MS 계정 잠금에 멈춘 WireGuard 업데이트…오픈소스 보안 생태계의 ‘신뢰’가 시험대에

인기 오픈소스 VPN 프로젝트 WireGuard를 만든 개발자가 마이크로소프트(Microsoft)의 개발자 계정 잠금 때문에 윈도우 사용자용 소프트웨어 업데이트를 배포하지 못하게 됐다고 밝혔다. TechCrunch에 따르면, WireGuard 창시자 제이슨 도넨펠드(Jason Donenfeld)는 Microsoft 개발자 계정이 비활성화(접근 제한)되면서 Windows 드라이버 서명 및 업데이트 패키징이 중단됐다고 설명했다. 이번 사태는 최근 보안 소프트웨어 개발자들이 계정 제재로 인해 배포 파이프라인이 막힌 사례가 반복되고 있다는 점에서 보안 업계의 우려를 키운다.

개발자 계정 잠금, “업데이트 전송”을 막다

도넨펠드는 TechCrunch와의 이메일에서, 최근 몇 주간 WireGuard의 Windows 코드 현대화를 진행했고, 업데이트를 사용자에게 내보내기 전 Microsoft 측 체크를 위해 복사본을 제출할 준비를 마쳤다고 말했다. 하지만 Microsoft 개발자 영역에 로그인하려는 과정에서 “access restricted(접근 제한)” 오류가 발생해 배포 작업이 중단됐다고 전했다.

그는 라이선스·신분 확인 등 Microsoft가 사용하는 제3자 검증 절차를 거쳤고 “verified(검증 완료)” 처리를 받았음에도 불구하고 계정 접근이 계속 정지된 상태라고 덧붙였다. 또한 Microsoft의 Windows Hardware Program이 파트너 개발자들에게 계정 검증을 요구해 왔고, 해당 검증은 2024년 4월 이후 미완료 파트너에게 추가 조치가 있었던 것으로 도넨펠드는 파악했다고 밝혔다. 이 프로그램은 개발자들이 Windows PC 및 기타 장치에 하드웨어·장치 드라이버를 배포할 수 있게 하지만, 드라이버 권한은 악용될 소지가 크기 때문에 접근을 엄격히 통제한다.

도넨펠드는 다만 “당장 수정이 필요한 치명적 취약점이 있는 건 아니지만(가정적으로), 사용자는 위험에 노출될 수 있다”고 TechCrunch에 말했다. 즉, 이번 문제의 본질은 ‘취약점의 유무’가 아니라 배포 역량(배포 파이프라인)의 신뢰성이 흔들린다는 데 있다.

‘두 번째’로 번진 유사 사건…암호화 소프트웨어도 차단

이번 사태는 오픈소스 보안 프로젝트에서 계정 제재가 연쇄적으로 발생할 수 있다는 신호로 읽힌다. TechCrunch에 따르면, 이번 사건은 앞서 VeraCrypt 개발자도 비슷한 상황을 겪었다고 밝힌 ‘두 번째’ 고위 사례로 소개됐다.

VeraCrypt의 개발자 무니르 이드라시(Mounir Idrassi)는 Microsoft가 계정을 잠근 뒤, 사용자에게 제때 업데이트를 내기 어려워졌다고 말했다. 그는 특히 인증기관(CA) 관련 중요한 만료 시점이 있었던 만큼, 업데이트가 지연되면 일부 사용자는 부팅 자체가 불가능해질 수 있다고 우려했다. 두 프로젝트 모두 “사전 알림 없이 계정이 잠겼다”는 점에서 공통점이 있다.

오픈소스 보안에서 ‘배포 권한’은 곧 생존 문제

WireGuard는 단순하고 안전한 설계로 널리 쓰이며, Proton, Tailscale 등 상용 서비스와 연동되는 기반 기술로도 알려져 있다. 이런 성격의 소프트웨어는 전 세계 사용자에게 빠르게 패치를 전달하는 것이 핵심인데, 이번처럼 개발자가 서명·배포에 필요한 권한을 상실하면 ‘코드는 수정했더라도’ 실제 업데이트는 멈출 수 있다.

Windows 생태계에서 드라이버 서명 및 배포는 악성 행위에 악용될 여지가 있어 통제가 필요하다는 점은 이해된다. 그러나 이번 사건은 통제 자체보다 절차의 투명성, 사전 통지 여부, 복구까지 걸리는 시간 같은 운영 요소가 문제로 부각된다. 도넨펠드가 지적한 “검증은 완료했는데도 접근이 정지됐다”는 상황은, 보안 업계가 필요로 하는 ‘예측 가능하고 즉각적인 구제 메커니즘’이 부족할 수 있음을 시사한다.

개발자와 사용자 사이의 공백…“긴급 패치”의 시간표가 뒤틀리다

이번 사건은 사용자의 입장에서도 불편을 넘어 잠재적 위험으로 이어질 수 있다. WireGuard 개발자는 당장 긴급 취약점이 없다고 했지만, 만약 실제 보안 이슈가 발생하는 순간 업데이트 전송이 막혀 버리면 공격자에게 시간 이득이 생긴다. 오픈소스 보안 소프트웨어는 보통 “발견 즉시 패치”가 신뢰를 만든다. 그런데 계정 잠금과 같은 외부 요인이 그 시간표를 무너뜨리면, 사용자는 보안 업데이트의 지연 리스크를 떠안게 된다.

현재 공개된 정보만으로 Microsoft가 어떤 근거로 해당 계정을 잠갔는지, 그리고 개발자에게 어떤 경고·대체 경로가 제공됐는지의 세부는 확인되지 않았다. 다만 두 프로젝트 모두 유사하게 “사전 통지 없이 배포가 막혔다”는 취지의 설명을 했다는 점에서, 보안 업계는 정책 집행 과정의 일관성과 커뮤니케이션 체계를 재점검해야 한다는 요구가 커질 가능성이 있다.

What’s Next: 계정 복구와 임시 배포 경로가 관건

향후 가장 중요한 관찰 포인트는 두 가지다. 첫째, WireGuard 개발자의 Microsoft 개발자 계정이 언제, 어떤 절차로 복구되는지다. 둘째, 복구 전이라도 사용자를 보호할 임시 배포 경로(예: 다른 서명 체계, 배포 대체 파이프라인, Microsoft 측과의 긴급 협의 창구 등)가 마련될 수 있는지다.

또한 업계 전반에서는 오픈소스 보안 프로젝트가 특정 플랫폼 사업자의 계정·서명·배포 체계에 과도하게 의존할 경우 생기는 리스크를 줄이기 위한 논의가 더 활발해질 수 있다. 개발자는 물론 배포를 제공하는 운영자와 사용자들도 “코드가 준비됐는지”뿐 아니라 “배포가 가능한 상태인지”를 함께 확인해야 하는 시대가 오고 있다는 신호로 해석된다.