PostgreSQL 백업의 표준이 멈췄다: pgBackRest 유지보수 중단이 던지는 질문

전 세계 PostgreSQL 운영자들이 가장 많이 쓰던 백업 도구 중 하나가 사실상 멈춰 섰습니다. 이름은 pgBackRest. 들어보지 못하셨더라도 괜찮습니다. 다만 여러분이 쓰는 서비스 뒤에서 누군가의 DB를 매일 밤 지켜주던 도구라는 사실은 알아두시면 좋겠습니다. 그리고 그 도구가 멈추면 어떤 일이 벌어지는지도요.

pgBackRest가 뭐길래 이게 문제인가요

PostgreSQL은 오픈소스 데이터베이스 세계에서 사실상의 표준입니다. 인스타그램, 애플, 레딧 같은 곳들이 다 쓰죠. 그런데 PostgreSQL 자체에는 엔터프라이즈급 백업 기능이 부족합니다. 증분 백업, 병렬 복원, 압축, 암호화, S3 연동 같은 것들 말이죠.

pgBackRest는 바로 그 빈틈을 채워주던 도구였습니다. 10년 넘게 커뮤니티가 의존해온 사실상의 표준이었고, 수많은 클라우드 서비스와 매니지드 PostgreSQL 제품들이 내부적으로 이 도구를 쓰거나 비슷한 방식으로 구현했습니다. 한마디로 인프라의 인프라였습니다.

“더 이상 유지보수되지 않습니다"라는 한 줄

문제의 시작은 단순합니다. 메인테이너가 손을 놓겠다고 선언한 겁니다. 보안 패치도, 신규 PostgreSQL 버전 호환성 작업도, 버그 수정도 더는 보장되지 않습니다.

이게 왜 무서운 일이냐면, 백업 도구는 장애가 났을 때 처음으로 의존하는 존재이기 때문입니다. 평소엔 안 보이지만 사고가 터지면 회사의 운명을 좌우하죠. 그런데 그 도구의 코드베이스에 새로운 PostgreSQL 18, 19가 나왔을 때 호환성을 맞춰줄 사람이 없다면? 보안 취약점이 발견됐는데 패치할 사람이 없다면? 결국 사용 기업들은 직접 포크를 떠서 유지하거나, 다른 도구로 마이그레이션하거나, 아니면 그냥 위험을 안고 가야 합니다.

왜 이런 일이 반복될까요

pgBackRest는 특수한 사례가 아닙니다. 비슷한 일이 계속 반복되고 있습니다. core-js, OpenSSL Heartbleed 시절의 OpenSSL, 작년의 XZ Utils 백도어 사건까지. 패턴은 똑같습니다.

전 세계 수십만 개 기업이 무료로 가져다 쓰는데, 정작 코드를 짜는 사람은 한두 명입니다. 후원금은 미미하고, 본업은 따로 있고, 번아웃은 누적됩니다. 기업들은 “오픈소스니까 공짜"라고 생각하지만, 실제로는 한 사람의 주말 시간에 글로벌 인프라가 매달려 있는 셈이죠.

여기엔 구조적 정보 비대칭이 있습니다. 도구를 쓰는 쪽은 자기가 얼마나 깊이 의존하고 있는지 잘 모릅니다. 의존성 그래프 속에 묻혀 있으니까요. 만드는 쪽은 자기 도구가 얼마나 중요한지 알지만, 그 중요성이 후원이나 채용으로 이어지지 않습니다.

기업들은 뭘 해야 하나

실무자 입장에서 당장 점검해볼 것들이 있습니다.

첫째, 백업 전략 재검토입니다. pgBackRest를 쓰고 있다면 대안을 평가해야 합니다. Barman, WAL-G 같은 도구들이 있고, 클라우드 매니지드 서비스의 자체 백업 기능도 검토 대상입니다. 다만 어떤 대안도 검증된 도구를 그대로 대체하지는 못하니, 충분한 테스트가 필요합니다.

둘째, 의존성 가시화입니다. 우리 회사 인프라가 어떤 오픈소스 도구에 얼마나 깊이 의존하는지, 그 도구의 메인테이너 상태는 어떤지를 정기적으로 체크하는 프로세스가 필요합니다. SBOM(소프트웨어 자재 명세서)이 괜히 강조되는 게 아닙니다.

셋째, 지속가능성에 대한 투자입니다. 핵심 의존성에 대해서는 후원, 컨트리뷰션, 또는 상용 지원 계약 같은 형태로 생태계에 돌려주는 것이 결국 자사 인프라의 보험이 됩니다.

마무리하며

pgBackRest 사건은 단순한 도구 하나의 문제가 아닙니다. 우리가 의존하는 디지털 인프라가 얼마나 얇은 끈에 매달려 있는지를 보여주는 또 하나의 신호입니다.

여러분의 회사는 어떤 오픈소스 도구의 메인테이너가 내일 손을 놓아도 괜찮은가요? 그 질문에 자신 있게 답할 수 없다면, 지금이 점검을 시작할 때입니다.