QEMU, AI 기여 전면 금지 완화 검토: 허용 범위와 새로운 규칙은?

현재의 강경 정책

제안된 변화의 중요성을 이해하려면 현행 정책을 살펴볼 필요가 있다. 2025년 중반, QEMU는 코드 출처 문서에 엄격한 규칙을 명문화하여, 프로젝트가 "AI 생성 콘텐츠를 포함하거나 이로부터 파생된 것으로 간주되는 모든 기여를 거절(DECLINE)할 것"이라고 명시했다 . 이러한 추론의 근거는 법적 불확실성, 구체적으로 말하면 저작권 출처가 불분명한 코드에 대해 기여자가 개발자 원천 증명(DCO, Developer's Certificate of Origin)이 요구하는 인증을 신뢰성 있게 할 수 없다는 점이었다 . QEMU 커뮤니티는 DCO 미준수에 따른 "법적 위험을 감수할 의사도 능력도 없다"라고 명확히 밝힌 바 있다 .

제안된 변화: 위험도에 따른 단계별 시스템

새로운 제안은 모든 AI 생성 코드에 문호를 개방하는 것은 아니다. 대신, 기여의 위험도와 영향을 기준으로 하는 단계별 시스템을 만든다 .

• 허용되는 사용: "저작권 위반의 파급효과를 최소한 쉽게 되돌릴 수 있고 확산될 가능성이 낮은" 작업에 한해 AI 지원이 허용된다 . 여기에는 사소한 버그 수정 및 문서 업데이트가 포함되며, 이는 잠재적인 법적 문제의 영향이 제한적이고 쉽게 롤백될 수 있는 영역이다 . IDE에서 변수 이름을 자동 완성하는 것과 같은 사소한 사용은 위험도가 너무 낮아 공식적인 공개가 필요하지 않을 수도 있다 .
• 제한되는 사용: QEMU의 핵심 코드에 대한 기여는 여전히 엄격하게 제한된다. 이러한 경우 "유지 관리자의 사전 동의 없이는" AI를 사용하는 것이 완전히 금지된다 . 이 안전장치는 영향력이 크고 기초가 되는 코드가 명확하고 사람이 감사 가능한 출처를 계속 유지하도록 보장한다.

새로운 공개 시대: 'AI-used-for:' 태그

제안된 정책의 핵심은 새로운 필수 공개 메커니즘이다. 본지니는 AI가 중요한 역할을 한 모든 패치에 'AI-used-for:' 커밋 트레일러를 추가할 것을 제안했다 . 이 태그는 두 가지 목적을 수행한다. 검토자와 유지 관리자를 위해 도구의 개입을 투명하게 기록하고, 제출 전에 "작성자가 정책을 읽었는지 확인하는 역할을 겸한다" . 이 접근 방식은 더 간단한 'Assisted-by' 태그와 구별되며, 기여자에게 AI 사용이 프로젝트의 정의된 범위 내에 있었음을 적극적으로 증명할 책임을 부여한다. 결정적으로, AI를 사용한다고 해서 매우 중요한 DCO 인증을 포함한 다른 표준 요구 사항이 면제되는 것은 아니다 .

오픈소스의 미래에 던지는 의미

QEMU의 숙고는 오픈소스 세계에서 가장 주목받는 사건 중 하나다. AI가 생성한 코드를 누가 소유하는지, 어떤 라이선스로 기여될 수 있는지, DCO를 충족할 수 있는지 등에 대한 법적 문제는 여전히 법원에서 대부분 답하지 못하고 있다 . 이러한 법적 공백 속에서 각 프로젝트는 자체적인 위험 관리 프레임워크를 만들어야 한다.

QEMU가 고려 중인 접근 방식은 다른 여러 주요 프로젝트가 모방할 가능성이 있는 중간 경로를 제시한다. 유지하기 점점 더 어려워지는 절대적 금지를 고수하거나, 안전장치 없이 모든 AI 코드를 성급하게 수용하는 대신, 위험 평가와 공개 우선 프레임워크에 기대는 모델이다. FreeBSD와 같은 다른 주요 프로젝트들도 동일한 질문과 씨름하고 있으며, "LLM에 오염된" 오픈소스 코드를 추적하려는 계획도 이미 등장하고 있다 . 상용구와 문서화에 저위험 AI 도움을 잠재적으로 허용하면서 핵심 로직은 엄격하게 사람이 검증하도록 유지함으로써, QEMU는 AI의 생산성 향상 이점과 주요 인프라 소프트웨어의 근본적인 법적·보안적 요구 사이의 균형을 맞출 수 있는 템플릿을 시험하고 있는 것이다 .