본문으로 건너뛰기
J
피드

비트워든의 조용한 변화, 비밀번호 관리자를 믿어도 되는가

security 약 7분
tags
#bitwarden#vaultwarden#open-source#self-hosting#password-manager
vote
0
댓글
북마크

글쓴이는 비트워든이 가격 인상, 최고경영자 교체, 무료 플랜 문구 삭제, 가치 문구 변경을 조용히 진행하고 있다고 지적해. 특히 새 최고경영자의 인수합병·사모펀드 경력을 근거로, 비트워든이 장기 제품 운영보다 매각이나 수익성 개선 쪽으로 움직이는 게 아니냐는 의심을 던져.

  • 1

    비트워든 프리미엄 가격 인상이 기능 발표 안에 묻혀 공지됐다는 비판

  • 2

    장기 최고경영자가 자문역으로 물러나고 인수합병 경력의 새 경영진이 합류

  • 3

    개인용 페이지에서 항상 무료 문구가 사라지고 가치 문구도 투명성에서 신뢰로 변경

  • 4

    볼트워든 사용자는 공식 클라이언트 공개성과 서버 호환성 유지 여부를 계속 봐야 함

가격 인상보다 더 찝찝한 건 조용한 방향 전환임

  • 글쓴이는 3월에 비트워든 프리미엄 가격 인상 방식을 비판했음

    • 가격 인상이 별도 공지가 아니라 기능 발표 안에 묻혀 있었다고 봄
    • 월 결제를 제공하지 않는 제품인데도 가짜 월 단위 가격처럼 표시했고, 기존 고객에게는 갱신 15일 전에야 알렸다는 지적임

  • 비트워든은 마스토돈에서 반박했지만, 글쓴이 눈에는 오히려 의심을 확인해준 답변이었음

    • 핵심 사실관계는 부정하지 않았고, 소통 방식 자체가 또 하나의 신호였다는 해석임
    • 이 글은 그 뒤에 드러난 추가 변화들을 이어 붙인 기록에 가까움

경영진 교체가 꽤 큰 신호로 읽힘

  • 오래 비트워든을 이끌던 마이클 크랜델 최고경영자가 2월에 조용히 자문역으로 물러남

    • 회사의 공식 발표는 없었고, 링크드인까지 찾아봐야 알 수 있는 수준이었다고 함
    • 크랜델은 2019년부터 비트워든에 있었고, 라스트패스에 실망한 사람들이 비트워든으로 넘어오던 시기의 얼굴 같은 인물이었음

  • 새 최고경영자는 마이클 설리번인데, 이력의 포인트가 소프트웨어 장인 느낌이 아니라 인수합병 쪽임

    • 설리번은 아퀴아와 인사이트소프트웨어 최고경영자를 지냈고, 링크드인에는 사모펀드와의 직접 경험을 포함한 인수합병 전반 경험을 강조하고 있음
    • 2019년 아퀴아가 비스타 에쿼티 파트너스에 10억 달러 규모로 인수되는 과정, 2021년 인사이트소프트웨어가 HG로부터 10억 달러 투자를 받는 흐름을 이끈 인물로 소개됨

중요

> 글쓴이의 핵심 의심은 단순함. 비밀번호 관리자의 새 최고경영자가 제품 장기 운영보다 사모펀드, 인수합병, 매각 프로세스에 강한 사람이라면 사용자는 방향 전환을 의심할 수밖에 없다는 것임.

  • 최고재무책임자도 4월에 바뀜
    • 스티븐 모리슨이 떠나고, 전 인비전 최고경영자 마이클 쉥크먼이 합류함
    • 반면 비트워든을 2015년에 취미 프로젝트로 시작한 카일 스피어린은 최고기술책임자로 남아 있음

웹사이트 문구도 슬쩍 바뀌고 있음

  • 개인용 비밀번호 관리자 페이지에서 항상 무료라는 표현이 4월 중순 사라졌다고 함

    • 무료 플랜 자체는 아직 있음
    • 다만 예전처럼 공개적으로 강하게 약속하던 문구가 빠졌다는 게 문제라는 시각임

  • 회사 가치 문구도 바뀜

    • 예전 GRIT는 감사, 책임, 포용, 투명성을 뜻했음
    • 5월 4일 이후에는 감사, 책임, 혁신, 신뢰로 바뀌었고, 포용과 투명성이 빠짐

  • 더 이상한 건 과거 블로그 글을 반쯤만 수정했다는 점임

    • 2022년 크랜델 명의의 글 본문에는 새 가치인 혁신과 신뢰가 들어갔음
    • 그런데 글 아래 설명 문단에는 여전히 예전 가치인 포용과 투명성이 남아 있어 글이 자기모순 상태가 됐다고 함
    • 글쓴이는 이걸 가격 인상 때와 같은 패턴으로 봄. 새 공지를 내지 않고 기존 콘텐츠를 조용히 고치는 방식이라는 것임

셀프호스팅도 무조건 안전지대는 아님

  • 글쓴이는 이미 1월부터 볼트워든 인스턴스를 운영 중이고, 비트워든 클라우드 계정은 닫았다고 밝힘

    • 본인 비밀번호가 걱정돼서라기보다, 신뢰가 쌓인 오픈소스 서비스가 어떤 식으로 조건을 바꾸는지 기록하는 관점에 가깝다고 함
    • 패턴은 늘 비슷하다고 봄. 신뢰를 만들고, 의존성을 만든 뒤, 조건을 조용히 다시 협상한다는 것임

  • 볼트워든이 지금 잘 되는 이유는 비트워든 클라이언트가 오픈소스이고 서버 API가 공개돼 있기 때문임

    • 볼트워든은 그 API를 구현하고, 공식 앱은 서버가 공식 비트워든인지 볼트워든인지 구분하지 못함
    • 하지만 비트워든이 계속 오픈소스 클라이언트를 공개하고, 공식 앱이 임의 서버 접속을 허용한다는 보장은 없다는 게 글쓴이의 걱정임

⚠️주의

> 최악의 변화가 꼭 큰 발표로 오지는 않음. API가 조금씩 달라지고, 비공식 서버 호환성이 서서히 깨지는 식이면 사용자 입장에서는 어느 날 갑자기 불편이 터질 수 있음.

  • 그래도 당장 재앙이라고 보지는 않음
    • 셀프호스팅은 기업용 기능으로도 팔리고 있어서, 공식 서버 자체를 죽이면 돈 내는 기업 고객도 건드리게 됨
    • 비트워든 클라이언트가 Apache 2.0 라이선스라 포크 가능성이 남아 있고, 웹 볼트는 브라우저에서 접근 가능하니 자동완성 같은 편의 기능이 일시적으로 깨지는 정도가 최악의 시나리오에 가깝다고 봄

기술 맥락

  • 이 글에서 중요한 선택지는 클라우드 비밀번호 관리자에 계속 의존할지, 볼트워든 같은 서버를 직접 운영할지예요. 비밀번호 관리자는 한번 쓰기 시작하면 모든 계정의 출입구가 되기 때문에, 가격보다 신뢰와 통제권이 훨씬 큰 이슈가 돼요.

  • 볼트워든이 가능한 이유는 공식 클라이언트와 서버 사이의 API 호환성 때문이에요. 사용자는 공식 앱을 그대로 쓰면서 서버만 자신이 운영하는 쪽으로 바꿀 수 있어요. 이 구조가 유지되면 꽤 강력한 탈출구가 되지만, API가 닫히거나 조금씩 달라지면 유지보수 부담이 바로 커져요.

  • Apache 2.0 라이선스는 마지막 안전망에 가까워요. 클라이언트 코드를 포크할 수 있으니 완전히 막히지는 않지만, 상표 문제 때문에 이름을 바꾸고 UI를 다듬고 배포 채널을 새로 만들어야 해요. 법적으로 가능하다는 것과 사용자가 편하게 쓸 수 있다는 건 다른 문제거든요.

  • 그래서 이 사안은 단순한 제품 불만이 아니라 오픈소스 서비스의 거버넌스 문제예요. 코드가 공개돼 있어도 회사가 브랜드, 공식 앱, API, 클라우드 운영을 쥐고 있으면 사용자와 커뮤니티가 느끼는 리스크는 계속 남아요.

오픈소스 보안 도구는 기능보다 신뢰 계약이 더 중요할 때가 많아. 비트워든 사례는 무료 플랜 하나의 문제가 아니라, 사용자 의존성이 커진 뒤 약속이 어떻게 조용히 재작성될 수 있는지 보여주는 신호로 읽혀.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.