-
http://truecrypt.sourceforge.net/
-
http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
-
http://threatpost.com/audit-aims-to-put-concerns-over-dubious-truecrypt-license-to-rest
5월 중순 잘 알려진 비 영리 암호화 유틸리티인 트루크립트(TrueCrypt)를 다운로드 하려던 사용자들은 “트루크립트(TrueCrypt)는 안전하지 않습니다”라는 메시지가 담긴 웹사이트로 알 수 없이 리디렉션되는 현상을 경험하였다. 트루크립트(TrueCrypt) 팀에 무슨 일이 발생하였다는 소문이 분분하다. 의심스러운 소문들은 제쳐 두고도, 원 개발자들이 당분간 프로그램 작업을 중단한다는 것이 대다수의 의견이다.
트루크립트(TrueCrypt)는, 유명한 정보 보안 연구원들과 글로벌 클라우드 기술의 거대 기업인 아마존(Amazon) 등을 포함한 폭넓은 사용자 층을 확보하고 있다. 아마존(Amazon)의 경우 텀블러(Tumblr) 및 드롭박스(Dropbox)와 같은 인기 있는 서비스를 포함하는S3 클라우드 스토리지 서비스에 대한 데이터 안정성 확보를 위해 트루크립트(TrueCrypt)를 사용하고 있다. 그러나 트루크립트(TrueCrypt)의 미래는 현재 불확실하다.
존슨 홉킨스 대학 정보 보안 연구소 (Johns Hopkins University, Information Security Institute) 의 교수이자 암호전문가인 매튜 그린 (Matthew Green) 교수는, 소프트웨어에 대한 전문적 감사 (professional audit) 를 수행하기 위한 “크라우드 펀딩” (crowdfunding) 에 앞장서 왔다. 그는 비록 무료로 제공되는 트루크립트(TrueCrypt)가, 통제로부터 자유롭거나 오픈 소스가 아닌 라이선스의 적용을 받는 것으로 알려져 있기 때문에, 향후 신규 개발자 팀이 이를 인계 받을 수 없을 것에 대해 염려한다.
“해당 코드를 훨씬 수월하게 인수인계 받을 수 있도록 라이선스 상황을 수정하는 등, 원 개발자들이 취했을 수 있는 조치들이 많이 있습니다.” 트루크립트(TrueCrypt) 개발자들은 이미 유명한 여러 오픈소스 라이선스들 중 하나를 사용하기 보다는 자신들만의 맞춤형 라이선스를 작성하여 “트루크립트(TㄴrueCrypt) 라이선스”라고 명명했다. 오픈 소스 이니셔티브 (OSI: Open Source Initiative) 와 자유 소프트웨어 재단 (FSF: Free Software Foundation) 과 같은 존경 받는 기관들은, “트루크립트(TrueCrypt) 라이선스”가 트루크립트(TrueCrypt) 코드의 개선이나 신규 버전의 배포를 금지하고 있다고 판단하고 있다. 따라서 이것은, 만약 진행중인 전문 보안 감사를 통해 트루크립트의 취약점이 발견된다 하더라도, 신규 개발자들은 패치를 배포 할 수 없을 뿐 아니라, 신규 혹은 업데이트된 운영 시스템과 같은 상이한 미래의 소프트웨어와 호환성을 유지하기 위해 트루크립트 (TrueCrypt) 를 업데이트 하거나 신규 기능을 추가할 수 없다는 것을 의미한다. 그린 (Green) 교수가 계획한 소프트웨어 감사는, 그의 팀이나 다른 팀들이 소프트웨어 조사 결과에 따라 적절한 조치를 취할 수 있을 것인지 여부에 대한 결정을 돕기 위해 법적인 부분도 함께 검증해줄 필요성이 있다.
오픈소스 라이선스는 신규 사용자의 소프트웨어 수정 및 개선을 허가하고 장려한다. 트루크립트(TrueCrypt)가 오픈소스 소프트웨어 라이선스로 배포되었다면, 그것에 관심 있는 개발자라면 누구라도 프로젝트를 쉽게 인계 받을 수 있을 것이고, 그에 따라서 프로젝트의 장기적인 존립이 가능할 것이다.
|
