전 세계 수많은 시스템과 애플리케이션에 필수적으로 사용되는 오픈소스 프로젝트 cURL(컬)이 2026년 7월 한 달간 보안 취약점 보고 접수를 받지 않겠다고 선언했습니다. 일명 'cURL 서머 오브 블리스(Summer of Bliss)'로 명명된 이 기간 동안, cURL 프로젝트는 해커원(HackerOne) 제출 양식과 보안 이메일 주소를 통한 모든 취약점 보고를 일시 중단합니다. 이는 프로젝트 유지보수자들이 휴식을 취하고 번아웃을 방지하기 위한 과감한 결정입니다.
cURL 개발팀은 지난 4개월간 엄청난 보안 취약점 보고 압박에 시달려왔으며, 이로 인해 피로도가 극심한 상태라고 밝혔습니다. 2026년 7월 1일 00:00 CEST부터 8월 3일 09:00 CEST까지 약 한 달간 보고 접수를 중단하며, 이 기간 동안 발견된 모든 보안 문제는 8월 3일 이후에나 보고할 수 있습니다. 다만, 유료 지원 계약을 맺은 고객에게는 예외 없이 서비스가 제공됩니다. 또한, 이번 조치의 여파로 다음 릴리스인 8.22.0 버전의 출시일도 2주 연기되어 2026년 9월 2일로 예정되었습니다.
이번 cURL의 결정은 오픈소스 프로젝트의 지속 가능성과 개발자들의 복지 문제에 대한 중요한 메시지를 던집니다. 무상으로 제공되는 오픈소스 소프트웨어의 중요성이 커지는 만큼, 이를 유지보수하는 소수 개발자들의 헌신에만 의존하는 현 구조의 한계를 보여주는 사례입니다. 이는 다른 오픈소스 프로젝트들에게도 '서머 오브 블리스'와 같은 휴식 기간 도입을 고려하게 할 수 있으며, 장기적으로는 오픈소스 생태계의 건강한 발전을 위한 새로운 지원 모델이나 보상 체계에 대한 논의를 촉발할 수 있습니다.