LWN Weekly Report: 2026년 7월 2일 주요 뉴스

2026년 7월 2일 LWN.net 위클리 에디션 주요 내용이다. Debian에서 벌어진 “protestware” 논란, Git 2.55 신규 기능, 커널 slab 할당자 하드닝, 7.2 머지 윈도우 마무리, Secure Boot 인증서 만료 대응, MinIO 대안 오브젝트 스토리지까지 다룬다.

Debian: xsnow “protestware” 논란

X11 데스크톱에 눈 내리는 효과를 보여주는 xsnow 패키지에서 정치적 메시지를 담은 숨은 동작이 발견돼 논쟁이 됐다. src/scenery.c에는 로케일이 러시아어(“ru”)로 설정된 경우 우크라이나 국기 장식(extratree.xpm)이 30% 확률로, 그 외 언어에서는 2% 확률로 나타나도록 만든 조건문이 있다. 사용자 Alexander Ivanov는 이 동작이 Debian Free Software Guidelines(DFSG)의 5항(개인/집단 차별 금지)과 6항(활동 분야 차별 금지)을 위반한다며 Debian 개발자 메일링 리스트에 문제를 제기했다.

Debian 개발자 Chris Hofstaedtler와 Russ Allbery는 DFSG가 라이선스의 차별 금지를 규정할 뿐 소프트웨어의 동작 자체를 규제하지 않는다고 반박했다. 다만 Allbery는 “사용자가 예상할 수 없는 방식으로 로케일이나 사용자명 등에 따라 숨겨진 동작이 바뀌는 소프트웨어는 Debian 아카이브에 두고 싶지 않은 종류”라며, DFSG 위반은 아니어도 바람직하지 않은 관행이라는 점은 인정했다. 패키지 메인테이너 Willem Vermin이 곧 xsnow 프로젝트 upstream 메인테이너이기도 해 정식 버그 리포트 없이 논쟁만 오간 채 마무리됐다. Debian은 과거 “offensive” fortune 패키지 제거나 systemd의 /run/lock 권한 변경 롤백처럼, 필요하면 메인테이너 결정을 뒤집은 선례가 있지만 이번 건은 정식 버그 리포트가 없어 실제 조치로 이어지지 않았다.

Git 2.55에서 달라지는 것들

Git v2.55.0-rc2가 6월 23일 나왔다. 2.54에서 실험적으로 도입된 git historygit rebase와 비슷하게 히스토리를 재작성하지만, 수정된 커밋을 기준으로 삼는 모든 로컬 브랜치를 함께 rebase한다는 차이가 있다(현재 브랜치만 제한하려면 --update-refs=head 사용). 2.55에는 git history reword에 이어 커밋의 코드 변경만 다시 적용하는 git history fixup이 추가된다.

git add foo.c
git history fixup abcdef01

지정한 커밋(abcdef01)이 foo.c를 변경한 이력에 새 수정 사항을 합치고, 이 커밋에서 파생된 모든 브랜치를 새 버전 위로 rebase한다. --reedit-message를 주지 않으면 커밋 메시지는 그대로 유지되며, 충돌이 나면 명령은 그냥 중단된다.

그 외 주요 변경으로 ▲커밋 ID를 원하는 포맷 문자열로 출력하는 git format-rev ▲파일시스템 변경 감지를 빠르게 하는 fsmonitor 데몬의 Linux 구현 ▲여러 remote를 그룹으로 묶어 한 번에 push하는 git push new-remote ▲설정으로 병렬 실행 가능한 Git hook ▲git rev-list/git log--max-count-oldest 옵션(범위 내 가장 오래된 N개 커밋 조회)이 있다.

커널 하드닝: 타입 기반 slab 파티셔닝

커널의 slab 할당자는 동일 크기 버킷에서 서로 다른 타입의 객체를 함께 할당하기 때문에, 버퍼 오버런이 발생하면 무관한 타입의 객체를 덮어쓸 위험이 있고 heap-spraying 공격에도 취약하다. 2023년 병합된 기존 하드닝 방식은 호출 사이트를 기준으로 16개 슬랩에 랜덤 분산하는 방식이었지만, 확률적 방어라서 16번에 1번은 취약한 객체와 대상 객체가 같은 슬랩에 놓일 수 있었다.

7.2에 병합된 Marco Elver의 타입 기반 slab 파티셔닝은 Clang 23의 allocation tokens 기능(__builtin_infer_alloc_token())을 활용해 호출 사이트가 아니라 객체 타입 자체로 토큰을 생성한다. 같은 타입의 객체는 호출 사이트가 여러 곳이어도 항상 같은 파티션에서 할당되며, 포인터를 포함하는 타입과 그렇지 않은 타입의 토큰 공간을 분리해 포인터 값을 노린 오버라이트를 더 어렵게 만든다. 다만 타입-파티션 매핑이 결정론적이라 공격자가 예측할 수 있다는 단점이 있어, 기존의 랜덤 파티셔닝도 설정 옵션으로 계속 남겨뒀다. 배포판은 어떤 방식을 기본으로 쓸지 선택해야 한다. 부팅 시점에 구조체 레이아웃을 랜덤화하는 bootpatch-SLR 프로젝트는 이보다 긴 호흡으로 진행 중이다.

Linux 7.2 Merge Window 마무리

Linus Torvalds가 6월 28일 7.2-rc1을 내며 머지 윈도우를 닫았다. 최종 13,412개의 non-merge 커밋이 들어가 2024년 6.7(bcachefs 전체 이력 2,800개 포함 15,418개) 이후 가장 바쁜 머지 윈도우가 됐다.

코어 커널 / 메모리 관리

  • swap 서브시스템 정리 작업 지속 — anonymous/shared-memory folio 처리 코드를 통합해 메타데이터 오버헤드를 거의 0에 가깝게 줄임
  • khugepaged가 multi-size transparent huge page(mTHP)를 자동 생성 가능
  • large folio를 지원하지 않는 파일시스템을 위한 read-only page cache THP 우회 옵션 제거 (일부 파일시스템 성능 저하 가능)

파일시스템 / 블록 I/O

  • RAM 16GB 이상 시스템에서 NFS 전송 기본 블록 크기 4MB로 증가
  • SMB 서버가 압축 저장 파일과 네트워크 전송 압축을 지원
  • NTFS 드라이버가 온디스크 메타데이터 손상에 대한 방어력을 강화하고 Windows 네이티브 심볼릭 링크 처리 지원
  • 2년간 deprecated 상태였던 EROFS의 fscache 백엔드 제거

이외에도 다양한 신규 하드웨어 지원(Qualcomm SoC 계열, Canaan Kendryte K230, Wacom W9000 터치스크린 등)이 포함됐다. 상세 목록은 원문을 참고할 것.

Secure Boot 인증서 만료, 지금 챙겨야 할 것

Microsoft Corporation UEFI CA 2011 인증서가 6월 26일(시간대에 따라 27일) 만료됐다. UEFI Secure Boot는 shim → 배포판 부트로더(GRUB) → 커널 순으로 신뢰 체인이 이어지는데, Microsoft는 이 중 shim만 서명한다. UEFI 스펙의 이미지 검증은 서명 인증서가 db(허용 목록)에 있고 dbx(금지 목록)에 없는지만 확인할 뿐 유효기간을 검사하지 않으므로, 이미 부팅에 성공한 기존 시스템은 인증서 만료와 무관하게 계속 부팅된다.

문제가 생기는 경우는 신뢰 저장소에 2023 인증서(2038년 만료)가 없는 상태에서, 시스템 업그레이드나 새 설치로 2023 인증서로만 서명된 새 shim을 받는 상황이다. 2025년 10월부터 Microsoft는 shim 제출마다 2011/2023 두 서명본을 함께 내려줬지만, 이번 만료로 그 이중 서명 기간이 끝나 앞으로는 2023 서명본만 발급된다. 배포판·이미지 빌드 파이프라인을 운영 중이라면 신뢰 저장소에 2023 인증서가 반영돼 있는지 지금 확인해야 하며, 오래된 설치 미디어나 에어갭 환경처럼 신뢰 저장소 갱신이 늦는 곳일수록 리스크가 크다.

MinIO 대안: Ceph와 Garage

S3 호환 오브젝트 스토리지로 널리 쓰이던 MinIO는 2025년 12월 유지보수 모드 전환이 발표된 뒤 2026년 2월 완전히 아카이브됐다. 회사는 후속으로 자체 proprietary 제품을 권장할 뿐 오픈소스 버전 업데이트는 중단한 상태다. Ruohang Feng이 유지하는 포크 Silo가 있지만 버그·보안 수정만 다루고 신규 기능 개발은 범위 밖이라고 밝혔다.

대안으로 꼽히는 두 프로젝트는 CephGarage다. 둘 다 S3 API 호환성을 제공하지만 지향점이 다르다. MinIO의 장점이었던 손쉬운 설치, 가벼운 하드웨어 요구사항, replication 또는 erasure coding 기반 내결함성을 각 대안이 어떻게 재현하는지가 선택의 핵심 기준이 된다. air-gapped 환경처럼 외부 인프라에 의존할 수 없는 경우와 단순히 클라우드 종속을 피하려는 경우 모두 오브젝트 스토리지 자체 호스팅이 여전히 필요한데, 대규모 클러스터 운영 경험이 있다면 Ceph가, 가볍고 단순한 배포를 원한다면 Garage가 적합한 선택지로 소개된다.

그 외 소식: LSFMM+BPF·OSPM 서밋 후속 보도

2026년 5월 자그레브에서 열린 LSFMM+BPF 서밋과 4월 케임브리지에서 열린 OSPM 서밋의 후속 세션 정리 기사도 이어졌다.

  • writeback 조기 시작: NFS 서버(NFSD)에 추가된 dontcache/direct I/O debugfs 인터페이스로 실험한 결과, dontcache 방식이 쓰기 워크로드에서 특히 성능이 나빴다(NFS 클라이언트가 여러 스레드로 병렬 쓰기를 보내는 방식과 맞지 않음). 관련 수정 패치가 진행 중이다.
  • BPF local storage 락 경합: local storage는 동시 접근 방지용 일반 락과 데드락 방지용 per-CPU 락 두 개로 보호되는데, 이 락 경합 때문에 BPF 셀프 테스트가 간헐적으로 실패하는 문제가 발견됐다. 네트워킹 서브시스템에서의 local storage 사용 패턴을 포함해 효율화 방안이 논의됐다.
  • GPU-aware sched_ext 스케줄링: 멀티 GPU·멀티 NUMA 환경에서 CPU-GPU locality를 자동으로 맞춰주는 scx_cosmos 기반 실험적 스케줄러. Rust로 작성된 사용자 공간 컴포넌트가 NVML로 태스크별 GPU 사용률을 추적해 BPF 맵에 선호 NUMA 노드를 기록하고, sched_ext 스케줄러가 이를 참고해 태스크를 GPU 인접 CPU로 옮긴다.

이번 주 핵심 요약

  • Debian xsnow 사건은 DFSG 위반은 아니라는 결론에 가깝지만, 로케일 기반 숨은 동작 자체의 바람직함에 대한 논쟁은 정식 버그 리포트 없이 흐지부지됐다.
  • Git 2.55는 git history fixup, Linux fsmonitor, remote group push 등 실무에 바로 쓸 수 있는 기능을 추가한다.
  • 커널 7.2는 타입 기반 slab 파티셔닝으로 힙 익스플로잇 완화를 한 단계 진전시켰다. 13,412개 커밋으로 6.7 이후 최대 규모 머지 윈도우.
  • Secure Boot 2011 인증서 만료로 이중 서명 기간이 끝났다. 신뢰 저장소에 2023 인증서가 있는지 지금 확인해야 새 shim 배포 시 부팅 실패를 피할 수 있다.
  • MinIO 아카이브 이후 Ceph·Garage가 유력한 대안으로 떠올랐다. 클러스터 규모와 운영 복잡도에 따라 선택이 갈린다.

원문: LWN.net Weekly Edition for July 2, 2026

답글 남기기