
Microsoft가 FBI와 정보를 공유한 후 Scattered Spider 가해자를 추적하는 데 사용된 Windows 11 식별자 — 악명
요약
사이버 범죄 조직 Scattered Spider의 일원인 Peter Stokes가 Microsoft의 GDID 데이터를 활용한 FBI의 추적 끝에 체포되었습니다. 이 조직은 사회 공학적 기법을 통해 기업의 자격 증명을 탈취하고 막대한 몸값을 갈취하는 것으로 알려져 있습니다.
핵심 포인트
- Scattered Spider 조직원 Peter Stokes, 헬싱키에서 체포
- Microsoft의 GDID(글로벌 장치 식별자)가 범인 추적의 핵심 역할 수행
- 사회 공학적 전술을 이용한 IT 헬프데스크 자격 증명 탈취 수법 사용
- 사이버 공격으로 인한 기업의 막대한 경제적 손실 발생
미 법무부(DOJ)는 FBI 및 핀란드 국가수사국(National Bureau of Investigation)의 도움을 받아 Scattered Spider의 일원이라고 밝힌 십 대를 체포했습니다. 19세의 _Peter Stokes_는 미국과 에스토니아 이중 국적자로, 헬싱키에서 일본행 비행기에 탑승하려던 중 법 집행 기관에 붙잡혔습니다. Microsoft의 GDID 또한 Stokes를 검거하는 데 역할을 했습니다. 피고인은 현재 공모, 사이버 침입(cyber intrusion) 및 사기 혐의로 기소되어 재판을 기다리고 있습니다.
DOJ에 따르면 Scattered Spider는 1억 달러 이상의 몸값을 갈취한 지구상에서 가장 큰 사이버 범죄 조직 중 하나입니다. 이 그룹은 Octo Tempest, UNC3944, 그리고 _Oktapus_라는 이름으로도 활동하며, 사회 공학(social engineering) 전술로 유명합니다. 이에 따라 Stokes에 대한 주요 형사 고소는 2025년 5월 미국에 본사를 둔 사치품 보석 판매업자를 대상으로 한 공격에서 비롯되었습니다.
공격자들은 Google Voice를 사용하여 해당 회사의 IT 헬프데스크(IT helpdesk)에 전화를 걸어 직원인 것처럼 가장한 것으로 보입니다. 이들은 헬프데스크를 설득하여 자격 증명(credentials)을 재설정하게 만들 수 있었으며, 이를 통해 3개의 계정에 침투했습니다. 그중 2개는 관리자 권한(admin privileges)을 가지고 있었습니다. 그곳에서 Stokes를 포함한 것으로 알려진 이 그룹은 중요한 데이터를 훔치고 보석상을 인질로 잡아, 800만 달러 상당의 암호화폐 결제를 요구했습니다.
해당 회사는 결국 인프라에 대한 접근 권한을 되찾고 몸값을 지불하는 것은 피했으나, 운영 중단으로 인해 약 200만 달러의 손실이 발생한 것으로 알려졌습니다. 검찰이 공격자들이 남긴 종이 및 디지털 흔적을 천천히 추적함에 따라, 이 사건은 결국 헬싱키에서 Stokes가 체포되는 도화선이 되었습니다. Microsoft는 해당 범죄자로 추정되는 인물을 검거하는 데 도움을 주기 위해 FBI에 GDID 데이터를 제공함으로써 이 과정에서 핵심적인 역할을 수행했습니다.
GDID는 글로벌 장치 식별자(Global Device Identifier)의 약자로, 장치별 텔레메트리(telemetry)를 추적하기 위해 모든 Windows 설치본에 할당되는 고유 식별자입니다. PC의 주요 부품을 변경할 때 때때로 Windows 라이선스가 취소되는 이유가 바로 이것 때문입니다. 어쨌든, 이번 사건의 법원 문서에 따르면 Stokes는 Windows를 사용했으며, 수사관들은 이를 통해 그의 물리적 하드웨어를 특정 인터넷 활동 및 위치와 연결할 수 있었습니다.
Peter Stokes
Scattered Spider 가해자
체포됨
Microsoft가 FBI를 도움
법원 문서 읽기
12페이지
Microsoft가 GDID를 통해 Stokes를 추적함
Microsoft Global Device Identifier (GDID)
Stokes는 Windows를 사용함
34페이지
GDID는 각 OS 설치 시 할당됨
GDID는 각 장치마다 고유함… pic.twitter.com/f0fuz0uoMa2026년 7월 4일
우리가 파악할 수 있는 바로는, 검찰이 사건을 구성하기도 전에 GDID는 Stokes에 대한 포괄적인 보고서를 거의 준비해 두었으며, 단지 점들을 연결하는 문제만 남은 상태였습니다. Stokes의 웹 활동, 비디오 게임 이력, IP 주소, 도구 사용 내역(Ngrok 포함), Azure 상태 등이 타임스탬프와 함께 기록되었으며, Microsoft가 수사관들에게 이를 제공했습니다.
물론, 이는 Microsoft의 텔레메트리 (Telemetry)가 얼마나 세밀하고 잠재적으로 침해적일 수 있는지에 대한 의문을 제기합니다. 이번 사례에서는 혐의를 받는 해커를 체포하는 데 사용되었지만, 만약 악의적인 의도를 가진 다른 누군가가 이 모든 데이터에 접근하게 된다면 어떻게 될까요? 기술에 능숙한 소비자들은 오랫동안 Windows의 과도한 텔레메트리 (Telemetry)에 대해 불만을 제기해 왔습니다. '디블로팅 (Debloating)' 문화 전체가 이러한 전례의 부산물이지만, GDID는 버튼 하나 클릭해서 제거하거나 비활성화할 수 있는 것이 아닙니다.
그럼에도 불구하고, Stokes는 일본행 비행기에 탑승할 때 유죄를 입증할 증거가 가득 담긴 하드 드라이브 두 개를 소지하고 있었기에 그 점 또한 도움이 되었습니다. 그의 실제 신원은 사실 2024년부터 알려져 있었으나, 당시 그는 에스토니아와 아랍에미리트(UAE)를 오가며 거주하던 미성년자였기 때문에 적절한 시기가 올 때까지 감시만 할 수 있었습니다. 체포 이후 Stokes는 미국으로 인도되었으며, 2026년 6월 30일 시카고 연방법원에 처음 출두하였고 현재 구금 상태로 남아 있습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Tom's Hardware의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기