Microsoft가 Windows Device ID로 사용자를 추적할 수 있음
요약
본 기사는 Windows Device ID(GDID)를 중심으로 사용자의 추적 가능성에 대해 논하며, 운영체제 수준의 식별자가 어떻게 네트워크 활동과 연결되는지 의문을 제기합니다. 특히 Microsoft가 어떤 방식으로 GDID를 수집하고 특정 웹 요청(예: ngrok 세션)과 연관 짓는지 그 메커니즘에 대한 불명확성을 지적합니다.
핵심 포인트
- GDID와 같은 기기 식별자가 네트워크 활동과 연결되는 경계가 핵심 논점입니다.
- Microsoft의 원격 측정 기능이 GDID를 이용해 특정 웹 요청을 추적할 가능성이 제기됩니다.
- SecureBoot 및 TPM 칩은 하드웨어 기반의 강력한 식별자(GDID) 제공에 기여합니다.
흥미로운 부분은 기기 식별자가 존재한다는 사실 자체가 아님. 거의 모든 현대 운영체제에는 비슷한 것이 있음
더 큰 질문은 경계임. 어떤 구성요소가 접근할 수 있는지, 언제 로컬 식별자가 원격 추적 식별자가 되는지임
디스크에 놓인 machine-id와 운영체제 벤더가 그것을 네트워크 활동과 연관 짓는 것은 완전히 다름
이 글에서 가장 크게 빠진 부분이 바로 그거임. Microsoft의 기기 식별자가 정확히 어떻게 ngrok 세션과 연결됐는지 알 수 없음. 보통 ngrok 세션은 비공개 소스 CLI로 시작됨
글만 봐서는 Microsoft가 뭔가 수상한 방식으로 기기 식별자를 네트워크 트래픽에 주입한 것인지, 아니면 비공개 소스인 ngrok 클라이언트 소프트웨어가 기기 식별자를 가져간 것인지 구분이 안 됨. 후자라면 Linux의 /etc/machine-id처럼 다른 운영체제에서도 똑같이 할 수 있음
ngrok이 부분 유료화 모델을 쓰니, 무료 한도를 우회하려는 사용자를 잡기 위해 클라이언트가 기기 ID를 보내도 전혀 놀랍지 않음
Firefox의 about:networking#networkid에 있는 NetworkID도 비슷한 예임. 한때 논란이 된 적이 있었고, 모든 AI가 그 기원과 용도에 대해 잘못된 정보를 갖고 있음
이 부분이 불명확하고, 단연 가장 흥미로운 지점임. 어느 단계에서 어떤 시점에 GDID가 도구나 웹 요청과 연관됐는지가 핵심임
지금 글만 보면 Microsoft의 “원격 측정”이 모든 것을 수집하고, 특정 활동을 대량 검색한 뒤 GDID를 끌어와 사용자와 연결한 것처럼 들림
이건 Microsoft가 엔드포인트에서 어떤 형태의 트래픽 분석을 수행하고, 그것을 GDID와 연결한다는 뜻으로 보임. 아마 Defender의 실시간 보호나 MAPS의 일부일 것 같음
재미있는 사실로, Microsoft Defender MAPS의 이전 이름은 SpyNet이었음 https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se...
다만 GDID 식별자는 소프트웨어 성격으로 보임. 더 공격적으로 하려면 일부 게임처럼 메인보드 일련번호에 묶을 수도 있음. 그러면 Windows 설치 인스턴스 단위가 아니라 하드웨어의 전체 수명주기 동안 추적됨
SecureBoot와 TPM 칩의 발상이 바로 하드웨어 지문 기반으로 GDID를 제공하는 것임. 일부 게임은 이미 “치트 방지”라는 명목으로 이렇게 사용자를 추적하고 있고, Microsoft도 Windows 7 시절부터 해왔음
달라진 건 이제 TPM이 그런 하드웨어 권위를 제공한다는 점임
곧 이 용의자의 식별자를 “g:6755467234350028”로 바꿔주는 Windows 도구가 나올 것 같음. 참고로 이상한 ID임. 16자리라는 건 이해되지만, 16진수일 거라고 예상했음
또 “Microsoft 기록에 따르면 2025년 5월 12일 19:21 UTC에 Stokes의 컴퓨터와 연결된 GDID가 여러 ngrok 페이지 중 '<a href="https://dashboard[.]ngrok.com/signup" rel="nofollow">https://dashboard[.]ngrok.com/signup</a>'에 접근했다”는 게 어떻게 동작하는지 궁금함
브라우저가 그 정보를 Microsoft에 보내는 거라면, PC가 여는 모든 웹페이지마다 Microsoft에 접속한다는 걸 누군가 알아차리지 않았을까? 아니면 데이터를 모아뒀다가 나중에 보내는 방식일까?
그렇다면 이건 Microsoft 브라우저 사용자에게만 “제한적으로” 영향을 주는 건가? 아니면 Chrome도 같은 식으로 Google에 데이터를 보내는 건가?
다른 가능성은 더 낮은 계층에서 일어나는 일인데, 시스템 구성요소가 도메인 이름에 접근할 수 있는 위치는 떠오르지만 전체 URL까지 볼 수 있는 위치는 잘 모르겠음
아마 Edge의 Microsoft Defender SmartScreen이었을 것 같음. 방문한 도메인이 알려진 악성코드나 피싱 사이트인지 확인하려고 Microsoft에 제출됨
그리고 여기서 알게 되듯이, 그 정보가 GDID 및 Microsoft 계정과 연결되고, 법 집행기관 요청으로 접근 가능함
그건 64비트 정수의 10진수 표현임
그 URL은 차단된 요청이 16개 보이고, 최소한 datadog와 googletagmanager를 로드하려고 함. 경찰이 Ngrok이 직접 또는 간접으로 데이터를 보내는 모든 분석 회사에 연락했고, 그 회사들이 손에 넣은 모든 것을 저장하고 있었을 것이라고 추측함
가장 놀라운 건 그 사람이 이 모든 일을 Windows 설치 환경에서 했다는 점임. 하지만 잡힌 멍청한 범죄자 이야기만 듣게 되는 법이니, 결국 말은 됨
Edge가 아닌 브라우저라도 운영체제는 HTTPS 연결에서 도메인 이름을 얻고, 창 제목으로 설정되는 페이지 제목도 알 수 있음
많은 경우 그 정도면 URL을 식별하기에 충분할 것 같음. 예를 들어 가입 URL은 제목을 “ngrok Sign Up”으로 설정함
이건 Microsoft가 쿠키 동의 화면의 제목에서 뭐라고 주장하든 개인정보 보호에 신경 쓰지 않는다는 걸 꽤 강하게 보여줌
전혀 신경 쓰지 않으며, 이건 모든 빅테크 벤더에 대해 말해야 함. 진부하게 들리더라도 이제는 해야 할 말을 해야 할 때임. 그들은 당신의 개인정보, 독립성, 안녕에 신경 쓰지 않음. 정말로 신경 쓰지 않음
이 아이가 자기 집에서 자기 컴퓨터를 썼고, 그들은 IP 주소로 추적했으며, 그 IP 주소가 Windows Updates 요청도 보냈음. 그렇게 Device ID가 좁혀지고, 그 기기 ID가 이 아이로 이어짐
개인정보 보호 옹호자들이 계속 경고해온 것이 바로 이런 종류의 일임. 이런 능력은 사실상 모든 개인정보 보호 주장을 지워버림
더 나아가 Google 같은 회사들이 이를 이용해 개인정보 보호에 대한 기대 자체를 완전히 없애게 만들었음
글이 모호함. Microsoft가 사용자가 Chrome이나 Firefox에서 어떤 웹페이지를 방문하는지 볼 수 있다는 증거는 없음
위 답글에 이런 내용이 있음
Microsoft records also indicate: <...> a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
Edge에서도 아래 옵션들을 꺼둔 경우라면 마찬가지임
Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting]
Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]
이거 유럽 개인정보 보호법 위반 아닌가?
아마 맞을 것임. 다만 비싼 보석을 자기 집 주소로 보내게 하려고 웹사이트를 해킹한 경우라면 별 의미 없을 수도 있음
위반이면 뭐가 달라지나? 계속 못되게 굴면서 6시간 매출에 해당하는 벌금이나 맞겠지
GDPR은 개인식별정보만 다루고, 이건 운영체제를 설치할 때마다 바뀌는 무작위 생성 ID임
다른 정보와 섞으면 사용자를 추적할 수 있지만, 그것만으로 누군가를 익명 해제하기에는 충분하지 않음
미친 소리로 들릴 수도 있지만, 이런 종류의 원격 측정이 지난 몇 년간 VPN 광고가 거대하게 조직적으로 밀려 나온 배경과 somehow 연결되어 있다고 확신함
점점 “시장의 보이지 않는 손”은 말 그대로 권력과 자본을 가진 몇몇 거대 집단의 손처럼 보임. 그들이 전체 시장의 경제 구조를 빚어 사실상 통제하고, 기울기를 만들어 회사들이 손실을 최적화하게 함
VPN은 직접적으로 추적 능력을 키우는 스파이웨어이거나, 이제는 IP 없이도 추적할 수 있으니 사용자의 두려움으로 돈을 벌면서 계속 추적하려고 제공되는 것일 수 있음
더 넓게 보면 자유시장이나 민주주의가 별로 남아 있지 않아 보임. 이제 모든 정부도 개인정보 보호를 제거하려고 조직적으로 밀어붙이고 있음
미국 기술 업계가 빠르게 러시아와 중국처럼 되어가고 있음
facebook이라는 웹사이트 들어본 적 있음?
미국인이 뭔가를 할 때 왜 꼭 러시아와 중국을 언급해야 한다고 느끼는지 모르겠음
다만 내가 홍보를 못하는 걸 수도 있음. 이걸 “중국식” 행동이라고 부르면, “Black Crime”으로부터 자신을 보호한다는 이유로 평소라면 이런 행동을 지지할 특정 집단에게 먹힐지도 모름
AI 자동 생성 콘텐츠
본 콘텐츠는 GeekNews의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기