엔비디아의 OpenBao 도입과 프로젝트 현황

엔비디아가 해시코프 볼트(HashiCorp Vault)의 오픈소스 포크(Fork) 버전인 OpenBao의 공식 도입 기업 명단에 이름을 올렸다. 공개 문서에 따르면 엔비디아는 5월 20일 OpenBao 채택 기업 리스트에 추가됐다.

OpenBao는 2023년 말 IBM 엔지니어들이 리눅스 재단(Linux Foundation)의 오픈 호라이즌(Open Horizon) 엣지 컴퓨팅 프로젝트를 주도하며 개발했다. 이는 해시코프가 해당 연도에 비즈니스 소스 라이선스(BSL, Business Source License)로 전환한 것에 대한 대응으로 시작됐다. 이후 OpenBao는 2024년 9월 프로덕션 준비가 완료된 버전 2.0을 출시했으며, 2025년 6월에는 오픈소스 보안 재단(OpenSSF, Open Source Security Foundation)의 샌드박스 프로젝트로 합류했다.

현재 OpenBao를 도입한 곳으로는 엔비디아 외에도 스위스의 오픈소스 서비스 제공업체 애드피니스(Adfinis), SAP의 소버린 클라우드 참조 아키텍처인 아페이로라(ApeiroRA), 페르미 국립 가속기 연구소(Fermi National Accelerator Laboratory) 등이 있다. 또한 깃랩(GitLab)과 프로톤(Proton)이 지지 기업으로, OVH클라우드(OVHCloud)와 시그스토어(Sigstore)가 통합 파트너로 참여하고 있다.

NVCF 기반의 작동 방식과 보안 파이프라인

엔비디아는 자사의 엔비디아 클라우드 펑션(NVCF, Nvidia Cloud Functions)에서 OpenBao를 활용한다. NVCF는 오토스케일링이 가능한 서버리스 GPU 제어 평면으로, 4월에 아파치 2.0(Apache 2.0) 오픈소스 라이선스로 공개됐다. 엔비디아는 NVCF가 관리하는 쿠버네티스(Kubernetes) 포드(Pod) 내부에 비밀 정보(Secrets)를 주입하는 메커니즘으로 OpenBao를 사용한다.

OpenSSF 샌드박스 프로젝트로서 OpenBao는 다음과 같은 보안 관리 체계를 갖춘다. 별도로 유지 관리되는 CVE(Common Vulnerabilities and Exposures) 공개 메일링 리스트를 운영하며, 커뮤니티 보안 감사와 투명성 요구 사항을 준수한다. 또한 시그스토어(Sigstore)와 같은 공급망 보안 도구와의 통합을 지원한다.

향후 출시 예정인 버전 2.6에서는 플랫폼 엔지니어링 팀이 내부 셀프 서비스 포털과 프로젝트를 통합할 수 있도록 서버 측 워크플로우 기능이 추가된다. 또한 로드맵에 따라 AI 에이전트를 위한 단기 비밀 정보 관리(Short-lived secrets management) 통합이 계획되어 있다.

실무적 도입 판단 기준과 인프라 영향

개발자와 인프라 운영자는 기존 해시코프 볼트(현재 IBM 볼트 엔터프라이즈로 명명)와 OpenBao 사이에서 제어권과 거버넌스 축을 기준으로 도입을 판단해야 한다. OpenBao는 특히 다음과 같은 환경에서 실무적 효용이 크다.

첫째, 동적 자격 증명(Dynamic credentials)이 필요하거나 멀티 클라우드 환경을 운영하는 조직이다. 둘째, 다수의 팀이 격리된 환경에서 비밀 정보를 관리해야 하는 요구 사항이 있는 경우다. 셋째, 유럽연합(EU) 등 규제가 엄격한 지역에서 디지털 주권을 확보하고 벤더 종속성(Vendor lock-in)을 피하려는 조직이다. OpenBao는 오픈 거버넌스와 이식성을 제공하므로, 독점적인 제어 평면 대신 자체 환경에 비밀 정보를 저장하려는 조직에 적합한 선택지가 된다.

반면, 정적인 비밀 정보만 관리하는 스타트업이나 소규모 팀의 경우에는 오픈소스 프로젝트인 SOPS(Secrets Operations)나 각 클라우드 제공사가 제공하는 기본 비밀 관리 서비스가 더 효율적인 대안이 될 수 있다. 운영 관점에서는 OpenBao가 OpenTofu(테라폼 포크 버전)만큼의 생태계 규모를 갖추지는 못했으나, OpenSSF의 지원을 통해 엔터프라이즈 수준의 보안 검증 체계를 확보했다는 점이 도입의 핵심 판단 근거가 된다.