VeraCrypt 프로젝트 업데이트

 (sourceforge.net)
2P by GN⁺ 21시간전 | ★ favorite | 댓글 1개
  • VeraCrypt의 Windows 드라이버 서명용 Microsoft 계정이 예고 없이 종료되어, 개발자 Mounir Idrassi가 Windows 버전 업데이트를 배포할 수 없는 상황에 놓임
  • Microsoft 측은 이의 제기 불가 메시지만 남겼으며, 여러 차례의 문의에도 자동 응답 외에는 답변이 없는 상태
  • 커뮤니티는 계정 복구 절차, 소셜 미디어 제보, 대체 서명 방식 등 다양한 해결책을 제안하며 지원에 나섬
  • 일부 사용자는 Rufus 프로젝트의 유사 사례를 공유하며, 도메인 검증 오류 등 행정적 문제 가능성을 제시함
  • 여러 개발자와 사용자가 Microsoft 내부 연결 및 공개 지원을 시도하며, VeraCrypt의 지속적 유지와 보안을 위한 협력 의지를 보임

VeraCrypt 프로젝트 업데이트

  • Microsoft 계정 종료로 인한 개발 중단

    • VeraCrypt 개발자 Mounir Idrassi는 수개월간의 부재 후, Windows 드라이버와 부트로더 서명에 사용하던 Microsoft 계정이 종료되었다고 밝힘
    • Microsoft는 사전 경고나 이메일 통보 없이 계정을 해지했으며, 메시지에는 이의 제기 불가로 표시되어 있음
    • 여러 경로로 Microsoft에 연락을 시도했으나 자동 응답만 받았고, 실제 담당자와의 접촉은 이루어지지 않음
    • 이로 인해 VeraCrypt의 Windows 버전 업데이트 배포가 불가능해졌으며, 프로젝트 운영에 큰 차질이 발생함
    • Linux와 macOS 버전은 계속 업데이트할 수 있으나, 대다수 사용자가 Windows를 사용하기 때문에 영향이 큼

  • 커뮤니티의 대응과 제안

    • 사용자 Marty는 현재 Windows 버전(1.26.24)이 2011년 인증서로 서명되어 곧 만료될 예정이라며, Secure Boot 환경에서 비서명 버전 사용 시 문제를 우려함
    • AJ B는 Microsoft 지원 페이지의 계정 복구 양식 및 고객 지원 링크를 이용하고, Reddit 및 X(구 Twitter) 를 통한 공개 제보를 권장함
    • Alex R는 이 사안을 Microsoft 관련 소셜 채널에 공유해 주목도를 높이겠다고 제안했고, Idrassi는 이를 긍정적으로 수락
    • 风之暇想은 서명에 의존하지 않는 아카이브형 암호화 프로그램 추가를 제안해, 서명 문제에 대응할 수 있는 방안을 제시함

  • 추가 조언 및 지원 시도

    • Phoenix는 소프트웨어가 불법 활동에 사용될 수 있다는 신고로 계정이 삭제되었을 가능성을 언급하며, 비시스템 파티션만 지원하는 임시 제한 버전을 제안함
    • Enigma2Illusion은 Microsoft CEO Satya Nadella에게 직접 이메일을 보내는 방법을 구체적으로 제시함
      • 이메일 제목, 본문, 첨부 스크린샷, 연락처 정보 등을 포함한 예시 서신 양식을 제공함
    • Preguntar Jeeves는 계정이 완전히 삭제된 것이 아니라 비활성화 상태일 가능성을 언급하며, 암호화 커뮤니티 인사 및 언론, 정치인에게 연락할 것을 조언함
      • 언급된 인사에는 Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul, Ron Wyden 등이 포함됨

  • 유사 사례 및 해결 가능성

    • Pete Batard는 Rufus 프로젝트에서 동일한 Microsoft Partner Center 오류를 경험했다고 밝힘
      • 자신의 경우, 도메인 등록기관의 WHOIS 검증 실패로 인해 자동 검증이 중단되었으며, Microsoft 지원팀과의 직접 연락 후 해결
      • 오류 메시지의 “이의 제기 불가” 문구는 실제 비즈니스 검증 절차와는 별개의 자동 문구일 가능성이 높다고 설명함
      • 도메인 등록 증빙 자료 제출 후 문제를 해결했으며, Idrassi의 경우도 유사한 원인일 수 있다고 언급함

  • Microsoft 내부 연결 시도

    • Rafael Rivera는 Microsoft 내부 인맥을 통해 문제를 전달할 수 있다며 이메일 공유를 요청
    • 커뮤니티 내 여러 사용자가 Idrassi의 상황에 공감과 지지를 표시하며, 프로젝트의 지속을 돕기 위한 다양한 기술적·사회적 지원 방안을 제시함

함께 보면 좋은 글 β

GN⁺ 21시간전  [-]
Hacker News 의견들

  • 현재 나도 WireGuard 관련으로 같은 문제를 겪고 있음
    아무런 경고나 알림 없이 계정이 정지되었고, 지금은 60일짜리 이의 제기 절차를 밟는 중임
    만약 실제로 RCE 취약점이 발생해 즉시 패치를 배포해야 하는 상황이었다면, Microsoft가 내 손을 완전히 묶어버렸을 것임
    혹시 Microsoft 내부에서 도와줄 수 있는 사람이 있다면 연락 부탁함 (jason at zx2c4 dot com)

    • 이런 상황을 보면, Microsoft나 Google, Apple, Visa, Mastercard, 그리고 곧 OpenAI, Anthropic 같은 기업들은 공공재처럼 규제되어야 한다고 생각함
      이런 기업들이 정상적인 사용자에게 서비스를 거부하는 건 불법이어야 함
      미국에서는 정치적 이유로 어렵겠지만, EU에서는 가능성이 있음
      EU 밖의 사람들은 에스토니아 e-Residency를 통해 EU 규제 보호를 받을 수도 있음
    • WireGuard 창시자의 Microsoft 계정이 정지됐다니 정말 충격적인 일
      Microsoft가 사용자의 네트워크 암호화드라이브 암호화를 막으려는 것처럼 보임
    • WireGuard의 개발자가 이런 상황에 처했다는 게 믿기지 않음
      Microsoft는 Azure Kubernetes Service에서도 WireGuard를 지원하고 있는데 말임
    • /tinfoil time
      60일이라는 기간이 묘하게 길고 짧음
      미국 정부가 보안 취약점을 악용할 시간을 벌기엔 충분하고, 이후엔 Microsoft가 “실수였음”이라며 복구해줄 수도 있음
      결국 보안 소프트웨어를 일시적으로 묶어두는 전략처럼 보임
    • 이 스레드 덕분에 나도 관련 내용을 트윗으로 공유했음

  • Microsoft 부사장이 올린 업데이트 트윗을 참고할 만함

  • 처음엔 Veracrypt 개발자들이 이런 상황에 처했다는 게 놀라웠는데, 이제는 WireGuard 개발자도 그렇다니
    혹시 Microsoft가 오픈소스 프로젝트를 억제하고 자사 솔루션을 밀기 위한 새로운 정책을 시행 중인 걸까?

    • 아마도 갑작스러운 다운로드 증가로 인한 자동 차단 시스템 때문일 가능성이 높음
      요즘 기업들이 비전문 사용자를 노린 사기 앱 유포를 막기 위해 이런 조치를 강화하고 있음
      Google이 사이드로딩을 막는 이유와 비슷한 맥락임
    • 맞음

  • 이런 문제는 언론 보도가 나와야만 해결되는 구조임
    예전에 neocities가 Bing과 연락이 안 됐을 때처럼, Ars Technica 같은 매체가 다뤄야 함

    • Microsoft가 소비자용 OS 시장에서 가진 준독점적 지위를 남용하는 것 같음
      규제 조치가 필요한 시점임
    • 언론 보도로 해결되는 건 일시적인 임시방편에 불과함
      지금의 앱 배포 구조는 이미 “사용자가 선택”하는 모델이 아니라, 기업이 관리하는 화이트리스트 체계로 바뀌었음
      개인 개발자나 오픈소스 개발자는 이 과정에서 Kafka식 절차와 불합리한 비용, 불투명한 기준에 시달림
      나도 내 앱 Payload의 Digicert 코드 서명 갱신이 6개월째 막혀 있음
      이건 단순한 기술 문제가 아니라, 독점적 검증 시스템의 문제임
      SSL 인증서의 pre-Let’s Encrypt 시대보다 더 비싸고 까다롭고 모호함
    • 오늘 관련 내용을 X에 공개했음

  • 이건 마치 LibreOffice 사건의 재현 같음
    관련 기사를 보면 Microsoft가 LibreOffice 개발 버전을 차단했었음

    • Microsoft 계정을 강제로 만들게 해놓고, 그 계정을 차단해버리면 사용자는 자신의 데이터 접근권까지 잃게 됨
      이런 구조는 위험하며, Windows를 떠날 이유가 하나 더 생김
    • LibreOffice 사건과 직접 관련은 없을 수도 있음
      Microsoft의 자동 남용 탐지 시스템이 엉망이라서 계정이 이유 없이 잠기는 경우가 많음
      가능하면 중요한 일에는 MS 계정을 쓰지 말고, 서명은 제3자 CA를 이용하는 게 좋음

  • TrueCrypt 개발자가 갑자기 프로젝트를 중단하고 BitLocker를 대체재로 추천했던 이유가 여전히 의문임

    • 일반적으로 알려진 건, 개발자가 무기 밀매 혐의로 수감되었다는 것임
      Paul Le Roux 위키 문서 참고
    • 왜 TrueCrypt가 Archive.org에서 제외되었는지도 궁금함
      아카이브 링크
    • 아마도 Lavabit처럼 정부 요구에 굴하지 않기 위해 자진 종료했을 가능성이 높음
    • 나도 그 사건이 수상하다고 생각해서 여전히 TrueCrypt를 사용하고 있음

  • 지금 상황을 보면 Linux만이 유일한 희망처럼 느껴짐
    Windows나 macOS는 비즈니스용으로 쓰기엔 너무 위험하고 비효율적임

    • 미국 일부 주에서는 OS 차원에서 연령 인증 요구를 넣어 Linux 사용을 어렵게 만들려는 움직임이 있음
    • Valve가 단순히 게임을 넘어서 Linux 생태계 확장에 나설 수도 있지 않을까 기대함
    • 하지만 여전히 대다수 일반 사용자에게는 사용성이 낮음

  • 내 예측으로는 Microsoft가 여론 반응을 시험 중임
    반발이 크면 “실수였음”이라며 계정을 복구하고, 반응이 약하면 VPN, 토렌트, 광고 차단기 같은 소프트웨어의 서명 키를 점점 더 막을 것임

    • 결국 Microsoft의 ‘enshittification’ 전략이 본격화된 것임
      그들의 오픈소스 참여는 순수한 의도가 아니라 비즈니스적 계산이었음
      이제 Windows를 완전히 잠그려 하고 있으며, GitHub와 VSCode도 같은 길을 갈 가능성이 큼

  • Veracrypt의 일부 기능은 Windows에서만 가능함
    예를 들어 전체 시스템 파티션 암호화Hidden OS 설치는 MBR 기반 Windows에서만 작동함
    이런 plausible deniability 기술이 OS 수준에서 더 발전하길 바랐지만, 이제는 거의 사라짐
    BlackHat 발표 자료에서도 비슷한 시도가 있었음

    • 하지만 Windows를 버리면 애초에 Veracrypt가 필요 없게 됨

  • Microsoft가 개발자의 서명 인증서를 비활성화해서 Windows용 릴리스를 배포할 수 없게 됨

    • 그래도 설치는 가능함, 단지 경고 메시지가 뜰 뿐임
    • Windows용 서명 소프트웨어를 준비 중인 입장에서 이런 사례는 매우 불안함
      이미 신원이 검증된 개발자의 인증서를 취소할 이유가 뭘까?
      이런 결정을 법적으로 대응할 방법이 있는지도 궁금함
답변달기