VeraCrypt 3분 소요

마이크로소프트가 VeraCrypt 계정을 차단했다 — 오픈소스 암호화 도구의 위기

전 세계 수백만 명이 사용하는 오픈소스 디스크 암호화 도구 VeraCrypt. 그런데 어느 날 갑자기 마이크로소프트가 개발팀의 계정을 차단해버렸습니다. 이유도 제대로 알려주지 않은 채. 오픈소스 프로젝트가 빅테크 플랫폼 위에 서 있을 때 벌어질 수 있는 일의 민낯입니다.

무슨 일이 벌어졌나

VeraCrypt 개발팀의 마이크로소프트 계정이 갑작스럽게 종료(terminate)됐습니다. 이 계정은 단순한 이메일 계정이 아닙니다. Windows용 VeraCrypt 드라이버에 코드 서명을 하기 위한 핵심 인프라였습니다.

Windows에서 커널 레벨 드라이버를 배포하려면 마이크로소프트의 하드웨어 개발자 프로그램(Windows Hardware Dev Center)을 통해 서명을 받아야 합니다. 계정이 차단되면서 이 과정 전체가 멈췄습니다. 새로운 버전 릴리스는 물론, 기존 사용자에 대한 Windows 업데이트 호환성 패치도 내놓을 수 없는 상황이 된 겁니다.

디스크 암호화 도구에 코드 서명이 왜 중요한가

일반 앱이라면 서명 없이도 설치할 수 있습니다. 경고창 하나 무시하면 되니까요. 하지만 VeraCrypt는 다릅니다.

VeraCrypt는 디스크 전체를 암호화하는 도구입니다. 이를 위해 Windows 부팅 과정에 깊숙이 개입하는 커널 드라이버가 필요합니다. 서명되지 않은 커널 드라이버는 Windows가 로드 자체를 거부합니다. Secure Boot가 켜져 있으면 아예 부팅이 안 될 수도 있습니다.

결국 마이크로소프트의 서명 없이는 VeraCrypt의 핵심 기능 자체가 Windows에서 작동할 수 없습니다. 플랫폼 사업자가 쥐고 있는 열쇠가 이렇게 결정적인 겁니다.

왜 차단했는지 아무도 모른다

가장 불편한 부분은 여기입니다. 마이크로소프트는 계정 차단의 구체적인 이유를 공개하지 않았습니다. 약관 위반이라는 포괄적인 통보만 있었을 뿐입니다.

VeraCrypt는 TrueCrypt의 뒤를 잇는 프로젝트로, 2014년부터 10년 넘게 운영되어 온 검증된 오픈소스 도구입니다. 보안 감사도 여러 차례 통과했고, 유럽연합의 FOSSA 프로젝트를 통해 공식 감사를 받기도 했습니다. 악성코드를 배포한 적도, 라이선스를 위반한 적도 없습니다.

그런 프로젝트의 계정을 명확한 설명 없이 차단한다? 이건 단순한 기술적 문제가 아니라 절차적 정당성의 문제입니다.

플랫폼 위의 오픈소스는 세입자다

이 사건은 오래된 구조적 문제를 다시 수면 위로 끌어올립니다. 오픈소스 프로젝트가 상용 플랫폼에 의존할 때 발생하는 권력 비대칭 말입니다.

몇 가지 사례를 떠올려 보면 패턴이 보입니다. 구글이 예고 없이 개발자 계정을 정지시키는 플레이스토어, npm 패키지 하나가 삭제되면서 전 세계 빌드가 깨졌던 left-pad 사건, 그리고 GitHub이 제재 대상국 개발자의 저장소를 제한했던 일까지.

VeraCrypt 사건도 같은 맥락입니다. 코드는 오픈소스지만, 그 코드가 사용자에게 도달하려면 마이크로소프트라는 게이트키퍼를 통과해야 합니다. 게이트키퍼가 문을 닫으면 아무리 훌륭한 코드도 소용이 없습니다.

사용자는 어떻게 해야 하나

현재 VeraCrypt를 사용 중인 사용자라면 당장 패닉할 필요는 없습니다. 이미 설치된 버전은 정상 작동합니다. 다만 향후 Windows 대규모 업데이트 시 호환성 문제가 생길 수 있다는 점은 인지해둘 필요가 있습니다.

리눅스 환경에서는 이 문제와 무관하게 VeraCrypt를 계속 사용할 수 있습니다. 마이크로소프트의 코드 서명이 필요 없으니까요. 이것만 봐도 문제의 본질이 VeraCrypt의 기술력이 아니라 플랫폼 종속성에 있다는 게 분명해집니다.

VeraCrypt 개발팀은 대안적인 코드 서명 경로를 모색하고 있는 것으로 알려져 있지만, Windows 커널 드라이버 서명의 특성상 마이크로소프트를 완전히 우회하기는 어려운 상황입니다.

더 큰 질문

이 사건이 던지는 진짜 질문은 이겁니다. 보안과 프라이버시를 위한 도구가 그 보안을 무력화할 수 있는 플랫폼 사업자에게 의존해도 괜찮은 걸까요?

VeraCrypt는 언론인, 인권 활동가, 기업의 기밀 데이터 보호에 쓰이는 도구입니다. 이런 도구의 배포 경로가 한 기업의 재량에 달려 있다는 건 단순한 불편함을 넘어서는 문제입니다. 오픈소스 생태계의 자립성, 그리고 디지털 인프라의 공공성에 대해 다시 생각해볼 때입니다.

VeraCrypt 마이크로소프트 오픈소스 플랫폼 권력 암호화

댓글

    댓글을 불러오는 중...

    더 깊이 들여다보기

    관련 글

    전체 보기

    Claude Code

    Anthropic이 Claude Code에서 OpenClaw를 차단했다, 그리고 드러난 불편한 진실

    npm

    axios가 해킹당했다 — 주간 다운로드 4천만의 NPM 패키지가 뚫린 날

    Azure

    전직 Azure 엔지니어가 말하는 신뢰 증발기 — 마이크로소프트 클라우드에 무슨 일이 있었나