# 스노든 문서에서 PDF 메타데이터 버전 분석으로 새로 드러난 정보

> Clean Markdown view of GeekNews topic #25738. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=25738](https://news.hada.io/topic?id=25738)
- GeekNews Markdown: [https://news.hada.io/topic/25738.md](https://news.hada.io/topic/25738.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-01-12T04:35:03+09:00
- Updated: 2026-01-12T04:35:03+09:00
- Original source: [libroot.org](https://libroot.org/posts/going-through-snowden-documents-part-4/)
- Points: 1
- Comments: 1

## Topic Body

- 공개된 스노든 문서의 **PDF 메타데이터 버전 기록**을 분석한 결과, 미국 내 **정보기관 지상국 관련 섹션이 의도적으로 삭제**된 사실이 확인됨  
- 삭제된 내용에는 **Potomac Mission Ground Station(PMGS)** 와 **Consolidated Denver Mission Ground Station(CDMGS)** 의 **운영 명칭과 위장 명칭 구조**가 포함되어 있음  
- 두 문서 모두 초기 버전에는 해당 정보가 존재했으나, **최종 공개본에서는 완전히 제거**되어 PDF 내부 버전 기록에만 흔적이 남음  
- 반면 영국의 **Menwith Hill** 과 호주의 **Pine Gap** 등 해외 시설 관련 정보는 그대로 유지되어, **국내 시설만 체계적으로 편집**된 패턴이 드러남  
- 이 발견은 스노든 문서 공개 과정에서의 **편집·검열 절차를 기술적으로 추적할 수 있음을 보여주는 사례**로 중요함  

---

### 미국 내 정보시설 관련 삭제 내용
- 두 문서의 메타데이터 분석 결과, **국내 정보시설 섹션이 완전히 삭제**된 사실이 확인됨  
  - 2016년 공개된 *Menwith satellite classification guide* 에서는 **PMGS(워싱턴 DC)** 관련 섹션이 제거  
  - 2017년 공개된 *NRO SIGINT Guide for Pine Gap* 에서는 **CDMGS(덴버 지역)** 관련 섹션이 제거  
- 삭제된 부분에는 시설의 **공식 명칭, 위장 명칭, 위치, 방문자 정보** 등이 포함되어 있었음  
- 두 시설 모두 **국가정찰국(NRO)** 의 **Mission Ground Station** 으로 명시되어 있었으며,  
  - PMGS의 위장 명칭은 “**Classic Wizard Reporting and Testing Center(CWRTC)** ”  
  - CDMGS의 위장 명칭은 “**Aerospace Data Facility(ADF)** ” 로 기록됨  

### Potomac Mission Ground Station (PMGS)
- 위치: **워싱턴 DC 해군연구소(Naval Research Laboratory)** 내 259·260번 건물  
- 공개 명칭: “**Classic Wizard Reporting and Testing Center(CWRTC)** ”  
- 실제 기능: **NRO 위성정보 네트워크의 지상국**  
- 문서에는 각 명칭의 보안 등급이 명시됨  
  - “CWRTC” = **비밀 아님(UNCLASSIFIED)**  
  - “PMGS” = **비밀(S//TK)**  
  - “CWRTC가 PMGS의 위장 명칭임” = **비밀(S//TK)**  
  - “CWRTC와 NRO·CIA·NSA 인원의 연관성” = **비밀(S//TK)**  
- 이러한 다층 분류 체계는 **공개 명칭과 실제 임무를 분리**해 운영하기 위한 구조로 설명됨  

### Consolidated Denver Mission Ground Station (CDMGS)
- 위치: **콜로라도 오로라의 Buckley 우주군 기지**  
- 공개 명칭: “**Aerospace Data Facility (ADF)** ”  
- 실제 명칭: “**Consolidated Denver Mission Ground Station (CDMGS)** ”  
- 공개적으로는 ADF-C가 **정찰위성 지휘·통제 시설**로 알려져 있으나,  
  - “ADF가 CDMGS의 위장 명칭”이라는 사실은 문서에서 처음 확인됨  
- 문서 내 표에서는 각 시설의 **실제 명칭과 위장 명칭이 병렬로 표시**되어,  
  - **CDMGS–ADF–FSD(Field Station Denver)**  
  - **PMGS–MSF–CWRTC**  
  - **HMGS–RAF MHS**, **AMGS–JDFPG** 등의 구조로 정리됨  

### 편집 및 메타데이터 분석 결과
- PDF 메타데이터에는 **편집 시점과 사용 도구**가 기록되어 있음  
  - *Pine Gap* 문서는 2017년 7월 31일, **Nitro Pro 8** 로 두 버전이 몇 분 간격으로 생성됨  
  - 첫 번째 버전에는 CDMGS 섹션이 존재했으나, 두 번째 버전에서 삭제됨  
  - The Intercept와 ABC가 **동일한 파일을 공유**해 게시한 것으로 확인됨  
- *Menwith Hill* 문서 역시 동일한 패턴을 보이며, **국내 시설 섹션만 제거**된 형태  
- 이러한 메타데이터는 **편집·검열 과정의 포렌식 증거**로 기능함  

### 후속 연구 및 도구
- 향후 분석에서는 **PDF 메타데이터 전반의 버전 추적**을 통해  
  - 삭제된 요원 이름, 편집된 스크린샷, 다단계 수정 흔적 등을 기술적으로 검증할 예정  
- PDF 버전 추출에는 **pdfresurrect** 도구 사용 가능  
  - 예: `pdfresurrect -w filename.pdf`  
- Libroot.org는 각 문서의 **버전 1·2 파일을 직접 다운로드**할 수 있도록 제공함  
  - Menwith Hill 및 Pine Gap 문서의 두 버전 모두 공개됨

## Comments



### Comment 49038

- Author: neo
- Created: 2026-01-12T04:35:03+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46564762) 
- 이 PDF들은 **“incremental update”** 기능을 사용한 것으로 보임  
  즉, 문서 수정 시 원본 파일에 변경 내용만 덧붙이는 방식임  
  간단히 말해, 텍스트 에디터로 “%%EOF” 줄을 찾아 그 이후를 잘라내면 이전 버전의 PDF를 복원할 수 있음  
  단, **linearized PDF**의 첫 번째 %%EOF는 실제 버전이 아닌 기술적 이유로 존재하는 가짜 개정임
  - 새로운 **OSINT 스킬**을 얻은 기분임
  - Adobe가 MS Word 기능을 따라잡으려다 이런 **첩보 도구**를 만들어버린 게 웃김

- 정보 보호 관점에서 보면, 문서를 인쇄 후 스캔해 이미지 PDF로 만드는 방식이 점점 더 좋아 보임
  - 하지만 모든 컬러 프린터에는 눈에 보이지 않는 **노란 점 코드(dotcode)** 가 있음  
    이 코드에는 프린터의 일련번호나 심지어 인터넷 연결 시의 IP 주소까지 포함될 수 있음  
    따라서 펌웨어를 제어할 수 없는 프린터는 사용을 피해야 함  
    관련 분석 도구로 [YellowDotDecode](https://github.com/Natounet/YellowDotDecode), [dotsecrets](https://github.com/mcandre/dotsecrets), [CCC 2007 발표자료](https://fahrplan.events.ccc.de/camp/2007/Fahrplan/events/1976.en.html)가 있음
  - 더 나은 방법은 PDF를 **JPEG/PNG → BMP**로 변환 후 공유하거나 출력하는 것임  
    혹은 LLM으로 문서를 재구성해 문장부호와 공백을 없애고, 그 결과를 다시 이미지화하는 방법도 있음  
    필름 카메라로 모니터를 찍는 **아날로그 촬영**은 위조 방지와 증거 보존에 유용함  
    하지만 어떤 방식이든 흔적은 남기 때문에, 허가되지 않은 정보 공유는 절대 피해야 함  
    결국 **스파이들이 다시 마이크로필름으로 돌아가는 시대**가 온 듯함
  - 나 같으면 PDF를 TIFF나 PNG로 저장한 뒤 다시 PDF로 만드는 편임  
    정말 불안하다면 이미지에 **노이즈 필터**를 걸어 흐릿하게 만들겠음
  - 그냥 각 페이지를 **스크린샷**으로 찍는 게 더 간단하지 않음?
  - 그렇게 하면 **Section 508 접근성 규정**을 대규모로 맞추는 게 꽤 웃길 듯함

- PDF 문서를 분석할 수 있는 **툴링 개선**이 필요함  
  지금은 `qpdf`의 [QDF 모드](https://qpdf.readthedocs.io/en/stable/qdf.html)로 어느 정도 해결하지만, GUI가 절실함
  - [REMNux PDF 분석 페이지](https://docs.remnux.org/discover-the-tools/analyze+documents/pdf)를 참고해볼 만함  
    악성 PDF 분석용이지만 일반 문서 이해에도 유용한 도구들이 많음
  - 그 도구는 주로 편집용으로 보이는데, 어떤 맥락에서 사용하는지 궁금함  
    **Epstein PDF 사건** 이후 이런 아이디어가 더 흥미로워졌음

- 이 연구는 정말 통찰력 있음  
  예전에 누군가 **Snowden 문서**를 다시 분석해 새로운 정보를 찾았던 것도 떠오름  
  그가 모든 자료를 완전히 공개하지 못한 건 아쉬움
  - 최근 완전히 새로운 정보는 Jacob Appelbaum의 2022년 **박사 논문**에서 나왔음  
    이전에 공개되지 않았던 내용을 다룸  
    관련 글은 [Electrospaces 블로그](https://www.electrospaces.net/2023/09/some-new-snippets-from-snowden-documents.html)와  
    [Libroot Part 2](https://libroot.org/posts/going-through-snowden-documents-part-2/), [Part 3](https://libroot.org/posts/going-through-snowden-documents-part-3/)에서 볼 수 있음

- 기자 Ryan Gallagher에게 **편집 결정**에 대해 문의했지만 아직 답변을 받지 못했음  
  휴일이 끝났으니 이제는 소식이 있기를 바람
  - 왜 기자들이 문서를 **검열(redact)** 했는지 의문임  
    정부 압력 때문인지, 아니면 너무 민감한 내용이 있어서인지 궁금함  
    혹시 기자들만 원본 파일을 가지고 있는 건 아닌지

- PDF가 어떻게 이런 식으로 가능한지 궁금했음  
  버전 히스토리를 전부 저장하는 구조인지, 메타데이터에 diff를 보관하는지 알고 싶음
  - PDF는 여러 **객체(object)** 로 구성된 구조임  
    각 객체는 ID를 가지며, 수정 시 기존 객체를 덮지 않고 새 세대(generation)를 추가함  
    예를 들어 `mutool clean -d in.pdf out.pdf`로 압축을 풀면 구조를 볼 수 있음  
    이렇게 하면 원본을 유지하면서 수정본을 덧붙이는 형태가 됨
  - 페이지 하단의 **pdfresurrect** 패키지를 보면, PDF가 수정 이력을 유지한다고 설명되어 있음  
    이 도구는 이전 버전을 추출하고 변경 요약을 제공함
  - 관련 참고 자료로 [A Typical PDF](https://hackerfactor.com/blog/index.php?/archives/1085-A-Typical-PDF.html)가 있음
  - 결국 PDF는 객체 테이블과 참조 트리로 구성되어 있음  
    이전 버전의 객체가 참조되지 않아도 파일 안에 남아 있을 수 있음

- 인쇄 후 스캔 대신, **XPS로 출력 후 다시 PDF로 변환**하는 방법도 효과적일지 궁금함

- 이런 사실이 이제야 알려졌다는 게 놀라움
  - 아마 이미 누군가는 알고 있었을 것임  
    단지 이런 정보가 널리 퍼지지 않았을 뿐임
  - 아마도 **Epstein PDF 파일** 사건이 주목받으면서 다시 떠오른 듯함

- `% pdfresurrect -w epsteinfiles.pdf` 명령을 써본 사람 있음?
  - 실제로 시도해본 사람이 있는지 궁금함

- 이건 거의 확실히 **기자들의 편집(redaction)** 결과로 보임  
  “편집됨” 표시나 이유 설명이 없다는 게 아쉬움  
  기술적으로도 스크린샷으로 공개했으면 메타데이터 유출을 막을 수 있었을 텐데
  - 실제로 기자들이 편집했음  
    메타데이터 타임스탬프를 보면, 문서 버전이 공개 3주 전에 만들어졌음을 알 수 있음  
    대부분의 문서는 잘 처리되었지만, 이번 두 개 문서만 **메타데이터 실수**로 중요한 정보가 노출됨  
    다음 글에서는 PDF **포렌식 및 메타데이터 분석**에 대한 기술적 심층 내용을 다룰 예정임