Microsoft가 VeraCrypt 계정을 종료해 Windows 업데이트 중단

 (404media.co)
2P by GN⁺ 9시간전 | ★ favorite | 댓글 1개
  • 오픈소스 암호화 소프트웨어 VeraCrypt의 Windows 업데이트 배포가 Microsoft의 갑작스러운 계정 해지로 전면 차단되었으며, 이는 대형 기술 기업에 의존하는 오픈소스 소프트웨어 공급망의 취약성을 드러낸 사례
  • VeraCrypt 개발자 Mounir Idrassi는 사전 경고 없이 1월 중순 Windows 드라이버 및 부트로더 서명 계정이 해지되었음을 발견했으며, 이후 연락을 시도했지만 AI가 생성한 것으로 보이는 자동 응답만 받음
  • Microsoft가 보낸 유일한 공식 메시지는 "요건 미충족" 통보였으나 구체적인 사유나 이의신청 절차 없이 계정이 종료되었고, 어떤 요건이 갑자기 충족되지 않았는지 전혀 설명이 없었음
  • WireGuard의 개발자 Jason Donenfeld도 동일한 문제에 직면했다고 밝혀, VeraCrypt에만 국한된 사안이 아님이 드러남
  • Linux·macOS 업데이트는 계속 가능하지만 사용자 대다수가 Windows 플랫폼을 사용하는 만큼 Windows 배포 불가는 프로젝트 전체에 치명적 타격

VeraCrypt란

  • 드라이브 내 암호화 파티션 생성 또는 개별 암호화 볼륨 형태로 파일을 보호하는 오픈소스 도구
  • 전신인 TrueCrypt 기반으로 제작되었으며, 자격 증명 제출을 강요당할 경우를 대비해 이중 볼륨(히든 볼륨) 기능도 제공

사건 경위

  • Idrassi는 몇 달간 활동이 없었던 이유를 SourceForge 포럼에서 직접 설명
  • 1월 중순, 수년간 사용해 온 Windows 드라이버 및 부트로더 서명 계정이 갑자기 사용 불가 상태임을 발견
  • 사전 이메일이나 경고는 전혀 없었으며, Microsoft로부터 받은 유일한 메시지는 "현재 요건을 충족하지 못한다"는 내용뿐
  • 해당 메시지에는 이의신청 불가 및 신청 종료 통보만 포함
  • Idrassi의 회사 IDRIX가 갑자기 어떤 요건을 충족하지 못하게 됐는지 설명이 전혀 없음

개발자의 반응과 우려

  • Microsoft 지원팀에 연락했으나 AI가 생성한 것으로 보이는 자동 응답만 수신
  • "무엇이 문제인지 최소한 설명은 해줬어야 한다"며 Microsoft의 소통 부재를 강하게 비판
  • "이런 결정을 내릴 때 소통이 없으면 미래에 대한 불확실성이 커지고, 자동화된 AI 응답은 이 과정을 비인간적으로 만든다" 고 지적

WireGuard도 동일 상황

  • 인기 VPN 클라이언트 WireGuard의 개발자 Jason Donenfeld도 Hacker News에 동일한 문제를 게시
  • "경고도 없이, 알림도 없이, 어느 날 업데이트를 배포하려고 로그인했더니 계정이 정지돼 있었다"고 언급

파급 효과

  • Windows는 VeraCrypt 사용자 대다수가 이용하는 플랫폼으로, Windows 업데이트 배포 불가는 프로젝트에 치명적 타격
  • Linux·macOS 업데이트는 여전히 가능하지만 핵심 플랫폼 지원 불가 상태
  • 이번 사건은 오픈소스 소프트웨어가 대형 기술 기업 인프라에 부분적으로라도 의존할 때 발생할 수 있는 공급망 리스크를 부각
  • Microsoft는 논평 요청에 답변하지 않음

함께 보면 좋은 글 β

GN⁺ 9시간전  [-]
Hacker News 의견들

  • 1년 전 나는 Windows용 FOSS 소프트웨어를 배포하기 위해 Azure Trusted Signing을 사용했음
    당시엔 무료 소프트웨어를 배포하기 위한 가장 저렴한 방법이었음
    하지만 몇 달 전 인증서 갱신 시 검증 실패 문제로 모든 서류가 거부되었고, 유료 사용자임에도 사람과 직접 소통할 수 없었음
    결국 SignPath.org에서 인증서를 발급받았고, 그 이후로 매우 만족하고 있음

    • 지난 1년간 Trusted Signing의 검증 정책이 계속 바뀌는 중이었음
      개인에게 열렸다가, DUNS 번호가 있는 미국 기업만 가능하게 바뀌었다가, 다시 일부 개인에게 열렸음
      아마 누군가가 Trusted Signing 인증서를 악용한 사건이 있었던 듯함
      오늘 아침 VeraCrypt 사건을 보고 “이건 개발자들을 강제로 Trusted Signing으로 몰아가는 건가?” 하는 생각이 들었음
    • 오픈소스용 중앙 서명 기관 아이디어가 마음에 듦
      오픈소스 정신과는 다소 어긋날 수 있지만, Microsoft나 Google이 장난을 치면 커뮤니티가 크게 반발할 것임
      FDroid처럼 감사 가능한 빌드를 제공하는 기관이 있다면 공급망 공격 시 더 신뢰할 수 있는 배포가 가능할 것임
      다만 이런 기관은 거버넌스와 자금이 충분히 확보되어야 함

  • 플랫폼 소유자가 어떤 소프트웨어를 실행할 수 있는지 결정하게 해서는 안 된다고 생각함
    소프트웨어 서명은 독립적인 제3자에게 위임되어야 하며, 이해상충이 없어야 함
    이것이 바로 Digital Markets Act가 개발자를 보호하려는 이유임
    EU의 Apple 조사 관련해서는 아직 소식이 있는지 궁금함

    • 사실 Windows 바이너리를 제3자 인증서로 서명하는 건 가능함
      단지 비용이 비쌀 뿐, Microsoft 도구를 쓸 필요도 없음

  • 이번 문제는 VeraCrypt만의 일이 아님
    여러 Windows 드라이버 개발자들이 아무 설명 없이 Partner Center에서 강제 퇴출당했음
    관련 사례는 OSR 커뮤니티 포럼에서도 확인 가능함

  • Windscribe도 Microsoft에 의해 계정이 종료된 세 번째 사례임
    관련 트윗

  • “Security as a Service”의 어두운 면이 드러나고 있음
    Microsoft가 Trusted Signing으로 서명 절차를 단순화하면서 단일 실패 지점을 만들어버림
    VeraCrypt 같은 핵심 FOSS 프로젝트가 자동 플래그로 차단되고, 사람의 개입 경로가 전혀 없는 건 취약한 구조
    Secure Boot은 좋은 보안 기능이지만, 행정적 무능으로 인한 벤더 종속 수단이 되어서는 안 됨

  • 이전 글에서 “Veracrypt project update”라는 제목을 놓쳤다는 의견이 있었음

  • 나는 여전히 사람들이 언젠가 실행 파일 서명과 Secure Boot이 실제 보안이 아니라 사용자가 실행할 수 있는 것을 통제하기 위한 장치임을 깨닫길 바람
    개인용 컴퓨터에서는 이런 완화책의 전제가 말이 안 된다고 생각함

    • Secure Boot은 전체 디스크 암호화(FDE) 의 실질적 보안을 위해 필요함
      악성 드라이버 남용을 어렵게 하고, 부트킷 감염을 줄여줌
      사용자가 직접 키를 등록할 수도 있음
      Microsoft가 이를 통제 수단으로 쓰는 건 맞지만, 그렇다고 보안 기능 자체를 부정할 수는 없음
    • 임베디드 환경에서는 Secure Boot이 고객을 보호하기 위한 장치로 쓰임
      공급망에서 펌웨어 변조 방지를 보장함
    • 가정용이나 일반 사용자에게는 통제 수단일 수 있지만, 임베디드나 금융 시스템에서는 생명선 같은 기술임
    • Apple이 iOS를 도입하면서 이런 폐쇄적 부트로더 문화를 정상화시켰음
      20년 전만 해도 이런 시스템은 디스토피아적으로 보였는데, 이제는 당연하게 여겨짐
      Stallman이 경고했던 “tivoization”이 현실이 된 셈임
    • “Ask Jeeves 툴바”를 잔뜩 설치해놓고 손자에게 컴퓨터를 고쳐달라던 시절이 떠오름

  • Secure Boot 체인을 통제하는 회사가 디스크 암호화 도구의 서명 계정을 차단했다는 게 아이러니함

    • 이건 플랫폼마다 반복되는 패턴임
      “플랫폼이 주고, 플랫폼이 가져간다”는 말처럼, 배포가 한 회사의 선의에 의존한다면 그건 진짜 배포가 아님

  • WireGuard 개발자 계정도 종료되었다는 점을 Microsoft가 인지했어야 함

    • 실제로 기사 후반부에 그 내용이 언급되어 있음
      “인기 VPN 클라이언트 WireGuard도 같은 문제를 겪고 있다”는 문구가 있음

  • 왜 그냥 자체 서명 키를 생성해서 설치 프로그램에 포함시키지 않는지 이해가 안 됨
    이런 중개 플랫폼을 쓰는 건 스스로 발목을 잡는 일 같음

    • 하지만 악의적인 사람도 똑같이 자기 키를 만들어 배포할 수 있음
      Notepad++ 사례를 보면 그 결과가 어떤지 알 수 있음
답변달기