# GrapheneOS 사용자가 GrapheneOS 사용으로 당국에 신고됨 > Clean Markdown view of GeekNews topic #30246. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=30246](https://news.hada.io/topic?id=30246) - GeekNews Markdown: [https://news.hada.io/topic/30246.md](https://news.hada.io/topic/30246.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-06-07T09:54:55+09:00 - Updated: 2026-06-07T09:54:55+09:00 - Original source: [discuss.grapheneos.org](https://discuss.grapheneos.org/d/36134-grapheneos-user-reported-to-authorities-for-using-grapheneos) - Points: 2 - Comments: 1 ## Topic Body - **GrapheneOS**는 보안·프라이버시 보호 기능을 강화한 OS로, Yoti 고객지원 응답 캡처의 “GrapheneOS 실행 기기를 자동 플래그 처리하고 당국 및 보안팀에 자동 보고” 문구가 논란의 출발점 - 핵심 우려는 연령·신원 확인 서비스가 GrapheneOS 사용 자체를 보고 사유로 삼으면 개인정보 보호 OS가 **고위험 신호**로 취급될 수 있다는 점 - 앱은 표준 API, 메모리 검사, **Hardware Attestation API**, Play Integrity를 통해 OS와 기기 모델을 식별 가능, 이를 앱에서 숨길 현실적 방법은 없음 - 반론은 고객지원 담당자의 과장된 발언만으로 디스토피아적 미래를 예측하기 어렵고, Yoti가 GrapheneOS를 특정해 탐지·차단했을 가능성보다 **Google Mobile Services** 미사용을 감지했을 가능성이 더 크다는 판단 - 실용적 대응은 **민감 데이터**가 없는 저가·구형 stock Android 기기를 본인확인·정부 앱 전용으로 두고, 신원 확인을 요구하는 제품 구매를 재고하는 방식 --- ### 사건 제기와 초기 반응 - [Yoti 관련 고객지원 경험 캡처](https://imgur.com/a/yoti-hates-graphene-threatens-you-MCHs6NA)에는 “Yoti가 GrapheneOS 실행 기기를 자동 플래그 처리하고, 해당 사례를 당국과 보안팀에 자동 보고”한다는 문구 - 함께 공유된 [Reddit 스레드](https://www.reddit.com/r/privacy/comments/1txn8di/did_i_just_got_threatened_by_yoti_age/)는 Yoti의 연령 확인 과정에서 GrapheneOS 사용이 문제로 취급됐다는 경험과 연결 - 문제 제기의 초점은 GrapheneOS가 Yoti 같은 서비스에 식별·구분되고, 서비스가 이를 법 집행기관 보고 사유로 본다면 연령·신원 확인이 확대되는 환경에서 GrapheneOS 사용 자체가 “heatscore”가 될 수 있다는 우려 - 일부 반응은 Sony가 연령 확인 파트너를 바꾸길 바랐지만 가능성이 매우 낮다는 판단 - 영국의 연령·신원 확인 흐름과 관련 법 환경을 오웰식·디스토피아적으로 보는 반응도 존재 ### GrapheneOS 식별 가능성 - GrapheneOS 기기는 광범위한 익스플로잇 완화 기능 때문에 [fingerprint 가능](https://grapheneos.org/faq#:~:text=Apps%20can%20detect%20that%20they%27re%20being%20run%20on%20GrapheneOS%20via%20the%20privacy%20and%20security%20features%20placing%20further%20restrictions%20on%20them%20and%20hardening%20them%20against%20further%20exploitation.)하다는 설명 - 예시로 다른 시스템에는 없는 secure exec spawning 같은 보호 기능이 사이드 채널이 될 수 있다는 지적 - 앱은 Hardware Attestation API를 요청하고 verifiedBootKey를 [GrapheneOS boot keys](https://grapheneos.org/articles/attestation-compatibility-guide)와 대조해 GrapheneOS를 감지 가능 - 다른 설명은 앱이 표준 API를 쓰거나 자신의 메모리를 검사하는 방식으로 실행 중인 OS를 쉽게 감지할 수 있다는 내용 - 이 감지는 GrapheneOS가 프라이버시·보안 보호 기능을 추가했기 때문만은 아니며, Android OEM별 OS 차이와 실행 중인 기기 모델 식별도 가능하다는 설명 - Play Integrity는 Google 인증 하드웨어와 Google 인증 stock OS 실행 여부를 확인할 수 있고, 자체적으로 Hardware Attestation API를 사용하며 이를 의무화할 예정이라는 설명 - 하드웨어 가속 없는 가상 머신에서 모든 앱을 동일한 OS로 실행하면 기기 모델과 베어메탈 호스트 OS를 숨길 수 있지만, GrapheneOS만 그런 방식을 쓰면 GrapheneOS 자체는 숨겨지지 않는다는 한계 - 많은 앱은 가상화, 에뮬레이션, 기타 변조로 보는 형태를 탐지하려 하며, Play Integrity API의 핵심 목적 중 하나도 이를 탐지하고 금지하는 것이라는 설명 ### Yoti 대응을 둘러싼 평가와 반론 - 한 비판은 연령 확인 업체가 보안·프라이버시를 실제로 개선하는 프로젝트에 적대적 태도를 보일 수 있고, 고객지원 응답은 보안·프라이버시를 범죄자 전용으로 여기는 무지한 태도라는 평가 - 또 다른 우려는 사용자가 GrapheneOS로 민감 서류를 업로드한 뒤에야 보고 대상의 신원을 알 수 있게 됐고, Proton 메일함의 익명성이 사라졌을 수 있다는 추정 - 강한 반론은 이 사례가 고객지원 담당자의 터무니없는 발언에 기반한 공포 조성이라는 판단 - GrapheneOS 사용은 불법이 아니며, 고객지원 담당자가 티켓을 닫기 위해 이야기를 지어냈을 가능성이 매우 높다는 판단 - Yoti가 GrapheneOS를 특정해 탐지하거나 사용을 금지했을 가능성은 낮고, 수정 없는 Google Mobile Services OS를 쓰지 않는 상황을 감지했을 가능성이 더 크다는 판단 - 단일 고객지원 담당자의 발언만으로 디스토피아적 미래를 예측하는 것은 큰 비약이라는 반응도 존재 ### 대응 제안과 사용 분리 - 실용적 대응으로 민감 데이터가 없는 저가 또는 구형 stock Android 휴대폰을 별도로 마련하자는 제안 - 연락처, 개인 대화가 있는 이메일, 메신저 앱 등을 넣지 않는 기기 구성 - 본인확인이나 강제될 수 있는 정부 앱 전용 “여권” 같은 기기로만 사용하는 방식 - GrapheneOS 기기는 모든 일반 용도로 쓰되, 신원 증명에는 쓰지 말자는 분리 사용 방식 - 게임 콘솔 하나를 위해 특정 업체에 신원 확인을 하는 일이 가치 있는지 다시 생각해야 한다는 조언 - 회사가 원하지 않는 행동을 요구하면 해당 제품을 사지 않는 mature decision이 필요하다는 주장 - 게임, 동영상 스트리밍, 성인 콘텐츠가 프라이버시와 존엄보다 우선인지 따지고, 식별을 요구하면 다른 취미를 찾자는 제안 - 연령 확인, Google 앱 필요성 같은 흐름을 되돌리기 위해 입법자에게 연락해야 한다는 제안 ### 검증 의심과 주변 사례 - 보안·프라이버시·익명성이 범죄자를 위한 것이라는 가정이 많은 사람에게 존재한다는 반응 - 법 집행기관에서 일하는 지인이 GrapheneOS 사용을 보고 범죄자만 쓰는 줄 알았다고 놀랐고, 그 이유는 본인이 본 사용자들이 범죄자뿐이었기 때문이라는 사례 - GrapheneOS가 무엇이고 왜 쓰는지, 최고의 OS라고 생각하는 이유를 설명했다는 사례 - 직장에서 Tor exit IP와 이메일 aliasing 도메인을 전면 차단하지 않도록 강하게 설득해야 했다는 사례 - “범죄자만 침실을 벽 뒤에 숨긴다”는 비유로 프라이버시를 범죄성과 연결하는 사고를 비판 - 법 집행기관 종사자는 직업과 상징성 때문에 더 큰 표적이 될 수 있어 GrapheneOS의 이점을 더 크게 받을 수 있다는 반응 - 함께 인용된 [Hacker News 댓글](https://news.ycombinator.com/item?id=48422798#48424055)은 Reddit 원 게시자가 연령 확인, 우회, 프라이버시 관련 게시물을 많이 올렸고 프로필을 숨겼다는 의심을 제기 - 같은 댓글은 회사의 이메일 응답 캡처가 쉽게 편집됐을 수 있어 이야기 자체를 확신하지 못하겠다는 입장 - 연령 확인 업체라면 차단된 사용자에게 탐지 이유를 공유하지 않을 것이며, 이는 비밀 소스의 레시피를 알려주는 것과 같다는 판단 ## Comments ### Comment 59061 - Author: neo - Created: 2026-06-07T09:54:56+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48422798) - 이 Reddit 글의 OP는 나이 인증, 우회, 프라이버시 관련 글을 많이 올렸고 지금은 숨긴 상태임. 스레드에서도 그 점을 지적받자 프로필을 숨겼지만, “reddit PaiDuck”로 구글링하면 아직 볼 수 있음 이 회사가 옳았다는 뜻은 아니지만, 이 사람이 여러 **나이 인증 회사**를 상대로 어디까지 우회 시도를 밀어붙일 수 있는지 시험하다가 차단된 느낌이 듦. 회사 이메일 답변도 스크린샷 전에 쉽게 편집될 수 있어서 이야기 자체가 진짜인지도 확신하기 어려움. 내가 나이 인증 회사를 운영한다면 차단된 사용자에게 왜 잡혔는지 절대 알려주지 않을 것임. 그건 비밀 소스 레시피를 공유하는 것과 같음 - 회사 담당자는 GrapheneOS를 쓰는 모든 사용자를 추가 조건 없이 신고한다고 말했음. 아마 이미 개인정보를 업로드한 뒤일 텐데, 바로 그 부분이 **심각하게 부당함** - 사람들이 자기 기록을 숨길 수 있게 한 건 정말 나쁜 결정이었다고 봄 [https://arctic-shift.photon-reddit.com/search]() - “이봐 친구, 그 운영체제 면허는 가지고 있나?” 이 이야기에서 놀라운 건 사용자가 경찰 방문을 받고 “비범죄 사이버보안 사건”으로 기소되지 않았다는 점뿐임. 영국은 정말 **엉망인 나라**가 되어버림 - 맞음. 경찰은 누구에게나 비밀번호를 요구할 수 있고, 안 넘기면 감옥에 보낼 수 있음 나는 방문하지 않을 생각임. 미국도 결점은 많지만, 다른 나라들과 비교하면 시민권 측면에서는 꽤 강한 권리를 갖고 있음 - 이게 진짜 최종 목표이고, **프라이버시와의 전쟁**에서 내가 가장 두려워하는 부분임. 앞으로는 프라이버시 권리를 주장하려는 시도 자체가 의심의 근거가 될 수 있음 - [https://www.openbsd.org/lyrics.html#35]() - 영국 사람들이 부정하는 모습을 보는 게 너무 웃김 - “이봐 친구, 그 운영체제 면허는 가지고 있나?” 같은 건 제발 하지 말자 - 당국이 내가 **Hacker News 계정**을 갖고 있다는 걸 알게 되면 끝장임 - 고등학교 때 친구에게 보여주려고 The Hacker's Dictionary를 가져갔는데 선생님이 그걸 봤음 몇 주 뒤 해킹 사건이 터짐. 모든 교사가 접근할 수 있던 학생 성적 공유 스프레드시트가 수정돼서 일부 학생 성적은 올라가고, 다른 학생 성적은 내려감. 나도 성적이 오른 쪽에 있었고, 사이가 좋지 않던 애들은 내려간 쪽에 있었음. 조사 중 바로 집으로 보내졌지만 결국 아무 일도 없었음 몇 년 뒤 친구가 음악 선생님 비밀번호를 알아낸 고급 기법을 공개했는데, 키보드 밑 포스트잇에 적힌 “bassoon”을 본 것이었음 - 실화임. 2022년에 호주에 있는 내 집이 경찰에 압수수색당했음. 8개월 뒤 압수한 장비를 찾아가도 된다고 하면서 담당 경찰이 의심스럽게 보는 항목들을 알려줬음 1. MEGA 사용. CSAM 공유에 쓰인다고 함 2. 가상 머신 사용 3. “내 컴퓨터에 Tor가 있음”. 말은 안 되지만 실제로 그렇게 말함 정말 아무것도 모름. 그들이 얼마나 이해를 못 하는지 과소평가하면 안 됨. 무해하다는 설명도 그들에게는 유죄 인정처럼 들릴 가능성이 큼 눈이 뜨이는 경험이었고, 나와 내 친척 상당수는 이 일 이후로 법 집행기관의 **역량**을 훨씬 덜 존중하게 됨 - 다른 나라 해커톤에 갔을 때 국경 심사관에게 그 이름을 어떻게 설명해야 하나 걱정했음. 다행히 그 주제는 나오지 않았음 - 이 출처가 기자가 자기 평판을 걸고 사실 여부를 확인해야 하는 뉴스 사이트가 아니라, 텍스트 스크린샷을 링크한 Reddit 글이라는 점은 일단 제쳐두자 누구나 어떤 이유로든 누구든 “당국”에 신고할 수 있음. 그렇다고 이름도 안 나온 당국이 실제로 움직인다는 뜻은 아님. 그리고 이게 장난이 아니라면 Yoti가 어떤 **치안 부서**에 이런 신고를 보내는지 명시하지 않는 것도 꽤 이상함 - “기자가 자기 평판을 걸어야 하는 뉴스 사이트”라니, 요즘 대부분 “기자”들의 평판을 본 적 있음? 영국 신문 몇 곳은 Reddit이나 Mumsnet 같은 포럼 글을 자주 그대로 다시 올림 - 저 답변은 상용구에서 생성된 것처럼 보이고, “당국에 신고됨” 부분도 sudo가 같은 말을 할 때만큼이나 사실일 가능성이 있음 - [https://postimg.cc/3kVXKzhk]() - sudo 관련해서는 [https://xkcd.com/838/]() - sudo는 실제로 기본값으로 그렇게 함. 내 컴퓨터에서 내가 실패한 인증 시도 때문에 내게 이메일 보고가 오는 게 정말 싫음 - 주장을 더 자세히 보면 Yoti의 실제 메시지는 이랬음 “과거 보안 우려로 인해 Yoti는 여러 번의 인증 시도와 GrapheneOS를 실행하는 모든 기기를 자동으로 표시합니다. 이런 사례는 당국과 보안팀 양쪽에 자동 보고됩니다.” 이어서 “안타깝게도 이 특정 기기에서 여러 번의 시도가 있었기 때문에 계정이 의심스러운 활동으로 표시되었습니다.” 그러면 “and”는 오타처럼 보임. 아니면 애초에 GrapheneOS 기기에서 두 번 이상 시도하는 걸 시스템이 허용하지 않았을 것임 즉, **GrapheneOS 기기**에서 여러 번 인증을 시도하면 계정이 표시된다는 뜻임 - GrapheneOS가 차세대 운영체제로 인정받은 걸 축하함. 오래된 Android나 OS X였으면 그냥 혼란스러운 베이비부머 취급이었을 것임 - 지난 15년 동안 서구 언론이 그렇게 “중국”을 외쳐댔는데, 이런 일이 서구에서 벌어지고 중국에서는 어떤 운영체제를 써도 불이익 없이 자유롭다는 게 놀라움. 왜 이런가? 무슨 일이 벌어지는 건가? - 중국은 완전히 다른 수준의 통제를 하고 있음. 원하는 모바일 운영체제를 써도 되는 건 그들이 모든 인터넷 연결을 감시하고, 무엇을 내려받는지 보고, 부적절하다고 판단한 콘텐츠를 모두 차단할 수 있으며, 항소할 수단도 거의 없기 때문임. 또한 사람을 체포해 노동수용소로 보낼 수도 있음 여기서 영국 경찰의 행동을 옹호하는 건 아니지만, “중국만큼 나쁘다”는 식의 반복구는 자주 보이지만 대개 맞아떨어지지 않음 - 중국에 대한 부분은 사실이 아니지만, 서구 국가들이 실제보다 훨씬 더 자유롭다고 포장하는 건 맞음 중국에서 Xi를 비판하거나 항의할 수 없다면, 나머지 세계에서 법을 비판하거나 항의해 보라. 특히 프라이버시라는 명목으로 하는 일들이 그렇고, 영국이 Facebook 게시물 때문에 사람들을 감옥에 보냈던 게 기억남. 그런 건 제3세계 국가에서나 벌어지는 일임 영국은 원래도 별로 내세울 게 없었고, 미국도 이제 같은 일을 하고 있어서 매우 무서움 어느 나라든 여행 전에는 이제 가장 먼저 내 소셜 계정을 확인하고, 공항에서 검사될 수 있는 내용을 지움. 이런 일은 선진국에서는 일어나지 않는다고 여겨졌던 것임 친구들은 아직도 그렇게 나쁘지 않다고 말하지만, 지난 몇 년 동안 매달 한 번씩 이런 글을 HN에서 읽는 건 그냥 무섭다 - 서구 50개국에서는 아무도 신경 쓰지 않고, 예외 하나인 영국이 온라인 치안에서 이상한 일을 해서 그런 것일 수 있음. 영국에서도 법원은 그런 걸로 형을 선고하지 않고, 들리는 건 경찰 조치뿐임 영국은 Brexit 이후로 심하게 쇠퇴 중이고, 아마 대중 소요를 두려워하는지도 모름 중국에서는 반체제 활동을 하면 **재교육 수용소**에 감. 아니면 중국의 사건들은 그냥 예상 가능한 일이라 뉴스 가치가 없는 것일 수도 있음 - 애초에 “서구는 선, 중국은 악”처럼 단순했던 적이 없음 미국 정부가 밀어붙인 그 선전 구도는 거의 한 세기 동안 잘 먹혔지만 이제는 아님 - 그 글 댓글에서 누군가 GrapheneOS가 앱에 의해 어떻게 식별될 수 있는지 등에 관한 긴 FAQ를 링크했음 [1]. 왜 가능한 모든 곳에서 순정 Android/Google인 것처럼 **위장**하려고 하지 않는지 이해가 안 됨 [1] [https://grapheneos.org/faq#:~:text=Apps%20can%20detect%20tha...]() - 목표는 **대안 운영체제** 사용을 정상화하는 것임. 우회책을 찾고 문제를 제기하지 않는 순간, 상대의 입장을 받아들이는 셈이고 결국 우회책도 바닥날 것임 “Y를 통해 아직 X를 할 수 있으니 제거한 게 아니다”는 식의 답변은 회사들이 폐쇄형 생태계를 강화하는 글에서 자주, 때로는 최상단에 보임. 당장의 해결책은 주지만 핵심 문제는 해결하지 않음. 그러지 않았으면 좋겠음 - 그건 무의미할 것임. use-after-free 취약점 완화가 활성화되어 있으면, 앱은 실제로 해제 후 사용을 시도해 그 존재를 확인할 수 있음. 완화책을 눈치채지 못하게 하는 유일한 방법은 그것을 **비활성화**하는 것뿐임 - GrapheneOS는 사용자의 프라이버시와 보안을 높이는 데 집중하지, 문제를 일으키는 앱 0.01%를 속이려는 데 집중하지 않음 그건 상당한 투자가 필요한 고양이와 쥐 게임이고, 오히려 더 의심스러워 보일 수 있음. 채택을 늘려서 회사들이 이런 멍청한 결정을 내리기 어렵게 만드는 편이 낫다. 고객들이 언급한 뒤 하드웨어 증명에서 GrapheneOS 지원을 명시적으로 추가한 은행 앱도 본 적 있음 전용 탐지 회피 브라우저조차 계속 차단되고 패치가 필요함. GrapheneOS가 집중하길 바라는 영역은 아님 - 피상적인 위장은 무의미함. 신경 쓰는 앱이라면 그냥 **Play Integrity API**를 쓰면 되고, GrapheneOS는 그것을 위조할 수 없음 0: [https://developer.android.com/google/play/integrity/overview]() - GrapheneOS 팀은 보안을 진지하게 다루고, 위장은 실제로 차단을 정당화할 수 있음 [https://grapheneos.org/articles/attestation-compatibility-gu...]()에서: > GrapheneOS not only upholds the app security model but substantially reinforces it, so it cannot be justified with reasoning based on security, anti-fraud, etc. - 인터넷도 사기에 쓰일 수 있으니 인터넷 사용자를 전부 당국에 신고하는 게 낫겠음 - 맞음. 자동차를 소유하거나 운전하면 범죄자임이 틀림없다는 것도 잊지 말자. 자동차는 중범죄 도주 차량으로 쓰이니까 - 문득 생각났는데, 갑자기 처리할 수 없을 만큼 **신고가 폭주**하면 어떻게 될까? 모든 GrapheneOS 사용자가 그 앱을 설치해서 신고되게 만들고, 추가로 봇이나 가짜 계정까지 더 만든다면? - 백도어 없는 운영체제를 쓰는 대부분의 사람이 사기꾼은 아니지만, 인터넷을 쓴다는 이유로 사기꾼이라고 보는 것보다는 약간 더 높은 비율로 맞을 가능성은 있겠음 - 이런 걸 말하는 건가? [https://en.wikipedia.org/wiki/Collection_of_Internet_Connect...]() - 새로운 **해적질의 시대**가 다가오고 있음. 그들이 “수익” 때문에 울부짖을 때, 지금의 날들이 기억될 것임 - 제발 그걸 해적질이라고 부르지는 말자. 그러면 우리가 도둑처럼 들림 이건 대규모 감시와 암처럼 커진 국가에 대한 **저항**임. 사실 시민의 의무에 가깝다 - 무슨 뜻임?