VeraCrypt에 무슨 일이 생긴 거예요?
VeraCrypt은 디스크 암호화 도구로, 보안을 중요시하는 개발자라면 한 번쯤 들어봤거나 써봤을 소프트웨어예요. TrueCrypt이라는 전설적인 암호화 도구가 2014년에 갑자기 개발이 중단되었는데, VeraCrypt이 그 뒤를 이어받아 지금까지 유지되어 왔거든요. 그런데 최근 VeraCrypt의 주요 개발자가 프로젝트 현황에 대한 업데이트를 공유하면서, 오픈소스 프로젝트의 지속가능성에 대한 중요한 이야기를 꺼냈어요.
핵심은 이거예요. VeraCrypt처럼 보안에 민감하고 중요한 소프트웨어가, 사실상 소수의 개발자(때로는 한 명)에 의존해서 유지되고 있다는 현실. 그리고 그 개발자가 번아웃을 겪고 있다는 거예요.
무슨 이야기가 나왔나
VeraCrypt의 주요 개발자 Mounir IDRASSI가 SourceForge 포럼에 올린 글을 보면, 프로젝트가 겪고 있는 어려움이 솔직하게 담겨 있어요. 오랜 시간 동안 거의 혼자서 프로젝트를 이끌어왔는데, 이게 지속가능하지 않다는 거예요.
디스크 암호화 소프트웨어라는 게 뭐냐면, 여러분의 하드드라이브나 SSD 전체를 암호화해서, 컴퓨터를 분실하거나 도난당해도 데이터를 볼 수 없게 만드는 도구예요. Windows의 BitLocker, macOS의 FileVault와 비슷한데, VeraCrypt은 오픈소스이고 크로스 플랫폼이라는 장점이 있어요. 특히 "숨겨진 볼륨(hidden volume)"이라는 기능이 있는데, 이건 암호화된 공간 안에 또 다른 암호화된 공간을 숨기는 건데, 강제로 비밀번호를 요구받는 상황에서도 진짜 데이터를 보호할 수 있는 기능이에요. 이런 기능 때문에 언론인, 인권 활동가, 보안 연구원들이 많이 사용하죠.
이렇게 중요한 보안 소프트웨어가 한두 명의 무급 자원봉사자에 의존한다는 건 꽤 심각한 문제예요. 보안 소프트웨어는 취약점이 발견되면 빠르게 패치해야 하잖아요. 메인테이너가 번아웃으로 쉬게 되면 그 기간 동안 사용자들은 취약한 상태로 노출될 수 있거든요.
이건 VeraCrypt만의 문제가 아니에요
사실 이런 일이 처음은 아니에요. 오픈소스 생태계에서 반복적으로 나타나는 패턴이거든요.
가장 유명한 사례가 OpenSSL의 Heartbleed 사건(2014)이에요. 인터넷 보안의 근간이 되는 OpenSSL을 유지하는 풀타임 개발자가 사실상 한 명이었고, 심각한 보안 취약점이 몇 년간 방치되어 있었어요. 이 사건 이후 Linux Foundation이 Core Infrastructure Initiative를 만들어서 중요한 오픈소스 프로젝트에 자금을 지원하기 시작했죠.
Log4Shell(2021)도 비슷해요. 자바 생태계의 핵심 로깅 라이브러리인 Log4j에서 초대형 보안 취약점이 발견됐는데, 이것도 소수의 자원봉사자가 유지하던 프로젝트였어요. 전 세계가 패닉에 빠졌을 때 패치를 만들어야 하는 건 무급 메인테이너들이었죠.
xz utils 백도어 사건(2024)은 더 무서운 케이스예요. 번아웃에 시달리던 메인테이너에게 악의적인 기여자가 접근해서 신뢰를 쌓은 뒤, 백도어를 심은 사건이에요. 메인테이너의 피로를 악용한 소셜 엔지니어링 공격이었죠.
VeraCrypt의 상황이 이런 최악의 시나리오로 이어질 거라는 건 아니에요. 하지만 같은 구조적 취약점을 가지고 있다는 점에서 경각심을 가질 필요가 있어요.
오픈소스 지속가능성, 대안은 있나요?
몇 가지 모델이 시도되고 있어요. GitHub Sponsors, Open Collective 같은 플랫폼을 통한 직접 후원 모델이 있고, Tidelift 같은 회사는 기업이 쓰는 오픈소스 의존성의 메인테이너에게 대가를 지불하는 중개 모델을 운영해요. Linux Foundation, Apache Foundation 같은 재단 모델도 있고요.
하지만 현실적으로 대부분의 중소 규모 오픈소스 프로젝트는 여전히 자원봉사에 의존하고 있어요. "내가 쓰는 무료 소프트웨어를 누군가 무급으로 유지해주고 있다"는 사실을 개발자들이 좀 더 인식할 필요가 있죠.
한국 개발자에게 주는 시사점
한국 개발자들에게 이 이야기가 의미 있는 이유는 몇 가지 있어요.
첫째, 우리가 쓰는 보안 도구의 건강 상태를 체크해볼 필요가 있어요. 프로젝트에서 사용하는 오픈소스 라이브러리 중에 메인테이너가 한두 명인 게 뭐가 있는지 한 번 살펴보세요. npm, pip, go mod 의존성 트리를 따라가다 보면, 놀라울 정도로 적은 인원이 유지하는 핵심 패키지들이 있을 거예요.
둘째, 기여는 코드만이 아니에요. 이슈 트리아지, 문서화, 번역, 테스트, 버그 리포팅, 심지어 메인테이너에게 격려의 메시지를 보내는 것까지 모두 의미 있는 기여예요. 한국어 번역이나 한국 사용자를 위한 가이드를 작성하는 것도 프로젝트에 큰 도움이 되죠.
셋째, 회사 차원에서 오픈소스 후원을 고민해볼 시점이에요. 한국 테크 기업들이 오픈소스를 많이 활용하면서도 후원은 상대적으로 적은 편이거든요. 팀에서 핵심적으로 사용하는 오픈소스 프로젝트에 GitHub Sponsors로 월 몇 달러라도 후원하는 문화가 자리잡으면 좋겠어요.
마무리
VeraCrypt의 이야기는 단순한 하나의 프로젝트 소식이 아니라, 오픈소스 생태계 전체의 구조적 문제를 보여주는 거울이에요. 우리 모두가 쓰고 있는 소프트웨어의 지속가능성은 결국 커뮤니티의 참여에 달려 있어요.
여러분이 매일 쓰는 오픈소스 도구 중에, 메인테이너에게 감사 인사라도 보내고 싶은 프로젝트가 있나요?
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
