GrapheneOS 사용자가 GrapheneOS 사용으로 당국에 신고됨

이 Reddit 글의 OP는 나이 인증, 우회, 프라이버시 관련 글을 많이 올렸고 지금은 숨긴 상태임. 스레드에서도 그 점을 지적받자 프로필을 숨겼지만, “reddit PaiDuck”로 구글링하면 아직 볼 수 있음
이 회사가 옳았다는 뜻은 아니지만, 이 사람이 여러 나이 인증 회사를 상대로 어디까지 우회 시도를 밀어붙일 수 있는지 시험하다가 차단된 느낌이 듦. 회사 이메일 답변도 스크린샷 전에 쉽게 편집될 수 있어서 이야기 자체가 진짜인지도 확신하기 어려움. 내가 나이 인증 회사를 운영한다면 차단된 사용자에게 왜 잡혔는지 절대 알려주지 않을 것임. 그건 비밀 소스 레시피를 공유하는 것과 같음

회사 담당자는 GrapheneOS를 쓰는 모든 사용자를 추가 조건 없이 신고한다고 말했음. 아마 이미 개인정보를 업로드한 뒤일 텐데, 바로 그 부분이 심각하게 부당함

고등학교 때 친구에게 보여주려고 The Hacker's Dictionary를 가져갔는데 선생님이 그걸 봤음
몇 주 뒤 해킹 사건이 터짐. 모든 교사가 접근할 수 있던 학생 성적 공유 스프레드시트가 수정돼서 일부 학생 성적은 올라가고, 다른 학생 성적은 내려감. 나도 성적이 오른 쪽에 있었고, 사이가 좋지 않던 애들은 내려간 쪽에 있었음. 조사 중 바로 집으로 보내졌지만 결국 아무 일도 없었음
몇 년 뒤 친구가 음악 선생님 비밀번호를 알아낸 고급 기법을 공개했는데, 키보드 밑 포스트잇에 적힌 “bassoon”을 본 것이었음

실화임. 2022년에 호주에 있는 내 집이 경찰에 압수수색당했음. 8개월 뒤 압수한 장비를 찾아가도 된다고 하면서 담당 경찰이 의심스럽게 보는 항목들을 알려줬음

MEGA 사용. CSAM 공유에 쓰인다고 함

가상 머신 사용

“내 컴퓨터에 Tor가 있음”. 말은 안 되지만 실제로 그렇게 말함
정말 아무것도 모름. 그들이 얼마나 이해를 못 하는지 과소평가하면 안 됨. 무해하다는 설명도 그들에게는 유죄 인정처럼 들릴 가능성이 큼
눈이 뜨이는 경험이었고, 나와 내 친척 상당수는 이 일 이후로 법 집행기관의 역량을 훨씬 덜 존중하게 됨

다른 나라 해커톤에 갔을 때 국경 심사관에게 그 이름을 어떻게 설명해야 하나 걱정했음. 다행히 그 주제는 나오지 않았음

이 출처가 기자가 자기 평판을 걸고 사실 여부를 확인해야 하는 뉴스 사이트가 아니라, 텍스트 스크린샷을 링크한 Reddit 글이라는 점은 일단 제쳐두자
누구나 어떤 이유로든 누구든 “당국”에 신고할 수 있음. 그렇다고 이름도 안 나온 당국이 실제로 움직인다는 뜻은 아님. 그리고 이게 장난이 아니라면 Yoti가 어떤 치안 부서에 이런 신고를 보내는지 명시하지 않는 것도 꽤 이상함

“기자가 자기 평판을 걸어야 하는 뉴스 사이트”라니, 요즘 대부분 “기자”들의 평판을 본 적 있음? 영국 신문 몇 곳은 Reddit이나 Mumsnet 같은 포럼 글을 자주 그대로 다시 올림

저 답변은 상용구에서 생성된 것처럼 보이고, “당국에 신고됨” 부분도 sudo가 같은 말을 할 때만큼이나 사실일 가능성이 있음

sudo는 실제로 기본값으로 그렇게 함. 내 컴퓨터에서 내가 실패한 인증 시도 때문에 내게 이메일 보고가 오는 게 정말 싫음

주장을 더 자세히 보면 Yoti의 실제 메시지는 이랬음
“과거 보안 우려로 인해 Yoti는 여러 번의 인증 시도와 GrapheneOS를 실행하는 모든 기기를 자동으로 표시합니다. 이런 사례는 당국과 보안팀 양쪽에 자동 보고됩니다.”
이어서
“안타깝게도 이 특정 기기에서 여러 번의 시도가 있었기 때문에 계정이 의심스러운 활동으로 표시되었습니다.”
그러면 “and”는 오타처럼 보임. 아니면 애초에 GrapheneOS 기기에서 두 번 이상 시도하는 걸 시스템이 허용하지 않았을 것임
즉, GrapheneOS 기기에서 여러 번 인증을 시도하면 계정이 표시된다는 뜻임

GrapheneOS가 차세대 운영체제로 인정받은 걸 축하함. 오래된 Android나 OS X였으면 그냥 혼란스러운 베이비부머 취급이었을 것임

지난 15년 동안 서구 언론이 그렇게 “중국”을 외쳐댔는데, 이런 일이 서구에서 벌어지고 중국에서는 어떤 운영체제를 써도 불이익 없이 자유롭다는 게 놀라움. 왜 이런가? 무슨 일이 벌어지는 건가?

중국은 완전히 다른 수준의 통제를 하고 있음. 원하는 모바일 운영체제를 써도 되는 건 그들이 모든 인터넷 연결을 감시하고, 무엇을 내려받는지 보고, 부적절하다고 판단한 콘텐츠를 모두 차단할 수 있으며, 항소할 수단도 거의 없기 때문임. 또한 사람을 체포해 노동수용소로 보낼 수도 있음
여기서 영국 경찰의 행동을 옹호하는 건 아니지만, “중국만큼 나쁘다”는 식의 반복구는 자주 보이지만 대개 맞아떨어지지 않음

중국에 대한 부분은 사실이 아니지만, 서구 국가들이 실제보다 훨씬 더 자유롭다고 포장하는 건 맞음
중국에서 Xi를 비판하거나 항의할 수 없다면, 나머지 세계에서 법을 비판하거나 항의해 보라. 특히 프라이버시라는 명목으로 하는 일들이 그렇고, 영국이 Facebook 게시물 때문에 사람들을 감옥에 보냈던 게 기억남. 그런 건 제3세계 국가에서나 벌어지는 일임
영국은 원래도 별로 내세울 게 없었고, 미국도 이제 같은 일을 하고 있어서 매우 무서움
어느 나라든 여행 전에는 이제 가장 먼저 내 소셜 계정을 확인하고, 공항에서 검사될 수 있는 내용을 지움. 이런 일은 선진국에서는 일어나지 않는다고 여겨졌던 것임
친구들은 아직도 그렇게 나쁘지 않다고 말하지만, 지난 몇 년 동안 매달 한 번씩 이런 글을 HN에서 읽는 건 그냥 무섭다

서구 50개국에서는 아무도 신경 쓰지 않고, 예외 하나인 영국이 온라인 치안에서 이상한 일을 해서 그런 것일 수 있음. 영국에서도 법원은 그런 걸로 형을 선고하지 않고, 들리는 건 경찰 조치뿐임
영국은 Brexit 이후로 심하게 쇠퇴 중이고, 아마 대중 소요를 두려워하는지도 모름
중국에서는 반체제 활동을 하면 재교육 수용소에 감. 아니면 중국의 사건들은 그냥 예상 가능한 일이라 뉴스 가치가 없는 것일 수도 있음

애초에 “서구는 선, 중국은 악”처럼 단순했던 적이 없음
미국 정부가 밀어붙인 그 선전 구도는 거의 한 세기 동안 잘 먹혔지만 이제는 아님

목표는 대안 운영체제 사용을 정상화하는 것임. 우회책을 찾고 문제를 제기하지 않는 순간, 상대의 입장을 받아들이는 셈이고 결국 우회책도 바닥날 것임
“Y를 통해 아직 X를 할 수 있으니 제거한 게 아니다”는 식의 답변은 회사들이 폐쇄형 생태계를 강화하는 글에서 자주, 때로는 최상단에 보임. 당장의 해결책은 주지만 핵심 문제는 해결하지 않음. 그러지 않았으면 좋겠음

그건 무의미할 것임. use-after-free 취약점 완화가 활성화되어 있으면, 앱은 실제로 해제 후 사용을 시도해 그 존재를 확인할 수 있음. 완화책을 눈치채지 못하게 하는 유일한 방법은 그것을 비활성화하는 것뿐임

GrapheneOS는 사용자의 프라이버시와 보안을 높이는 데 집중하지, 문제를 일으키는 앱 0.01%를 속이려는 데 집중하지 않음
그건 상당한 투자가 필요한 고양이와 쥐 게임이고, 오히려 더 의심스러워 보일 수 있음. 채택을 늘려서 회사들이 이런 멍청한 결정을 내리기 어렵게 만드는 편이 낫다. 고객들이 언급한 뒤 하드웨어 증명에서 GrapheneOS 지원을 명시적으로 추가한 은행 앱도 본 적 있음
전용 탐지 회피 브라우저조차 계속 차단되고 패치가 필요함. GrapheneOS가 집중하길 바라는 영역은 아님

GrapheneOS not only upholds the app security model but substantially reinforces it, so it cannot be justified with reasoning based on security, anti-fraud, etc.

인터넷도 사기에 쓰일 수 있으니 인터넷 사용자를 전부 당국에 신고하는 게 낫겠음

맞음. 자동차를 소유하거나 운전하면 범죄자임이 틀림없다는 것도 잊지 말자. 자동차는 중범죄 도주 차량으로 쓰이니까

문득 생각났는데, 갑자기 처리할 수 없을 만큼 신고가 폭주하면 어떻게 될까? 모든 GrapheneOS 사용자가 그 앱을 설치해서 신고되게 만들고, 추가로 봇이나 가짜 계정까지 더 만든다면?

백도어 없는 운영체제를 쓰는 대부분의 사람이 사기꾼은 아니지만, 인터넷을 쓴다는 이유로 사기꾼이라고 보는 것보다는 약간 더 높은 비율로 맞을 가능성은 있겠음