를 택함 > [!IMPORTANT] > 최근 AI가 BSD 커널에서 **27년 묵은 취약점**을 찾아내고, 동작하는 익스플로잇까지 몇 시간 만에 생성한 사례가 있었음. BSD는 보안 중심으로 유명한 프로젝트라는 점에서 파장이 큼. ### 이건 Cal.com만의 이야기가 아니다 - 창립자는 "언젠가 보안 환경이 바뀌면 오픈소스로 돌아오고 싶다"고 여지를 남김 — 영구 결별이 아니라 '지금은 어쩔 수 없다' 톤 - 오픈소스 SaaS의 근본적 딜레마를 수면 위로 끌어올린 사건 - 민감 데이터를 다루는 앱일수록 "코드 공개 = 고객 리스크"라는 주장이 설득력을 얻는 중 - 반대편에선 "보안을 코드 은폐에 기대는 건 security through obscurity 아니냐"는 반박이 나올 수 있음 --- ## 기술 맥락 - Cal.com은 Calendly 같은 일정 예약 SaaS인데, 창업 때부터 "오픈소스 Calendly"를 내세워 성장해왔어요. 그래서 이번 전환이 단순한 기술 선택이 아니라 브랜드 정체성 자체를 흔드는 결정이에요. "Why"를 길게 쓴 이유도 그 때문이고요. - AI가 취약점을 찾는 속도가 왜 문제냐면, 기존 responsible disclosure 모델이 **사람 속도**를 전제로 설계됐거든요. 패치 배포 전에 공격자가 먼저 찾을 확률이 낮다는 가정 위에 굴러갔는데, AI가 몇 시간 단위로 익스플로잇을 뽑아내면 그 전제가 무너져요. - `Cal.diy`를 MIT로 내놓은 건 꽤 실용적인 타협이에요. 완전히 닫으면 커뮤니티 반발이 크니까 "취미/실험용 버전"을 남겨두되, 프로덕션에서 실제 고객 데이터를 다루는 인증·데이터 레이어는 따로 가져가는 거죠. 일종의 듀얼 트랙인데, 업계에서 비슷한 패턴(예: Redis, Elastic, HashiCorp의 라이선스 전환)이 최근 몇 년 계속 나오고 있어요. - 주의해서 볼 지점은 "보안이 이유"라는 프레이밍이에요. 과거 OSS→상용 전환은 대부분 **경쟁사 무임승차** 때문이었거든요(AWS가 Elastic 뜯어다 파는 식). Cal.com은 그걸 전면에 꺼내지 않고 AI 보안 이슈로 포장했는데, 앞으로 다른 회사들이 이 프레임을 복사해서 쓸 가능성이 커요. ## 핵심 포인트 - Cal.com이 창업 이래 유지해온 오픈소스 노선을 포기하고 프로덕션 코드를 클로즈드로 전환 - 전환 사유는 단 하나, 보안 — AI가 오픈소스 코드베이스를 자동으로 스캔해 취약점을 뽑아내는 시대가 도래 - 최근 AI가 BSD 커널의 27년 묵은 취약점을 찾아 몇 시간 만에 익스플로잇까지 생성한 사례가 결정적 근거 - 커뮤니티를 위해 MIT 라이선스의 Cal.diy를 별도 공개. 단, 프로덕션 코드와는 인증·데이터 처리 부분에서 상당히 갈라짐 - 창립자는 '언젠가 환경이 바뀌면 오픈소스로 돌아오고 싶다'는 여지는 남김 ## 인사이트 경쟁사 무임승차 방지를 위한 라이선스 전환이 유행했던 흐름에서, '보안' 프레임을 꺼낸 첫 대형 사례다. AI 코드 스캐너의 등장이 오픈소스 SaaS 비즈니스 모델 자체를 흔들 수 있다는 신호로 읽힌다.