Fedora가 Deepin 데스크톱 환경을 저장소에서 제거한 이유

실제로 Linux 보안 커뮤니티에서는 Deepin 일부 모듈—특히 D‑Bus와 연결된 구성 요소—에서 설계 및 구현 문제 가능성이 제기된 바 있다.

Fedora 검토 과정에서도 이러한 구조적 위험이 해결되지 않은 상태라는 점이 중요한 요소로 평가됐다.

openSUSE의 선행 결정이 미친 영향

Fedora의 결정은 완전히 독립적으로 이루어진 것은 아니다. 1년 전인 2025년, openSUSE도 이미 Deepin을 저장소에서 제거한 바 있다.

openSUSE 보안팀 조사에서 발견된 문제는 다음과 같다.

• Deepin 패키징 과정에서 RPM 보안 검토 절차를 우회하는 workaround가 사용됨
• 이 방식으로 보안팀 승인 없이 설치될 수 있는 구성 요소가 포함됨
• 그 안에는 D‑Bus 시스템 서비스 파일과 Polkit 정책 같은 민감한 구성도 포함됨

보안팀은 이를 패키징 정책 위반으로 판단했으며, 코드 검토 과정에서도 여러 보안 문제가 반복적으로 발견됐다고 밝혔다.

openSUSE는 문제 해결 후 재검토 가능성을 열어두었지만, 후속 검토에서 큰 개선이 확인되지 않아 제거 상태가 유지됐다.

Fedora 개발자들은 이후 openSUSE에서 발견된 문제가 Fedora 패키지에도 해당하는지 검토하기 시작했고, 이 과정이 결국 FESCo의 패키지 퇴출 결정으로 이어졌다.

유지관리와 커뮤니케이션 문제

기술적인 보안 문제 외에도 Fedora 개발자들은 실질적인 유지관리 문제를 겪었다.

검토 보고서에 따르면 버그 보고나 보안 관련 질문에 대해 일부 유지관리자 또는 upstream 개발자와의 소통이 어려웠다는 지적이 있었다.

Linux 배포판은 upstream 프로젝트와 긴밀히 협력해 보안 취약점과 버그를 빠르게 수정해야 한다. 그러나 응답이 늦거나 협력이 부족하면 배포판 입장에서는 사용자에게 안전한 패키지를 제공하기 어렵다.

Deepin을 계속 사용하려는 사용자에게 의미하는 것

이번 결정이 Deepin 자체의 사용을 완전히 막는 것은 아니다. 다만 Fedora와 openSUSE 같은 배포판에서는 공식적으로 지원되는 데스크톱 환경 목록에서 제외된 것이다.

Deepin을 계속 사용하려는 사용자는 보통 다음과 같은 선택지를 고려할 수 있다.

• Deepin을 공식적으로 제공하는 다른 Linux 배포판 사용
• 서드파티 또는 커뮤니티 저장소에서 설치
• 직접 빌드하거나 패키징

단, 이런 방식은 보안 업데이트나 유지관리를 사용자 또는 커뮤니티에 더 많이 의존하게 된다.

오픈소스 배포판이 선택한 현실적인 판단

Deepin 사례는 Linux 배포판이 사용자 경험과 보안·유지관리 현실 사이에서 균형을 잡는 과정을 보여준다.

Deepin은 시각적으로 세련된 데스크톱 환경으로 유명하지만, 공식 배포판에 포함되려면 다음 조건이 충족되어야 한다.

• 안정적인 패키징
• 체계적인 보안 검토
• 지속적인 유지관리

현재 시점에서는 보안 문제, 권한 관련 시스템 통합 위험, 그리고 upstream 대응 부족이 겹치면서 Fedora와 openSUSE 두 주요 배포판 모두 Deepin이 그 기준을 충족하지 못한다고 판단했다.