네덜란드 정부가 'GitHub 탈출'을 선언했다 — 디지털 주권의 다음 전선은 개발자 인프라

GitHub에서 코드를 호스팅한다는 게 너무 당연해서, 우리는 그게 어디 회사 서비스인지조차 잊고 살았습니다. 그런데 네덜란드 정부가 최근 자체 오픈소스 코드 플랫폼을 띄우면서 이 당연함에 균열을 냈는데요. “우리 정부 코드를 왜 미국 회사 서버에 올려야 하지?“라는 질문, 생각보다 무게가 묵직합니다.

왜 하필 지금, 코드 플랫폼인가

유럽의 디지털 주권 논의는 사실 새로운 게 아닙니다. 클라우드(Gaia-X), 오피스 도구(LibreOffice), 메신저(Matrix)까지 단계적으로 자국화·오픈소스화 흐름이 이어져 왔는데요. 그런데 정작 가장 핵심 인프라인 코드 저장소는 거의 모두 GitHub, 즉 마이크로소프트 손에 있었습니다.

문제는 두 가지입니다. 하나는 법적 리스크입니다. 미국의 CLOUD Act나 수출 통제 규정에 따라, 정부 코드와 협업 기록이 미국 사법권 안에 놓여 있다는 점이요. 다른 하나는 운영 리스크인데요. 바로 어제 자 뉴스만 봐도 GitHub에서 RCE 취약점(CVE-2026-3854)과 함께 가용성 사고가 터졌습니다. 정부 인프라가 단일 사기업의 사고에 직접 노출돼 있는 셈이죠.

네덜란드의 선택: Forgejo 계열 자체 호스팅

이번 플랫폼은 완전히 새로 짠 게 아니라, 이미 검증된 오픈소스 Git 포지(Forge)를 자체 인프라에 올린 형태로 알려져 있습니다. 유럽에서는 비영리 단체가 운영하는 Codeberg와 그 기반인 Forgejo가 사실상 표준에 가까운데요. Gitea를 포크해 커뮤니티 거버넌스로 운영되는 프로젝트로, “한 회사가 마음 바꾸면 전부 흔들리는” 구조를 피하는 게 핵심 설계 철학입니다.

흥미로운 건 이게 단발성 결정이 아니라는 점입니다. 독일 슐레스비히-홀슈타인주, 프랑스 정부의 code.gouv.fr, EU 집행위의 code.europa.eu까지 — 유럽 공공 부문 코드 인프라는 이미 몇 년째 ‘GitHub 외부에 별도 거점’을 만드는 방향으로 움직여 왔습니다. 네덜란드는 그 흐름에 합류한 가장 최근 사례에 가깝습니다.

개발자 입장에선 뭐가 달라지나

당장 한국 개발자에게 직접적인 영향은 크지 않습니다. 다만 의미가 가볍지는 않은데요. 첫째, 오픈소스 포지 생태계가 진짜로 GitHub의 대안이 될 수 있는지 시험대에 올랐다는 점입니다. 그동안 Gitea/Forgejo는 “괜찮긴 한데 정부가 쓸 수준은 아니지 않나"라는 인식이 있었는데, 한 국가가 공식적으로 채택한다는 건 신뢰도 측면에서 결이 다릅니다.

둘째, 벤더 락인에 대한 경각심입니다. PR 리뷰, Actions, Issues, Projects까지 우리 워크플로우 절반 이상이 GitHub 한 회사에 묶여 있다는 사실, 사실 평소엔 잘 안 보이거든요. 이번 어제 GitHub 장애로 CI가 멈춰본 팀이라면 이 말이 좀 다르게 들릴 겁니다.

셋째, 최근 Mitchell Hashimoto가 Ghostty를 GitHub에서 빼겠다고 한 일이나, 미국 수출 통제로 일부 국가 개발자 계정이 잠긴 사건들과 묶어 보면 흐름이 보입니다. “코드 호스팅도 결국 정치적 인프라”라는 인식이 점점 퍼지고 있다는 거죠.

풀어야 할 숙제들

물론 장밋빛만 있는 건 아닙니다. 네트워크 효과 측면에서 GitHub는 압도적입니다. 라이브러리 발견, 이슈 트래킹, 컨트리뷰터 풀, Copilot 같은 AI 보조까지 — 정부가 자체 포지를 운영한다고 해서 이 생태계 전체를 복제할 수는 없습니다. 결국 많은 기관이 “내부 정본은 자체 포지, 외부 협업은 미러링”이라는 이중 운영으로 갈 가능성이 큰데요. 이건 비용과 복잡도를 동시에 늘립니다.

또 하나, 운영 인력 문제도 만만치 않습니다. GitHub가 대신 해주던 보안 업데이트, 인프라 스케일링, 가용성 모니터링을 정부 IT 조직이 직접 책임져야 합니다. 어제 나온 GitHub의 RCE 사고가 보여주듯, 큰 회사도 못 막는 걸 작은 조직이 더 잘 막는다는 보장은 없죠.

마무리

디지털 주권 논의는 이제 클라우드와 데이터를 지나 개발자 인프라로 넘어왔습니다. 네덜란드의 이번 결정은 단순한 정부 사업이 아니라, 한 국가의 코드가 어디에 살아야 하는가에 대한 정책적 답안이라고 볼 수 있는데요.

여러분이 속한 조직은 어떤가요? 회사 코드, 사이드 프로젝트, 오픈소스 컨트리뷰션이 모두 한 회사 서버에 올라가 있다는 사실이 어색하게 느껴진 적 있으신가요? 적어도 그 질문을 한 번쯤 던져볼 시점은 된 것 같습니다.