# Microsoft가 VeraCrypt 계정을 종료해 Windows 업데이트 중단 > Clean Markdown view of GeekNews topic #28330. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=28330](https://news.hada.io/topic?id=28330) - GeekNews Markdown: [https://news.hada.io/topic/28330.md](https://news.hada.io/topic/28330.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-04-09T09:52:42+09:00 - Updated: 2026-04-09T09:52:42+09:00 - Original source: [404media.co](https://www.404media.co/microsoft-abruptly-terminates-veracrypt-account-halting-windows-updates/) - Points: 2 - Comments: 5 ## Topic Body - **오픈소스 암호화 소프트웨어 VeraCrypt**의 Windows 업데이트 배포가 Microsoft의 갑작스러운 계정 해지로 전면 차단되었으며, 이는 대형 기술 기업에 의존하는 오픈소스 소프트웨어 **공급망의 취약성**을 드러낸 사례 - VeraCrypt 개발자 Mounir Idrassi는 사전 경고 없이 1월 중순 **Windows 드라이버 및 부트로더 서명 계정**이 해지되었음을 발견했으며, 이후 연락을 시도했지만 AI가 생성한 것으로 보이는 자동 응답만 받음 - Microsoft가 보낸 유일한 공식 메시지는 "요건 미충족" 통보였으나 **구체적인 사유나 이의신청 절차 없이** 계정이 종료되었고, 어떤 요건이 갑자기 충족되지 않았는지 전혀 설명이 없었음 - **WireGuard**의 개발자 Jason Donenfeld도 동일한 문제에 직면했다고 밝혀, VeraCrypt에만 국한된 사안이 아님이 드러남 - Linux·macOS 업데이트는 계속 가능하지만 **사용자 대다수가 Windows 플랫폼**을 사용하는 만큼 Windows 배포 불가는 프로젝트 전체에 치명적 타격 --- ### VeraCrypt란 - 드라이브 내 **암호화 파티션 생성** 또는 개별 암호화 볼륨 형태로 파일을 보호하는 오픈소스 도구 - 전신인 TrueCrypt 기반으로 제작되었으며, 자격 증명 제출을 강요당할 경우를 대비해 **이중 볼륨(히든 볼륨)** 기능도 제공 ### 사건 경위 - Idrassi는 몇 달간 활동이 없었던 이유를 SourceForge 포럼에서 직접 설명 - 1월 중순, 수년간 사용해 온 **Windows 드라이버 및 부트로더 서명 계정**이 갑자기 사용 불가 상태임을 발견 - 사전 이메일이나 경고는 전혀 없었으며, Microsoft로부터 받은 유일한 메시지는 "현재 요건을 충족하지 못한다"는 내용뿐 - 해당 메시지에는 **이의신청 불가** 및 신청 종료 통보만 포함 - Idrassi의 회사 **IDRIX**가 갑자기 어떤 요건을 충족하지 못하게 됐는지 설명이 전혀 없음 ### 개발자의 반응과 우려 - Microsoft 지원팀에 연락했으나 **AI가 생성한 것으로 보이는 자동 응답**만 수신 - "무엇이 문제인지 최소한 설명은 해줬어야 한다"며 Microsoft의 소통 부재를 강하게 비판 - **"이런 결정을 내릴 때 소통이 없으면 미래에 대한 불확실성이 커지고, 자동화된 AI 응답은 이 과정을 비인간적으로 만든다"** 고 지적 ### WireGuard도 동일 상황 - 인기 VPN 클라이언트 WireGuard의 개발자 Jason Donenfeld도 Hacker News에 동일한 문제를 게시 - "경고도 없이, 알림도 없이, 어느 날 업데이트를 배포하려고 로그인했더니 계정이 정지돼 있었다"고 언급 ### 파급 효과 - Windows는 VeraCrypt 사용자 대다수가 이용하는 플랫폼으로, **Windows 업데이트 배포 불가**는 프로젝트에 치명적 타격 - Linux·macOS 업데이트는 여전히 가능하지만 핵심 플랫폼 지원 불가 상태 - 이번 사건은 오픈소스 소프트웨어가 대형 기술 기업 인프라에 부분적으로라도 의존할 때 발생할 수 있는 **공급망 리스크**를 부각 - Microsoft는 논평 요청에 답변하지 않음 ## Comments ### Comment 55001 - Author: ndrgrd - Created: 2026-04-10T00:07:57+09:00 - Points: 1 이런 일을 볼 때마다 느끼는 것이지만 서명을 확인하는 일은 플랫폼이 아니라 사용자가 해야 합니다. 개발자는 자신의 키로 서명하고 사용자는 믿을만한 개발자의 키를 자신의 기기에서 허용해서 사용해야죠. 이걸 모르겠고 알아서 해달라고 하는 건 말이 안 됩니다. 컴퓨터에 관심이 있느냐 없느냐를 떠나서 본인이 사용할 것이라면 반드시 가져야 하는 습관입니다. 휴대전화를 쓰고 인터넷을 본다면 웹페이지 메시지 전화에서 말하는 것을 무조건 믿지 말아야 하며 취사선택할 능력이 있어야 한다 수준의 기본적인 지침이죠. 윈도우 UAC처럼 특정 개발자를 신뢰할 것인지 버튼 하나로 확인할 수 있는 UI 정도면 코드 서명과 키라는 개념을 모르는 사람도 사용할 수 있을 것입니다. ### Comment 55169 - Author: heal9179 - Created: 2026-04-13T09:45:21+09:00 - Points: 1 - Parent comment: 55001 - Depth: 1 공식 인증이 아니면 악의적인 인증을 악용할 수 있기 때문이죠.. ### Comment 55223 - Author: ndrgrd - Created: 2026-04-13T20:08:18+09:00 - Points: 1 - Parent comment: 55169 - Depth: 2 무슨 말씀이신지 모르겠네요. 제삼자가 인증을 도용할 수 있다는 말씀이신가요? 그건 현재의 인증서 시스템도 똑같아요. 맬웨어들도 1년에 수십만원 하는 인증서 달고 나옵니다. 개발자 본인이 악용할 수 있다는 것인가요? 그러면 애초에 코드와 개발자 자체가 신뢰할 수 없는 것이죠. 자신이 신뢰할 것이 무엇인지 선택하는건 사용자의 권리이자 의무입니다. 그런 논리라면 강박증을 가진 사람들처럼 OS부터 말단 앱까지 모든 프로그램을 본인이 작성해서 사용해야 합니다. ### Comment 55012 - Author: picopress - Created: 2026-04-10T06:50:45+09:00 - Points: 1 - Parent comment: 55001 - Depth: 1 윈도우 드라이버는 다를걸요 ### Comment 54960 - Author: neo - Created: 2026-04-09T09:52:42+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47690977) - 1년 전 나는 Windows용 FOSS 소프트웨어를 배포하기 위해 **Azure Trusted Signing**을 사용했음 당시엔 무료 소프트웨어를 배포하기 위한 가장 저렴한 방법이었음 하지만 몇 달 전 인증서 갱신 시 **검증 실패** 문제로 모든 서류가 거부되었고, 유료 사용자임에도 사람과 직접 소통할 수 없었음 결국 [SignPath.org](https://signpath.org)에서 인증서를 발급받았고, 그 이후로 매우 만족하고 있음 - 지난 1년간 Trusted Signing의 **검증 정책이 계속 바뀌는 중**이었음 개인에게 열렸다가, DUNS 번호가 있는 미국 기업만 가능하게 바뀌었다가, 다시 일부 개인에게 열렸음 아마 누군가가 Trusted Signing 인증서를 악용한 사건이 있었던 듯함 오늘 아침 VeraCrypt 사건을 보고 “이건 개발자들을 강제로 Trusted Signing으로 몰아가는 건가?” 하는 생각이 들었음 - 오픈소스용 **중앙 서명 기관** 아이디어가 마음에 듦 오픈소스 정신과는 다소 어긋날 수 있지만, Microsoft나 Google이 장난을 치면 커뮤니티가 크게 반발할 것임 FDroid처럼 **감사 가능한 빌드**를 제공하는 기관이 있다면 공급망 공격 시 더 신뢰할 수 있는 배포가 가능할 것임 다만 이런 기관은 **거버넌스와 자금**이 충분히 확보되어야 함 - 플랫폼 소유자가 어떤 소프트웨어를 실행할 수 있는지 결정하게 해서는 안 된다고 생각함 **소프트웨어 서명**은 독립적인 제3자에게 위임되어야 하며, 이해상충이 없어야 함 이것이 바로 **Digital Markets Act**가 개발자를 보호하려는 이유임 EU의 Apple 조사 관련해서는 아직 소식이 있는지 궁금함 - 사실 Windows 바이너리를 제3자 인증서로 서명하는 건 가능함 단지 **비용이 비쌀 뿐**, Microsoft 도구를 쓸 필요도 없음 - 이번 문제는 VeraCrypt만의 일이 아님 여러 **Windows 드라이버 개발자들**이 아무 설명 없이 Partner Center에서 강제 퇴출당했음 관련 사례는 [OSR 커뮤니티 포럼](https://community.osr.com/t/locked-out-of-microsoft-partner-...)에서도 확인 가능함 - **Windscribe**도 Microsoft에 의해 계정이 종료된 세 번째 사례임 [관련 트윗](https://nitter.net/windscribecom/status/2041929519628443943) - “Security as a Service”의 **어두운 면**이 드러나고 있음 Microsoft가 Trusted Signing으로 서명 절차를 단순화하면서 **단일 실패 지점**을 만들어버림 VeraCrypt 같은 핵심 FOSS 프로젝트가 자동 플래그로 차단되고, 사람의 개입 경로가 전혀 없는 건 **취약한 구조**임 Secure Boot은 좋은 보안 기능이지만, 행정적 무능으로 인한 **벤더 종속 수단**이 되어서는 안 됨 - [이전 글](https://news.ycombinator.com/item?id=47686549)에서 “Veracrypt project update”라는 제목을 놓쳤다는 의견이 있었음 - 나는 여전히 사람들이 언젠가 **실행 파일 서명과 Secure Boot**이 실제 보안이 아니라 사용자가 실행할 수 있는 것을 통제하기 위한 장치임을 깨닫길 바람 개인용 컴퓨터에서는 이런 완화책의 전제가 말이 안 된다고 생각함 - Secure Boot은 **전체 디스크 암호화(FDE)** 의 실질적 보안을 위해 필요함 악성 드라이버 남용을 어렵게 하고, 부트킷 감염을 줄여줌 사용자가 직접 키를 등록할 수도 있음 Microsoft가 이를 통제 수단으로 쓰는 건 맞지만, 그렇다고 보안 기능 자체를 부정할 수는 없음 - 임베디드 환경에서는 Secure Boot이 고객을 보호하기 위한 장치로 쓰임 공급망에서 **펌웨어 변조 방지**를 보장함 - 가정용이나 일반 사용자에게는 통제 수단일 수 있지만, **임베디드나 금융 시스템**에서는 생명선 같은 기술임 - Apple이 iOS를 도입하면서 이런 **폐쇄적 부트로더 문화**를 정상화시켰음 20년 전만 해도 이런 시스템은 디스토피아적으로 보였는데, 이제는 당연하게 여겨짐 Stallman이 경고했던 “tivoization”이 현실이 된 셈임 - “Ask Jeeves 툴바”를 잔뜩 설치해놓고 손자에게 컴퓨터를 고쳐달라던 시절이 떠오름 - **Secure Boot 체인을 통제하는 회사**가 디스크 암호화 도구의 서명 계정을 차단했다는 게 아이러니함 - 이건 플랫폼마다 반복되는 패턴임 “플랫폼이 주고, 플랫폼이 가져간다”는 말처럼, 배포가 한 회사의 **선의에 의존**한다면 그건 진짜 배포가 아님 - **WireGuard 개발자 계정**도 종료되었다는 점을 Microsoft가 인지했어야 함 - 실제로 기사 후반부에 그 내용이 언급되어 있음 “인기 VPN 클라이언트 WireGuard도 같은 문제를 겪고 있다”는 문구가 있음 - 왜 그냥 자체 **서명 키를 생성**해서 설치 프로그램에 포함시키지 않는지 이해가 안 됨 이런 중개 플랫폼을 쓰는 건 스스로 발목을 잡는 일 같음 - 하지만 악의적인 사람도 똑같이 자기 키를 만들어 배포할 수 있음 **Notepad++ 사례**를 보면 그 결과가 어떤지 알 수 있음