어느 날 갑자기, 업데이트가 멈췄어요
Windows에서 디스크 암호화를 해본 적 있는 분이라면 VeraCrypt라는 이름이 낯설지 않을 거예요. VeraCrypt는 오픈소스 디스크 암호화 소프트웨어로, 예전에 유명했던 TrueCrypt의 후속 프로젝트예요. 하드디스크나 USB 전체를 암호화해서 누군가 물리적으로 컴퓨터를 가져가도 데이터를 못 보게 만드는 도구인데요. 언론인, 보안 연구자, 개인 프라이버시를 중시하는 사용자들 사이에서 꾸준히 사랑받아온 프로젝트예요.
그런데 마이크로소프트가 VeraCrypt 개발팀의 계정을 갑자기 종료(terminate)시켜 버렸어요. 이게 무슨 뜻이냐면, VeraCrypt가 Windows용 업데이트를 배포하려면 마이크로소프트의 개발자 계정을 통해 코드 서명(Code Signing)을 받아야 하거든요. 코드 서명이란 "이 소프트웨어는 신뢰할 수 있는 개발자가 만들었어요"라고 마이크로소프트가 보증해주는 디지털 도장 같은 건데, 이 계정이 막혀버리면 새로운 업데이트에 서명을 할 수가 없어요.
서명이 없는 소프트웨어를 Windows에서 설치하려고 하면 "알 수 없는 게시자" 경고가 뜨거나, Windows SmartScreen이 아예 실행을 차단해버리기도 해요. 사실상 일반 사용자에게는 업데이트를 받을 수 없는 상태가 된 거죠.
왜 차단된 건가요?
여기서 문제가 되는 건 마이크로소프트가 명확한 이유를 밝히지 않았다는 점이에요. 404 Media의 보도에 따르면, VeraCrypt 개발팀은 별다른 사전 경고 없이 계정이 종료되었다고 해요. 마이크로소프트의 개발자 프로그램 약관에는 여러 가지 사유로 계정을 종료할 수 있는 조항이 있긴 한데, 구체적으로 어떤 조항을 위반했는지에 대한 설명이 없었다는 거예요.
이런 일이 처음은 아니에요. 마이크로소프트는 이전에도 일부 오픈소스 프로젝트나 소규모 개발자 계정을 예고 없이 정지시킨 적이 있어요. 대형 플랫폼들이 자동화된 시스템으로 정책 위반을 감지하다 보니, 오탐(false positive)으로 정당한 계정이 차단되는 일이 종종 발생하거든요. 하지만 VeraCrypt처럼 수백만 명이 사용하는 보안 도구의 계정이 아무런 설명 없이 차단되는 건 꽤 심각한 문제예요.
플랫폼 의존성이라는 근본적인 문제
이 사건이 단순한 해프닝으로 끝나지 않는 이유가 있어요. 바로 플랫폼 의존성이라는 더 큰 구조적 문제를 드러내기 때문이에요.
오픈소스 소프트웨어가 아무리 코드를 공개하고, 커뮤니티가 자유롭게 개발에 참여한다 해도, 최종 사용자에게 전달되려면 플랫폼의 규칙을 따라야 해요. Windows에서는 코드 서명, 앱스토어에서는 앱 심사, 브라우저에서는 확장 프로그램 스토어 정책을 따라야 하죠. 이런 "게이트키퍼" 역할을 하는 플랫폼이 문을 닫아버리면, 아무리 좋은 오픈소스 프로젝트도 사용자에게 도달하기 어려워져요.
비슷한 사례로 구글이 Manifest V2 확장 프로그램 API를 폐지하면서 광고 차단 확장 프로그램들이 크게 영향을 받았던 일이 있어요. uBlock Origin 같은 도구가 기존 방식으로는 Chrome에서 제대로 동작할 수 없게 된 거죠. 플랫폼 사업자가 정책 하나를 바꾸면 그 위에서 동작하는 수많은 소프트웨어가 한순간에 영향을 받는 거예요.
Windows 디스크 암호화, 대안은 있을까?
VeraCrypt 업데이트가 막힌 상황에서 Windows 사용자들은 어떤 선택지가 있을까요? Windows 자체에는 BitLocker라는 내장 디스크 암호화 도구가 있어요. Windows Pro 이상 에디션에 포함되어 있고, TPM(신뢰 플랫폼 모듈) 칩과 연동해서 편리하게 사용할 수 있죠.
하지만 VeraCrypt를 쓰는 사람들이 BitLocker 대신 VeraCrypt를 택했던 데에는 이유가 있어요. 첫째, BitLocker는 소스 코드가 공개되지 않은 독점 소프트웨어예요. 보안 도구를 신뢰하려면 코드를 직접 검증할 수 있어야 한다고 생각하는 사람들에게는 큰 단점이죠. 둘째, BitLocker는 Windows Home 에디션에서는 사용할 수 없어요. 셋째, VeraCrypt는 Windows뿐 아니라 macOS, Linux에서도 동작하는 크로스 플랫폼 도구예요. 여러 운영체제를 넘나들며 작업하는 개발자에게는 이 점이 중요하죠.
또한 VeraCrypt는 "숨겨진 볼륨(Hidden Volume)"이라는 독특한 기능을 제공해요. 하나의 암호화된 디스크 안에 두 개의 비밀번호를 설정해서, 하나의 비밀번호로는 일반적인 데이터가 보이고 다른 비밀번호로는 진짜 숨기고 싶은 데이터가 보이게 하는 거예요. 강압적인 상황에서 비밀번호를 요구받더라도 진짜 데이터를 보호할 수 있는 기능이에요. 이런 기능은 BitLocker에는 없어요.
한국 개발자에게 주는 시사점
이 사건에서 한국 개발자들이 생각해볼 포인트가 두 가지 있어요.
첫째, 소프트웨어 배포 파이프라인의 취약점이에요. 여러분이 만든 소프트웨어를 사용자에게 전달하는 과정에서 플랫폼에 의존하는 부분이 얼마나 되는지 점검해볼 필요가 있어요. 코드 서명 인증서, 앱스토어 계정, 패키지 레지스트리 계정 같은 것들이 갑자기 차단되면 어떻게 될까요? 비상 계획을 세워두는 게 좋아요.
둘째, 오픈소스 프로젝트의 지속가능성이에요. VeraCrypt는 자원봉사 기반으로 운영되는 프로젝트인데, 이런 갑작스러운 플랫폼 차단에 대응할 수 있는 법적·조직적 역량이 부족할 수밖에 없어요. 개인이나 소규모 팀이 운영하는 오픈소스 프로젝트가 대형 플랫폼의 결정에 얼마나 취약한지를 잘 보여주는 사례예요. 중요한 오픈소스 프로젝트를 사용하고 있다면, 후원이나 기여를 통해 프로젝트의 지속가능성에 함께 기여하는 문화가 필요해요.
마무리
"오픈소스는 자유롭다"는 말은 코드 차원에서는 맞지만, 배포 차원에서는 여전히 플랫폼의 룰을 따라야 한다는 현실을 VeraCrypt 사건이 다시 한번 보여주고 있어요.
여러분이 만들거나 사용하는 소프트웨어가 특정 플랫폼에 의존하고 있다면, 그 의존성이 갑자기 끊어졌을 때를 대비한 플랜 B가 있으신가요?
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
