Abstract

리눅스 사태를 촉발한 실험은 제대로 된 연구가 아니며, 오히려 반면교사가 되어준다. 연구는 면책특권이 아니며, 캠페인, 혹은 관찰에 그치는 것 또한 아니다. 또한 실험 환경은 재현될 수 있어야 한다. 내가 이 연구를 수행했다면 논문에 적을 게 없을 것이다.

본문

리눅스 사태란 대학 연구진이 오픈소스 프로젝트인 리눅스에 악성코드를 심은 커밋을 리뷰 요청하는 ‘연구 활동’을 몰래 하다 들킨 소동이다. 연구진은 자신의 연구가 ‘‘악의적 커밋이 검토를 통과하는 걸 시연해서 결과적으로 보안 수준을 높이는 것’‘이라 주장했다. 하지만 숭고한 목적이 있다고 이 소동이 연구로 인정될 순 없으며, 오히려 연구가 무엇이 아닌지를 반추하게 만든다.

연구는 면책특권이 아니다. 연구진은 리뷰어의 시간을 뺏었고, 오픈소스 프로젝트의 신뢰성을 훼손했다. 정작 이렇게 농락당한 프로젝트나 리뷰어는 자신이 실험 대상임을 몰랐다. 책임있는 연구자라면 미리 허락을 구했어야 한다.

연구는 새로운 사실을 전달해야 한다. 연구진이 밝혀낸 사실은 ‘‘검토에 걸리지 않을 정도로 교묘하게 악성코드를 숨긴다면 검토에 걸리지 않는다’‘로, 순환논리일 뿐이다. 이 연구가 오픈소스 프로젝트의 위험성을 전달하긴 했지만, 그건 연구가 아니라 캠페인이라는 전혀 다른 분야다.

연구는 관찰이 아니다. ‘‘어떤 식으로 악성코드를 집어넣을 때 가장 적발이 어렵고…‘‘를 정리한들 어떤 새로운 아이디어(novelty)도 없다. 연구가 되려면은 어떤 목적으로 새 악성코드 삽입 방법을 개발해 냈고, 이렇게 하면 얼마나 더 검토를 잘 통과하는지 재현한 결과까지의 맥락이 있어야 한다. 연구는 새로운 모델을 제안할 이유가 있어야 한다.

실험 환경은 재현될 수 있어야 한다. 재현될 수 없다면 실험 결과의 재현과 검토 또한 불가능하고, 후속 연구에서 비교군으로 쓰일 수도 없기 때문이다. 사태의 실험은 리뷰어의 방심을 환경으로 삼으므로 재현이 불가능하며, 따라서 결과의 신용도와 유용성이 낮다.

연구를 논문으로 써내는 미래 모습을 상상한다면 리눅스 사태같은 비극이 없다. 내가 이 연구의 논문을 쓴다면, 오픈소스 프로젝트의 취약성이 세상에 미치는 영향을 강조한 서론(introduction)의 첫 문단은 몰라도, 그 뒤에는 하나도 쓸 말이 없다. 윤리적 문제 이전에 진작에 안 될 연구라는 것을 알았을 것이다.