예전에 911 디스패처 교육을 받을 때, e911 자동 정보로 안 되는 위치 조회는 통신사에 긴급 상황 진술서를 써서 팩스로 보내고 법무 검토가 끝날 때까지 몇 시간씩 기다려야 했음
잘못 판단하면 법정에 끌려갈 수도 있어서 절차가 매우 빡빡했는데, 그게 프라이버시의 대가라고 보면 납득은 감
그런데 이런 업체들은 SS7 같은 허점을 이용해 수익 때문에 아무 때나 위치를 빼간다는 게 정말 미친 일처럼 보임
네가 말한 진술서 + 팩스 + 법무 승인 절차가 오히려 맞는 구조라고 봄
이런 마찰은 버그가 아니라 기능이어야 함
문제는 이런 업체들이 SS7 유령 사업자 같은 방식으로 그 절차를 통째로 우회했다는 데 있고, 이건 정책 실패를 넘어서 아키텍처 실패이기도 함
통신 생태계는 원래부터 "정상적인" 네트워크 참여자가 적대적일 수 있다는 전제를 두고 설계되지 않았음
몇 시간씩 기다리면 이미 죽고 난 뒤일 수도 있어서, 그런 절차가 너무 무의미하게 들리기도 함
이 글 흐름에서 탐욕 비판을 꺼내면 여기서 어떤 반응이 나올지는 뻔해 보임
이게 꼭 이윤 동기 때문만은 아니고, 기사만 보면 취약한 프로토콜을 악용하는 수상한 업체들이 있는 쪽에 더 가까워 보임
스패머용 Bulletproof hosting업체가 존재한다고 해서 그걸 전부 "정상화된 탐욕" 탓으로 돌리긴 어려운 것과 비슷함
정부 내부에 제보할 상대조차 없으면 어쩌라는 건지 모르겠음
그런 신고는 쉽게 묻혀버릴 수 있음
앞으로의 암시장은 프라이버시를 되찾기 위한 불법 개인 통신 장비로 가득할 것 같음
이런 설정의 SF도 이미 어딘가에 있을 듯함
이런 기술 감시는 그냥 법으로 금지해야 함
약간의 추가 보안 이득이 있더라도 프라이버시 침해와 예측 못 한 부작용 비용이 훨씬 큼
이미 우리는 그런 세상에 살고 있다고 봄
여기 논의는 미국 중심으로 흐르지만, 세계 대부분의 사람들은 더 가혹한 현실을 겪음
도움 요청은 종종 WhatsApp으로 필사적으로 퍼지고, 플랫폼 안에 아는 사람이 있길 바라는 식이 됨
동의 없는 친밀한 이미지 유포를 당하면 특히 더 보수적인 사회에서는 사실상 인생이 끝장나기도 함 Pig butchering 같은 사기는 노골적인 범죄고, 계정 복구나 사람 상담원 연결조차 어려운 걸 보면 tech 플랫폼의 가치는 결국 스스로 초래한 지원 비용을 제대로 부담하지 않기 때문에 가능한 것 아닌가 싶음
아는 사람이 통신사 직원인 스토커 전 남친에게 추적당한 적이 있었음
이름으로 SIM을 조회하고 위치를 계속 알아낼 수 있는 것처럼 보여서, 새 SIM으로 바꾸고 새 폰을 써도 피하기가 몹시 어려웠음
이런 일을 경찰에 신고하면 오히려 비이성적으로 들린다는 취급을 받고 무시되기 쉬움
통신사에서는 직원들이 사람들 정보를 몰래 조회하는 일이 꽤 알려진 편임
누가 내 데이터를 봤다고 민원을 넣으면 그제야 조회하고 처리하는 식이라고 들었음
예전에 보안/조사 쪽 사람에게 로그가 다 남는데 업무 외 조회를 쉽게 잡아낼 수 있지 않냐고 물었더니, 그러면 직원의 절반 이상을 해고해야 할 거라고 했음
연예인, 친구, 적, 누구든 계속 PII를 들여다보고 있고 거의 비공식 복지처럼 여겨진다고 했는데, 2010년 무렵 미국 대형 통신사 이야기였음
적어도 호주에서는 그런 행위가 범죄라서 신고할 가치가 있음
증거가 충분하면 경찰이 수사하고 기소도 가능할 것임
가난한 나라의 수상한 통신사들은 적은 돈만 주면 SS7 데이터를 팔기도 하고, 그러면 필요한 위치 정보는 다 얻을 수 있음
만약 그 사람이 위도·경도와 SIM 매핑 DB에 접근할 수 있었다면, 새 폰을 써도 예전 SIM의 위치 패턴과 겹치는 지점들로 새 SIM을 다시 찾아낼 수 있음
새 폰으로 바꿀 때 동시에 집까지 옮기고, 예전 폰을 들고 갔던 한적한 장소에 새 폰을 절대 가져가지 않는 정도가 아니면 피하기 거의 불가능함
그래서 나는 SIM 없이 폰을 들고 다니고 항상 비행기 모드로 둠
SIM은 집에 있는 피처폰에 넣어두고 필요할 때만 켜는데, 완벽하진 않아도 통신망 추적보다는 훨씬 나음
러시아에서는 이런 일이 거의 일상적임
정부가 통신사로 사람들을 추적하고, 그 데이터는 적당한 돈만 내면 암시장에서 살 수 있게 흘러나오기도 함
정부도 최근엔 그 유출을 막으려 하지만 얼마나 성공했는지는 불확실하고, 야권 기자나 조사자들이 정권의 수상한 행적을 캐는 데 그 데이터가 자주 쓰였기 때문이기도 함
이 정보는 다른 통신사, 다른 SIM, Wi‑Fi 핫스팟, 거리 카메라 등 여러 DB와 교차돼서 사실상 추적을 피하기가 불가능함
결국 전 세계 표준처럼 퍼질 가능성도 커 보임
정부가 통신사로 사람을 추적한다는 건 맞지만, 암시장 DB는 대체로 가짜일 가능성이 큼
이런 건 러시아만이 아니라 영국, 이스라엘, 호주에서도 비슷하게 벌어짐
이제는 그냥 폰을 집에 두고 다녀야겠다는 생각이 듦
러시아 얘기로 돌리는 건 좀 딴청처럼 보임
기사 주제는 영국이고, 거기에 이스라엘 이동통신·감시 업체들도 핵심으로 보이기 때문임
조사에 나온 단서만 봐도, 배후가 이스라엘 기반 상업용 geo-intelligence 업체일 가능성이 꽤 커 보임
Circles, Cognyte, Rayzone 같은 회사들이 바로 떠오름
왜 이런 나라들은 보안, 해킹, 감시, 0-day에 그렇게 강한지 궁금함
다른 나라를 은밀히 흔들고 통제하는 게 목표라면, 그런 기술이 매우 쓸모 있음
주변에 자국을 적대하는 나라들이 많으니, 정보기관과 스파이 산업이 강하게 발달한 건 어느 정도 자연스러움
다만 지금 벌어지는 학살을 보면 그 산업을 완전히 다르게 보게 됨
국가 지원과 미국과의 정보 공유 체계가 결합된 결과라고 봄
더 큰 축에는 글로벌 통신사 과금 시스템을 돌리는 AMDOCS도 있고, 그러면 사실상 모든 과금 활동에 접근할 수 있게 됨
EU는 이런 구조를 정리해야 한다고 생각함
대규모 감시 체계를 굴리니까, 결국 폭발하는 호출기 같은 식으로 개인 단위 표적화까지 가능해지는 것 같음
이란과 이스라엘, 그리고 Hezbollah를 둘러싼 오랜 전쟁의 한 단면처럼 보임
내가 사는 나라에서는 95% 쯤이 WhatsApp으로 Meta가 위치를 추적해도 별로 신경 쓰지 않는 분위기라, 사람들 관심은 이미 오래전에 사라진 듯함
나는 예외라서 프라이버시를 중시하고, 2010년쯤 Facebook과 WhatsApp을 시험해본 뒤 곧바로 지웠음
광고주용 디지털 프로필이 나를 기준으로 쌓이는 걸 원하지 않고, Google에도 개인 정보를 넘기고 싶지 않음
감시 업체들은 ISP마다 쪼개진 데이터보다 Meta나 Google에서 위치 데이터를 사는 쪽이 훨씬 쉬울 수도 있어서 더 걱정됨
정말 95% 가 신경 안 쓴다는 근거가 있는지 궁금함
Android와 iOS는 위치 권한을 따로 관리하고 사용 흔적도 남기니, 동의 없는 추적은 들키면 큰 홍보 재앙이 될 가능성이 높음
기술을 잘 모르는 친구나 가족이 물어보면 내가 가장 먼저 하는 조언 중 하나가 모든 앱의 백그라운드 위치 접근을 끄라는 것임
그런데 기술 아는 사람 중에도 그걸 신경 안 쓰는 경우가 많음
폰이 5G만 쓰도록 해도 위치는 여전히 노출될 수 있음
전체 이동통신망이 2G/3G의 SS7 기반 호환성을 유지해서, 누군가가 예전 네트워크에서 너에게 연결하려 할 때 그 통로가 남아 있기 때문임
그래서 프로토콜 다운그레이드 공격도 가능해짐
모바일망을 계속 쓰면서 자신을 격리하려면 데이터 전용 SIM을 쓰고, 통화와 메시지는 종단간 보안 인터넷 앱으로만 처리하며 전화번호는 사실상 버리는 수밖에 없음
이동통신은 신뢰된 담장 안 정원과 하위호환성 위주로 진화했고, 인터넷은 비신뢰 환경과 종단간 보안으로 진화했다는 대비가 선명함
정말 흥미로운데, 더 읽어볼 만한 자료가 있는지 궁금함
SS7은 정말 전형적인 알려졌지만 안 고쳐진 문제처럼 보임
통신업계는 수십 년째 망가진 걸 알고 있었지만, 고칠 유인은 사실상 없었음
남용돼도 통신사가 책임지지 않고, 공격은 최종 사용자 눈에 거의 보이지 않으며, SS7에서 완전히 벗어나려면 수백 개 사업자 간 글로벌 조율이 필요하니 결국 아무 일도 안 벌어짐
이건 기술 실패라기보다 강제력이 없는 조정 실패에 가까움
Diameter가 해결책이어야 했지만, 통신사들이 보안 기능조차 제대로 구현하지 않는 걸 보면 핵심은 더 나은 프로토콜 부재가 아니라 아무도 신경 쓸 필요가 없다는 구조였음
Hacker News 의견들
예전에 911 디스패처 교육을 받을 때, e911 자동 정보로 안 되는 위치 조회는 통신사에 긴급 상황 진술서를 써서 팩스로 보내고 법무 검토가 끝날 때까지 몇 시간씩 기다려야 했음
잘못 판단하면 법정에 끌려갈 수도 있어서 절차가 매우 빡빡했는데, 그게 프라이버시의 대가라고 보면 납득은 감
그런데 이런 업체들은 SS7 같은 허점을 이용해 수익 때문에 아무 때나 위치를 빼간다는 게 정말 미친 일처럼 보임
이런 마찰은 버그가 아니라 기능이어야 함
문제는 이런 업체들이 SS7 유령 사업자 같은 방식으로 그 절차를 통째로 우회했다는 데 있고, 이건 정책 실패를 넘어서 아키텍처 실패이기도 함
통신 생태계는 원래부터 "정상적인" 네트워크 참여자가 적대적일 수 있다는 전제를 두고 설계되지 않았음
스패머용 Bulletproof hosting업체가 존재한다고 해서 그걸 전부 "정상화된 탐욕" 탓으로 돌리긴 어려운 것과 비슷함
감시 국가에 대해 가장 큰 거짓말 중 하나는 그게 전문적으로 운영될 거라는 믿음임
NSA 직원들도 수십억 달러짜리 감시 자산으로 좋아하는 여성을 엿봤고, 그걸 LOVEINT라고 부를 정도였음
https://www.nbcnews.com/news/world/loveint-nsa-letter-discloses-employee-eavesdropping-girlfriends-spouses-flna8C11271620
https://www.yahoo.com/news/nsa-staff-used-spy-tools-spouses-ex-lovers-193227203.html
1998년부터 2003년까지 외국인 여성 9명의 전화번호와 미국인 1명의 통신까지 뒤진 사례도 있었음
인간은 역사상 이렇게 전면적 감시를 겪어본 적이 없어서 그 파장을 제대로 상상하지도 못하고, 여기에 LLM까지 얹히면 더 심각해짐
프라이버시에 대해 아주 엄격한 선을 유지하지 못하면, 국가와 기업 감시 인프라 위에 개인 맞춤형 지옥이 무수히 자라나는 세상이 올 것 같음
그런 신고는 쉽게 묻혀버릴 수 있음
이런 설정의 SF도 이미 어딘가에 있을 듯함
약간의 추가 보안 이득이 있더라도 프라이버시 침해와 예측 못 한 부작용 비용이 훨씬 큼
여기 논의는 미국 중심으로 흐르지만, 세계 대부분의 사람들은 더 가혹한 현실을 겪음
도움 요청은 종종 WhatsApp으로 필사적으로 퍼지고, 플랫폼 안에 아는 사람이 있길 바라는 식이 됨
동의 없는 친밀한 이미지 유포를 당하면 특히 더 보수적인 사회에서는 사실상 인생이 끝장나기도 함
Pig butchering 같은 사기는 노골적인 범죄고, 계정 복구나 사람 상담원 연결조차 어려운 걸 보면 tech 플랫폼의 가치는 결국 스스로 초래한 지원 비용을 제대로 부담하지 않기 때문에 가능한 것 아닌가 싶음
아는 사람이 통신사 직원인 스토커 전 남친에게 추적당한 적이 있었음
이름으로 SIM을 조회하고 위치를 계속 알아낼 수 있는 것처럼 보여서, 새 SIM으로 바꾸고 새 폰을 써도 피하기가 몹시 어려웠음
이런 일을 경찰에 신고하면 오히려 비이성적으로 들린다는 취급을 받고 무시되기 쉬움
누가 내 데이터를 봤다고 민원을 넣으면 그제야 조회하고 처리하는 식이라고 들었음
예전에 보안/조사 쪽 사람에게 로그가 다 남는데 업무 외 조회를 쉽게 잡아낼 수 있지 않냐고 물었더니, 그러면 직원의 절반 이상을 해고해야 할 거라고 했음
연예인, 친구, 적, 누구든 계속 PII를 들여다보고 있고 거의 비공식 복지처럼 여겨진다고 했는데, 2010년 무렵 미국 대형 통신사 이야기였음
증거가 충분하면 경찰이 수사하고 기소도 가능할 것임
새 폰으로 바꿀 때 동시에 집까지 옮기고, 예전 폰을 들고 갔던 한적한 장소에 새 폰을 절대 가져가지 않는 정도가 아니면 피하기 거의 불가능함
SIM은 집에 있는 피처폰에 넣어두고 필요할 때만 켜는데, 완벽하진 않아도 통신망 추적보다는 훨씬 나음
러시아에서는 이런 일이 거의 일상적임
정부가 통신사로 사람들을 추적하고, 그 데이터는 적당한 돈만 내면 암시장에서 살 수 있게 흘러나오기도 함
정부도 최근엔 그 유출을 막으려 하지만 얼마나 성공했는지는 불확실하고, 야권 기자나 조사자들이 정권의 수상한 행적을 캐는 데 그 데이터가 자주 쓰였기 때문이기도 함
이 정보는 다른 통신사, 다른 SIM, Wi‑Fi 핫스팟, 거리 카메라 등 여러 DB와 교차돼서 사실상 추적을 피하기가 불가능함
결국 전 세계 표준처럼 퍼질 가능성도 커 보임
기사 주제는 영국이고, 거기에 이스라엘 이동통신·감시 업체들도 핵심으로 보이기 때문임
조사에 나온 단서만 봐도, 배후가 이스라엘 기반 상업용 geo-intelligence 업체일 가능성이 꽤 커 보임
Circles, Cognyte, Rayzone 같은 회사들이 바로 떠오름
왜 이런 나라들은 보안, 해킹, 감시, 0-day에 그렇게 강한지 궁금함
다만 지금 벌어지는 학살을 보면 그 산업을 완전히 다르게 보게 됨
더 큰 축에는 글로벌 통신사 과금 시스템을 돌리는 AMDOCS도 있고, 그러면 사실상 모든 과금 활동에 접근할 수 있게 됨
EU는 이런 구조를 정리해야 한다고 생각함
이란과 이스라엘, 그리고 Hezbollah를 둘러싼 오랜 전쟁의 한 단면처럼 보임
내가 사는 나라에서는 95% 쯤이 WhatsApp으로 Meta가 위치를 추적해도 별로 신경 쓰지 않는 분위기라, 사람들 관심은 이미 오래전에 사라진 듯함
나는 예외라서 프라이버시를 중시하고, 2010년쯤 Facebook과 WhatsApp을 시험해본 뒤 곧바로 지웠음
광고주용 디지털 프로필이 나를 기준으로 쌓이는 걸 원하지 않고, Google에도 개인 정보를 넘기고 싶지 않음
감시 업체들은 ISP마다 쪼개진 데이터보다 Meta나 Google에서 위치 데이터를 사는 쪽이 훨씬 쉬울 수도 있어서 더 걱정됨
Android와 iOS는 위치 권한을 따로 관리하고 사용 흔적도 남기니, 동의 없는 추적은 들키면 큰 홍보 재앙이 될 가능성이 높음
그런데 기술 아는 사람 중에도 그걸 신경 안 쓰는 경우가 많음
폰이 5G만 쓰도록 해도 위치는 여전히 노출될 수 있음
전체 이동통신망이 2G/3G의 SS7 기반 호환성을 유지해서, 누군가가 예전 네트워크에서 너에게 연결하려 할 때 그 통로가 남아 있기 때문임
그래서 프로토콜 다운그레이드 공격도 가능해짐
모바일망을 계속 쓰면서 자신을 격리하려면 데이터 전용 SIM을 쓰고, 통화와 메시지는 종단간 보안 인터넷 앱으로만 처리하며 전화번호는 사실상 버리는 수밖에 없음
이동통신은 신뢰된 담장 안 정원과 하위호환성 위주로 진화했고, 인터넷은 비신뢰 환경과 종단간 보안으로 진화했다는 대비가 선명함
SS7은 정말 전형적인 알려졌지만 안 고쳐진 문제처럼 보임
통신업계는 수십 년째 망가진 걸 알고 있었지만, 고칠 유인은 사실상 없었음
남용돼도 통신사가 책임지지 않고, 공격은 최종 사용자 눈에 거의 보이지 않으며, SS7에서 완전히 벗어나려면 수백 개 사업자 간 글로벌 조율이 필요하니 결국 아무 일도 안 벌어짐
이건 기술 실패라기보다 강제력이 없는 조정 실패에 가까움
Diameter가 해결책이어야 했지만, 통신사들이 보안 기능조차 제대로 구현하지 않는 걸 보면 핵심은 더 나은 프로토콜 부재가 아니라 아무도 신경 쓸 필요가 없다는 구조였음
Citizen Lab 보고서를 열어보면 404가 뜸
https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/