Microsoft, 주요 오픈소스 프로젝트 개발자 계정 정지

 (bleepingcomputer.com)
1P by GN⁺ 4시간전 | ★ favorite | 댓글 1개
  • Microsoft가 WireGuard, VeraCrypt, MemTest86, Windscribe VPN 등 주요 오픈소스 프로젝트의 개발자 계정을 사전 통보 없이 정지, Windows용 빌드와 보안 패치 배포가 중단됨
  • 정지된 계정들은 Windows Hardware Program 파트너 계정으로, 복구 절차나 신속한 재활성화 수단이 제공되지 않음
  • VeraCrypt와 WireGuard 개발자들은 경고나 이메일 없이 계정이 차단되었으며, 지원팀과의 연락이 자동응답에 그쳤다고 밝힘
  • Microsoft는 필수 계정 검증 절차 미이행으로 인한 자동 정지라고 해명하며, 이후 일부 계정 복구를 지원하고 커뮤니케이션 개선을 약속함
  • 커뮤니티에서는 항소 절차의 비효율성과 개발자 지원 부족을 비판하며, 핵심 오픈소스 프로젝트가 영향을 받은 점을 우려함

Microsoft의 오픈소스 개발자 계정 정지 논란

  • Microsoft가 주요 오픈소스 프로젝트의 개발자 계정을 사전 통보 없이 정지, 이로 인해 Windows용 새 빌드와 보안 패치 배포가 중단된 상황
    • 정지된 계정은 Windows Hardware Program 파트너 계정으로, 복구 절차나 신속한 재활성화 수단이 제공되지 않음
  • 영향을 받은 프로젝트에는 WireGuard, VeraCrypt, MemTest86, Windscribe VPN 등이 포함
    • 이들 프로젝트는 Windows 드라이버 서명 및 부트로더 서명에 Microsoft 계정을 사용해 왔음
  • VeraCrypt 개발자 Mounir Idrassi는 수년간 사용해온 계정이 예고 없이 종료되었으며, 이메일이나 경고 없이 통보만 받았고 항소도 불가능했다고 밝힘
    • Microsoft 지원팀에 여러 경로로 연락했으나 자동응답과 봇만 응답, 실제 담당자와 연결되지 않았다고 설명
    • Linux와 macOS용 업데이트는 가능하지만, 대다수 사용자가 Windows를 사용하기 때문에 큰 타격이라고 언급
  • WireGuard 유지관리자 Jason A. Donenfeld도 “경고나 알림 없이 로그인하자마자 계정이 정지되었다”며, 60일 항소 절차를 진행 중이라고 밝힘
    • 그는 “만약 WireGuard에 심각한 원격 코드 실행(RCE) 취약점이 발생했다면 즉시 패치 배포가 불가능했을 것”이라며 위험성을 지적
    • WindscribeMemTest86 개발팀도 수주간 Microsoft 지원팀과 연락이 닿지 않았다고 보고

Microsoft의 해명과 후속 조치

  • TechCrunch 보도 이후, Microsoft 부사장 Scott Hanselman은 해당 계정들이 Windows Hardware Program의 필수 계정 검증 절차 미이행으로 자동 정지되었다고 설명
    • 이 검증 절차는 2024년 4월 이후 완료되지 않은 파트너를 대상으로 하며, 2025년 10월부터 이메일로 공지되었다고 함
    • 2024년 10월 1일 게시된 Hardware Dev Center 공지에 따르면, 30일 내 검증 미완료 시 자동 정지가 이루어짐
  • Microsoft는 2026년 3월 30일 업데이트에서 “검증을 완료하지 못한 계정은 Windows Hardware Program에서 정지되며, 제출이 더 이상 허용되지 않는다”고 명시
    • BleepingComputer가 Microsoft 대변인에게 추가 질의를 보냈으나 아직 답변을 받지 못함
  • 이후 Hanselman이 직접 VeraCrypt 개발자 Idrassi에게 연락해 계정 복구를 지원, Idrassi는 “언론 보도와 소셜미디어 확산이 Microsoft의 대응을 이끌었다”고 언급
    • Microsoft Windows 및 Devices 부문 EVP Pavan Davuluri는 “파트너들이 이 절차를 인지하도록 이메일, 배너, 리마인더를 통해 노력했지만 일부는 놓쳤다”며, 커뮤니케이션 방식을 개선하겠다고 밝힘

커뮤니티 반응

  • 일부 사용자는 “Microsoft 제품에 포함된 소프트웨어를 개발하더라도, 문제가 생기면 사람과 직접 대화할 수 없는 현실이 두렵다”고 지적
  • 또 다른 의견에서는 “항소 절차가 지나치게 복잡하고 비효율적이며, WireGuard 같은 핵심 프로젝트가 영향을 받는 것은 문제”라고 비판
  • 일부는 “Scott Hanselman은 그래도 신뢰할 만한 인물”이라며 긍정적인 반응을 남김

함께 보면 좋은 글 β

GN⁺ 4시간전  [-]
Hacker News 의견들

  • 어제 논의된 Microsoft가 VeraCrypt 계정을 종료해 Windows 업데이트가 중단된 사건에 대해 이야기함
    이어서 개발자들의 의견과 Microsoft의 후속 업데이트가 포함된 이전 스레드도 참고할 만함

  • Microsoft는 제목에 “Action required”가 붙은 이메일을 너무 자주 보냄
    실제로는 아무 조치도 필요 없거나, 나와 상관없는 경우가 대부분임
    이런 이메일들을 검색해보면, 결국 아무것도 안 해도 됐던 일들이 잔뜩 나옴

    • 이런 식으로 ‘늑대소년’ 처럼 계속 경고를 남발하니, 진짜 중요한 메시지도 무시하게 됨
    • 예전에 Microsoft의 스타트업 프로그램에 참여했는데, Azure 요금이 너무 비싸고 인터페이스도 엉망이었음
      서비스가 자동으로 켜지고, 나중에 청구서가 올 때까지 찾을 수도 없었음
      프로그램을 중단한 지 2년이 지났는데도 여전히 “Action required” 메일이 옴
      GitHub Desktop도 비슷함 — macOS에서 자동 업데이트를 끌 수 없고, 매일 관리자 권한을 요구함
      이런 사용자 괴롭힘은 법으로 막아야 한다고 생각함
    • 내 스팸함은 “Action Required” 메일로 가득함
      대부분 피싱 메일이라, 진짜 Microsoft 메일이라도 열지 않음
    • 한 번은 그런 메일이 너무 이해가 안 돼서 지원 티켓을 열었는데, Microsoft 직원조차 무슨 리소스와 관련된 건지 몰랐음
    • 보안 인식 교육에서는 “Action required” 제목의 메일은 피싱이라고 배웠음

  • Microsoft가 “이번 일을 계기로 커뮤니케이션 개선을 검토하겠다”고 했는데,
    마치 Vogon이 지구를 폭파한 뒤 “다음엔 더 잘하자”고 말하는 것 같음

  • 기술 업계에서 보안은 종종 ‘쇼’에 불과함
    실제 목적은 접근 통제나 개인정보 침해 같은 불편한 정책을 밀어붙이기 위한 수단임
    서명 절차도 결국 한쪽이 모든 권한을 쥐게 되고, 그 권한은 언제나 남용됨

    • 어떤 사람들은 실패를 막는 대신, 보험으로 책임을 떠넘기는 게 더 낫다고 생각함
    • 대부분의 보안은 엉망이지만, 그렇다고 보안 자체가 불필요한 건 아님
      다만 Big Tech의 권력 집중은 심각한 문제임
    • 현실적 타협을 위해 원칙을 희생하면, 결국 둘 다 잃게 됨

  • Microsoft의 이번 결정이 너무 어이없음
    Windows 팬층이 줄어드는 시점에 이런 행동은 자기 발등 찍기
    하지만 이런 사건이 중앙집중화의 위험을 깨닫게 해주는 계기가 될 수도 있음

    • 오늘 Teams 로그인만 20분 시도했는데, 무한 인증 루프에 빠져 실패함
      AI 자동화 시대라더니 로그인 하나 제대로 안 됨
    • Satya Nadella가 2014~2022년 동안 쌓은 호감도가 완전히 사라짐
      이제는 Azure와 AI만 바라보는 기업이 되어버림

  • 관련 기사: TechCrunch의 WireGuard VPN 개발자 계정 정지 사건
    HN 스레드에서도 논의됨

    • 더 나은 출처에 따르면, 단순한 이메일 인증이 아니라 정부 발급 신분증 업로드가 필요했음
      그런데 일부 개발자는 이 절차에 대해 아무런 통보도 받지 못함

  • The Register 기사에서 Microsoft의 공식 입장이 나왔음

    • 예전에 Microsoft Partner로 일했는데, 파트너 자격을 유지하려면 공인 개발자 자격증이 필요했음
      그 자격증이 폐지되면서, 인증된 개발자가 없는 파트너들이 한꺼번에 정리된 것 같음

  • “Microslop”이 또다시 자기 브랜드를 망치고 있음
    이젠 사람들이 MacOS나 Linux로 옮길 수도 있음

    • 나는 1년 넘게 Forgejo를 운영 중인데, 속도 빠르고 핵심 기능이 무료임
      Raspberry Pi 4(1GB RAM)에서도 잘 돌아감
      Docker Compose와 Caddy로 HTTPS 세팅하고, cron + git pull로 백업하면 충분함
      Rust나 Python 테스트도 무리 없이 돌릴 수 있음
    • 하지만 Apple도 App Store에서 비슷한 일을 함
      독점 앱스토어 구조가 문제의 근본임
    • 대부분의 사람들은 그냥 회사에서 주는 컴퓨터를 씀
      실제로 OS를 바꾸려는 사람은 많지 않음
    • Apple 기기는 비싸고, Linux 노트북은 여전히 매장에서 보기 힘듦
      그래서 대중적 이동은 어려움
    • 회사용 Windows 11 PC를 쓰는데, 너무 느려서 충격적
      2007년산 Q6600 + Windows XP보다도 느림

  • 내 Linux와 Mac에서는 WireGuard가 잘 작동함
    Microsoft가 이런 핵심 소프트웨어 차단이 자사에 더 큰 피해를 준다는 걸 모르는 듯함

    • 요즘 대기업들은 아무도 제대로 검토하지 않음
      자동화된 봇이 계정을 막고, 해제하려 해도 벽만 마주하게 됨

  • Microsoft 부사장 Scott Hanselman의 말에 따르면,
    이번 정지는 “2024년 4월 이후 계정 인증을 완료하지 않은 파트너”를 자동으로 차단한 것임
    하지만 실제로는 정지(suspension) 가 아니라 계정 종료(termination) 에 가까움

답변달기