본문으로 건너뛰기
피드

비트워든의 조용한 변화, 비밀번호 관리자를 믿어도 되는가

security 약 7분
vote
0
댓글
북마크

글쓴이는 비트워든이 가격 인상, 최고경영자 교체, 무료 플랜 문구 삭제, 가치 문구 변경을 조용히 진행하고 있다고 지적해. 특히 새 최고경영자의 인수합병·사모펀드 경력을 근거로, 비트워든이 장기 제품 운영보다 매각이나 수익성 개선 쪽으로 움직이는 게 아니냐는 의심을 던져.

  • 1

    비트워든 프리미엄 가격 인상이 기능 발표 안에 묻혀 공지됐다는 비판

  • 2

    장기 최고경영자가 자문역으로 물러나고 인수합병 경력의 새 경영진이 합류

  • 3

    개인용 페이지에서 항상 무료 문구가 사라지고 가치 문구도 투명성에서 신뢰로 변경

  • 4

    볼트워든 사용자는 공식 클라이언트 공개성과 서버 호환성 유지 여부를 계속 봐야 함

가격 인상보다 더 찝찝한 건 조용한 방향 전환임

  • 글쓴이는 3월에 비트워든 프리미엄 가격 인상 방식을 비판했음

    • 가격 인상이 별도 공지가 아니라 기능 발표 안에 묻혀 있었다고 봄
    • 월 결제를 제공하지 않는 제품인데도 가짜 월 단위 가격처럼 표시했고, 기존 고객에게는 갱신 15일 전에야 알렸다는 지적임
  • 비트워든은 마스토돈에서 반박했지만, 글쓴이 눈에는 오히려 의심을 확인해준 답변이었음

    • 핵심 사실관계는 부정하지 않았고, 소통 방식 자체가 또 하나의 신호였다는 해석임
    • 이 글은 그 뒤에 드러난 추가 변화들을 이어 붙인 기록에 가까움

경영진 교체가 꽤 큰 신호로 읽힘

  • 오래 비트워든을 이끌던 마이클 크랜델 최고경영자가 2월에 조용히 자문역으로 물러남

    • 회사의 공식 발표는 없었고, 링크드인까지 찾아봐야 알 수 있는 수준이었다고 함
    • 크랜델은 2019년부터 비트워든에 있었고, 라스트패스에 실망한 사람들이 비트워든으로 넘어오던 시기의 얼굴 같은 인물이었음
  • 새 최고경영자는 마이클 설리번인데, 이력의 포인트가 소프트웨어 장인 느낌이 아니라 인수합병 쪽임

    • 설리번은 아퀴아와 인사이트소프트웨어 최고경영자를 지냈고, 링크드인에는 사모펀드와의 직접 경험을 포함한 인수합병 전반 경험을 강조하고 있음
    • 2019년 아퀴아가 비스타 에쿼티 파트너스에 10억 달러 규모로 인수되는 과정, 2021년 인사이트소프트웨어가 HG로부터 10억 달러 투자를 받는 흐름을 이끈 인물로 소개됨

중요

> 글쓴이의 핵심 의심은 단순함. 비밀번호 관리자의 새 최고경영자가 제품 장기 운영보다 사모펀드, 인수합병, 매각 프로세스에 강한 사람이라면 사용자는 방향 전환을 의심할 수밖에 없다는 것임.

  • 최고재무책임자도 4월에 바뀜
    • 스티븐 모리슨이 떠나고, 전 인비전 최고경영자 마이클 쉥크먼이 합류함
    • 반면 비트워든을 2015년에 취미 프로젝트로 시작한 카일 스피어린은 최고기술책임자로 남아 있음

웹사이트 문구도 슬쩍 바뀌고 있음

  • 개인용 비밀번호 관리자 페이지에서 항상 무료라는 표현이 4월 중순 사라졌다고 함

    • 무료 플랜 자체는 아직 있음
    • 다만 예전처럼 공개적으로 강하게 약속하던 문구가 빠졌다는 게 문제라는 시각임
  • 회사 가치 문구도 바뀜

    • 예전 GRIT는 감사, 책임, 포용, 투명성을 뜻했음
    • 5월 4일 이후에는 감사, 책임, 혁신, 신뢰로 바뀌었고, 포용과 투명성이 빠짐
  • 더 이상한 건 과거 블로그 글을 반쯤만 수정했다는 점임

    • 2022년 크랜델 명의의 글 본문에는 새 가치인 혁신과 신뢰가 들어갔음
    • 그런데 글 아래 설명 문단에는 여전히 예전 가치인 포용과 투명성이 남아 있어 글이 자기모순 상태가 됐다고 함
    • 글쓴이는 이걸 가격 인상 때와 같은 패턴으로 봄. 새 공지를 내지 않고 기존 콘텐츠를 조용히 고치는 방식이라는 것임

셀프호스팅도 무조건 안전지대는 아님

  • 글쓴이는 이미 1월부터 볼트워든 인스턴스를 운영 중이고, 비트워든 클라우드 계정은 닫았다고 밝힘

    • 본인 비밀번호가 걱정돼서라기보다, 신뢰가 쌓인 오픈소스 서비스가 어떤 식으로 조건을 바꾸는지 기록하는 관점에 가깝다고 함
    • 패턴은 늘 비슷하다고 봄. 신뢰를 만들고, 의존성을 만든 뒤, 조건을 조용히 다시 협상한다는 것임
  • 볼트워든이 지금 잘 되는 이유는 비트워든 클라이언트가 오픈소스이고 서버 API가 공개돼 있기 때문임

    • 볼트워든은 그 API를 구현하고, 공식 앱은 서버가 공식 비트워든인지 볼트워든인지 구분하지 못함
    • 하지만 비트워든이 계속 오픈소스 클라이언트를 공개하고, 공식 앱이 임의 서버 접속을 허용한다는 보장은 없다는 게 글쓴이의 걱정임

⚠️주의

> 최악의 변화가 꼭 큰 발표로 오지는 않음. API가 조금씩 달라지고, 비공식 서버 호환성이 서서히 깨지는 식이면 사용자 입장에서는 어느 날 갑자기 불편이 터질 수 있음.

  • 그래도 당장 재앙이라고 보지는 않음
    • 셀프호스팅은 기업용 기능으로도 팔리고 있어서, 공식 서버 자체를 죽이면 돈 내는 기업 고객도 건드리게 됨
    • 비트워든 클라이언트가 Apache 2.0 라이선스라 포크 가능성이 남아 있고, 웹 볼트는 브라우저에서 접근 가능하니 자동완성 같은 편의 기능이 일시적으로 깨지는 정도가 최악의 시나리오에 가깝다고 봄

기술 맥락

  • 이 글에서 중요한 선택지는 클라우드 비밀번호 관리자에 계속 의존할지, 볼트워든 같은 서버를 직접 운영할지예요. 비밀번호 관리자는 한번 쓰기 시작하면 모든 계정의 출입구가 되기 때문에, 가격보다 신뢰와 통제권이 훨씬 큰 이슈가 돼요.

  • 볼트워든이 가능한 이유는 공식 클라이언트와 서버 사이의 API 호환성 때문이에요. 사용자는 공식 앱을 그대로 쓰면서 서버만 자신이 운영하는 쪽으로 바꿀 수 있어요. 이 구조가 유지되면 꽤 강력한 탈출구가 되지만, API가 닫히거나 조금씩 달라지면 유지보수 부담이 바로 커져요.

  • Apache 2.0 라이선스는 마지막 안전망에 가까워요. 클라이언트 코드를 포크할 수 있으니 완전히 막히지는 않지만, 상표 문제 때문에 이름을 바꾸고 UI를 다듬고 배포 채널을 새로 만들어야 해요. 법적으로 가능하다는 것과 사용자가 편하게 쓸 수 있다는 건 다른 문제거든요.

  • 그래서 이 사안은 단순한 제품 불만이 아니라 오픈소스 서비스의 거버넌스 문제예요. 코드가 공개돼 있어도 회사가 브랜드, 공식 앱, API, 클라우드 운영을 쥐고 있으면 사용자와 커뮤니티가 느끼는 리스크는 계속 남아요.

오픈소스 보안 도구는 기능보다 신뢰 계약이 더 중요할 때가 많아. 비트워든 사례는 무료 플랜 하나의 문제가 아니라, 사용자 의존성이 커진 뒤 약속이 어떻게 조용히 재작성될 수 있는지 보여주는 신호로 읽혀.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.