Microsoft가 VeraCrypt 계정을 종료해 Windows 업데이트 중단

• 오픈소스 암호화 소프트웨어 VeraCrypt의 Windows 업데이트 배포가 Microsoft의 갑작스러운 계정 해지로 전면 차단되었으며, 이는 대형 기술 기업에 의존하는 오픈소스 소프트웨어 공급망의 취약성을 드러낸 사례
• VeraCrypt 개발자 Mounir Idrassi는 사전 경고 없이 1월 중순 Windows 드라이버 및 부트로더 서명 계정이 해지되었음을 발견했으며, 이후 연락을 시도했지만 AI가 생성한 것으로 보이는 자동 응답만 받음
• Microsoft가 보낸 유일한 공식 메시지는 "요건 미충족" 통보였으나 구체적인 사유나 이의신청 절차 없이 계정이 종료되었고, 어떤 요건이 갑자기 충족되지 않았는지 전혀 설명이 없었음
• WireGuard의 개발자 Jason Donenfeld도 동일한 문제에 직면했다고 밝혀, VeraCrypt에만 국한된 사안이 아님이 드러남
• Linux·macOS 업데이트는 계속 가능하지만 사용자 대다수가 Windows 플랫폼을 사용하는 만큼 Windows 배포 불가는 프로젝트 전체에 치명적 타격

VeraCrypt란

• 드라이브 내 암호화 파티션 생성 또는 개별 암호화 볼륨 형태로 파일을 보호하는 오픈소스 도구
• 전신인 TrueCrypt 기반으로 제작되었으며, 자격 증명 제출을 강요당할 경우를 대비해 이중 볼륨(히든 볼륨) 기능도 제공

사건 경위

• Idrassi는 몇 달간 활동이 없었던 이유를 SourceForge 포럼에서 직접 설명
• 1월 중순, 수년간 사용해 온 Windows 드라이버 및 부트로더 서명 계정이 갑자기 사용 불가 상태임을 발견
• 사전 이메일이나 경고는 전혀 없었으며, Microsoft로부터 받은 유일한 메시지는 "현재 요건을 충족하지 못한다"는 내용뿐
• 해당 메시지에는 이의신청 불가 및 신청 종료 통보만 포함
• Idrassi의 회사 IDRIX가 갑자기 어떤 요건을 충족하지 못하게 됐는지 설명이 전혀 없음

개발자의 반응과 우려

• Microsoft 지원팀에 연락했으나 AI가 생성한 것으로 보이는 자동 응답만 수신
• "무엇이 문제인지 최소한 설명은 해줬어야 한다"며 Microsoft의 소통 부재를 강하게 비판
• "이런 결정을 내릴 때 소통이 없으면 미래에 대한 불확실성이 커지고, 자동화된 AI 응답은 이 과정을 비인간적으로 만든다" 고 지적

WireGuard도 동일 상황

• 인기 VPN 클라이언트 WireGuard의 개발자 Jason Donenfeld도 Hacker News에 동일한 문제를 게시
• "경고도 없이, 알림도 없이, 어느 날 업데이트를 배포하려고 로그인했더니 계정이 정지돼 있었다"고 언급

파급 효과

• Windows는 VeraCrypt 사용자 대다수가 이용하는 플랫폼으로, Windows 업데이트 배포 불가는 프로젝트에 치명적 타격
• Linux·macOS 업데이트는 여전히 가능하지만 핵심 플랫폼 지원 불가 상태
• 이번 사건은 오픈소스 소프트웨어가 대형 기술 기업 인프라에 부분적으로라도 의존할 때 발생할 수 있는 공급망 리스크를 부각
• Microsoft는 논평 요청에 답변하지 않음