홈으로 돌아가기

계정 차단 VeraCrypt WireGuard Microsoft

Microsoft가 검증되지 않은 프로필로 인해 Windows Hardware Program에서 VeraCrypt, WireGuard 및 기타 개발자 계정을 차단했습니다. 이는 드라이버 업데이트를 마비시켰으며, 특히 CA-2011 취소 전에 시스템 암호화 VeraCrypt에 치명적입니다. 위험, 트레이드오프 및 개발자 권장사항 분석.

Microsoft가 VeraCrypt와 WireGuard를 동결시켰습니다: Windows에 어떤 일이 기다리고 있을까
Advertisement 728x90

마이크로소프트, 오픈소스 개발자 봉쇄: 베라크립트와 와이어그랜드, 윈도우에서 위험에 처함

마이크로소프트는 갑작스럽게 윈도우 하드웨어 프로그램 내 핵심 오픈소스 도구—베라크립트, 와이어그랜드, 메모리테스트86, 윈드스크라이브의 개발자 계정을 정지시켰다. 유효한 디지털 서명 없이는 윈도우 드라이버 업데이트를 배포할 수 없으며, 이는 수백만 사용자의 보안을 위협한다. 특히 베라크립트는 2011년 루트 인증서의 즉각적인 취소로 인해 더욱 취약한 상태다.

사건 일지

2026년 3월 30일, 베라크립트 개발자 무니르 이드라시는 마이크로소프트 파트너 센터에서 자신의 계정이 차단된 것을 발견했다. 항의 요청은 이유 없이 거부됐다. 마찬가지로 와이어그랜드 유지보수 담당자인 제이슨 도넨펠드는 업데이트를 게시할 수 없었고, 계정이 잠기면서 60일간의 재심사 절차가 시작됐다.

개발자들은 사전 경고가 전혀 없었다고 강조한다. 마이크로소프트는 2025년 10월 16일부터 의무적 파트너 검증을 도입했으며, 30일 내 준수해야 했고 이후 자동으로 계정이 정지됐다. 이메일이 전송됐다는 주장이 있지만, 수신자는 이를 확인하지 못했다.

Google AdInline article slot

매체 보도 후 스콧 한슬먼 마이크로소프트 부사장이 직접 연락하며 해결을 약속했지만, 현재까지 영향을 받은 계정은 여전히 비활성화된 상태다.

프로젝트에 미치는 기술적 영향

베라크립트: 현재 버전 1.26.24는 마이크로소프트 루트 인증기관 2011 인증서를 사용 중이며, 이 인증서는 2026년에 취소될 예정이다. 새로운 서명된 부트로더 없이선 세이프부트에서 전체 디스크 암호화(FDE)가 실패할 것이다. 시스템 외부 볼륨(컨테이너, 파티션)은 덜 영향을 받는다.

와이어그랜드 및 윈드스크라이브: 차단으로 인해 대부분 사용자가 이 도구를 사용하는 윈도우 패치가 불가능해졌다. 심각한 원격코드실행(RCE) 취약점은 60일 내 수정이 필요하지만, 리눅스와 맥OS용 업데이트는 이미 출시됐다.

Google AdInline article slot

메모리테스트86: RAM 진단 도구가 위험에 노출되며, 서명되지 않은 도구는 세이프부트 시스템에서 실행되지 않는다.

  • 주요 위험 요소:

- 60일 이상 지연되는 보안 패치

- 베라크립트 시스템 암호화 실패

Google AdInline article slot

- 마이크로소프트 드라이버 서명 독점에 대한 과도한 의존

- 검증 요구사항에 대한 알림 부족

세이프부트와 서명의 중요성

윈도우 하드웨어 프로그램은 드라이버와 부트로더용 EV 코드 서명 인증서를 발급한다. 이 인증서 없이는 소프트웨어가 세이프부트 검사를 통과하지 못하며, 이는 모든 최신 PC에서 표준이다. 마이크로소프트가 루트 키를 통제하므로 오픈소스 프로젝트는 행정적 오류에 취약하다.

균형점: 세이프부트의 편의성 vs 유연성. 개발자는 인간 감시 없이 완전 자동화된 프로세스를 가진 공급업체에 의존해야 한다. 이는 공급망 보안과 신속한 업데이트 사이의 긴장감을 초래한다.

고급 개발자에게 조언: 다중 플랫폼 전략의 필요성을 인식해야 한다. WSL2나 가상머신에서 드라이버를 테스트하고, 마이크로소프트 문서를 통해 CA 취소 현황을 모니터링하자.

사용자 및 DevOps 팀을 위한 권고사항

  • 상태 확인: 베라크립트 사용자는 veracrypt --version 명령어를 실행해 보세요. 1.26.24가 출력되면 마지막 서명된 버전임을 의미합니다.
  • 업데이트 모니터링: 공식 발표를 위해 소스포지 및 깃허브 저장소를 주기적으로 확인하세요.
  • 대안 활용: 윈도우에서는 시스템 암호화에 비트로커를 사용하세요. VPN은 자체 서명 인증서를 사용하는 오픈VPN을 고려하되, 그 위험을 이해해야 합니다.
  • 개발 전략: CI/CD 파이프라인에 서명되지 않은 드라이버를 대비한 백업 전략을 구현하고, 핵심 작업을 리눅스로 이전하세요.
  • 장기 전략: 생산 환경에서는 세이프부트가 없는 하드웨어나 커스텀 UEFI 펌웨어를 고려하세요.

현재 버전은 작동하지만, 패치되지 않은 취약점은 위험을 증가시킨다. 베라크립트 사용자 중 시스템 암호화에 의존하는 경우, 지속적인 모니터링이 필수적이다.

가장 중요한 점들

  • 사전 경고 없이 자동 계정 정지로 네 개 이상의 프로젝트의 업데이트 체인이 끊겼다.
  • 베라크립트는 심각한 위험에 처해 있다: CA-2011 인증서의 취소는 신속한 대응 없이 세이프부트 암호화를 무력화할 것이다.
  • 오픈소스 프로젝트가 마이크로소프트의 서명 프로세스에 의존하는 것은 윈도우 생태계 전반에 시스템적 위험을 야기한다.
  • 매체의 압박이 행동을 촉발했지만, 검증 워크플로우는 긴급 개선이 필요하다.
  • 최선의 실천: 플랫폼 다양화와 함께 CA 취소 목록 모니터링을 적극적으로 수행하기.

IT 산업 전체에 주는 교훈

이 사건은 독점적 코드 서명의 이면을 드러낸다: 보안과 접근성 사이의 균형. 수백만 사용자가 있는 오픈소스 프로젝트(베라크립트는 1,000만 건 이상 다운로드)가 단일 공급업체의 투명하지 않은 프로세스에 의존해서는 안 된다. 애플의 노타리제이션이나 구글 플레이 정책에서도 유사한 위험이 존재한다.

중·고급 개발자에게: 인증서 취소 목록(CRL/OCSP) 알림 시스템을 구축해야 한다. 운영 환경에서는 더블부트 구성이나 컨테이너 기반 대안을 사용하자.

— Editorial Team

Advertisement 728x90

다음 읽기