# Microsoft가 Windows Device ID로 사용자를 추적할 수 있음

> Clean Markdown view of GeekNews topic #31244. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31244](https://news.hada.io/topic?id=31244)
- GeekNews Markdown: [https://news.hada.io/topic/31244.md](https://news.hada.io/topic/31244.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-07-09T04:39:40+09:00
- Updated: 2026-07-09T04:39:40+09:00
- Original source: [pcmag.com](https://www.pcmag.com/news/a-hackers-arrest-reveals-microsoft-can-track-users-via-a-windows-device)
- Points: 1
- Comments: 1

## Topic Body

- Scattered Spider 관련 혐의를 받는 19세 **Peter Stokes** 사건에서 FBI가 Microsoft의 **Global Device ID(GDID)** 기록으로 Windows PC와 온라인 활동을 연결한 사실이 드러남
- GDID는 Windows 설치를 Microsoft 서비스와 시나리오 전반에서 식별하는 **지속적 기기 수준 식별자**로, 물리 기기와 가상 머신 모두에 적용될 수 있음
- 형사 고소장에는 2025년 5월 12일 19:21 UTC에 Stokes의 컴퓨터와 연결된 GDID가 **ngrok 가입 페이지**와 Tzulo 서버의 여러 사이트에 접근한 기록이 포함됨
- GDID는 Windows 업데이트 후에도 유지되지만 재설치하면 새 값으로 바뀌며, 한 Microsoft 사용자가 **여러 GDID**를 가질 수 있음
- 이 사건은 제3자 브라우저 쿠키 없이도 Windows PC의 온라인 활동이 추적될 수 있다는 우려를 키웠고, 일부 사용자는 GDID 확인·제거 방법을 찾기 시작함

---

### 체포 사건에서 드러난 GDID 활용
- 미국은 유럽에서 19세 **Peter Stokes**를 송환했으며, 그는 해킹 그룹 **Scattered Spider**의 일원이라는 혐의를 받음
- 공개된 형사 고소장에서 Microsoft 기록은 Stokes를 의심되는 해킹 범죄와 연결하는 핵심 단서로 쓰임
- Stokes는 2025년 5월 이름이 공개되지 않은 고급 보석 소매업체를 해킹한 혐의를 받으며, 당시 **VPN**을 사용한 것으로 기록됨
- FBI는 Microsoft 기록을 통해 그의 IP 주소가 **Global Device ID(GDID)** 라는 Microsoft 기기 식별자와 연결돼 있음을 확인함

### GDID가 식별하는 대상
- 고소장에 인용된 Microsoft 측 설명에서 GDID는 Windows 생태계의 **지속적 기기 수준 식별자**로 정의됨
- 이 식별자는 Windows 운영체제 설치를 고유하게 구분하도록 설계됨
  - 노트북이나 휴대폰 같은 **물리 기기**가 대상이 될 수 있음
  - 가상 머신도 포함됨
  - 특정 Microsoft 서비스와 시나리오 전반에서 사용됨
- 계정이나 기기에 고유 ID를 부여하는 관행은 일반적이지만, 이번 사건에서는 GDID가 **제3자 서비스 접근 기록**과 시점까지 연결될 수 있음이 드러남

### 온라인 활동과 연결된 기록
- Stokes는 보석 소매업체의 네트워크 방어를 우회하기 위해 웹 개발 도구 **ngrok**를 악용한 혐의를 받음
- Microsoft 기록에는 2025년 5월 12일 19:21 UTC에 Stokes의 컴퓨터와 연결된 GDID가 `https://dashboard[.]ngrok.com/signup`에 접근한 것으로 남아 있음
  - 해당 URL은 ngrok 계정을 설정하는 페이지임
  - 같은 GDID는 다른 ngrok 페이지에도 접근한 것으로 기록됨
- 문서에는 이 GDID가 해킹 실행을 돕기 위해 웹 호스팅 제공업체 **Tzulo**의 서버에서 “여러 사이트”에 접근했다는 내용도 포함됨
- 고소장에 표시된 Stokes PC의 GDID는 **6755467234350028**임

### 추적 가능성과 사용자 반응
- 연방 수사관이 Microsoft 식별자로 의심되는 해커를 특정했다는 점 때문에 **감시 목적 남용** 우려가 커짐
- 사이버보안 전문가 Matthew Hickey는 X에서 “Microsoft Windows is surveillance software”라고 주장함
- GDID는 Microsoft의 한 지원 페이지에 짧게 언급되어 있지만, Microsoft는 그 외에 공개적으로 설명하지 않은 상태임
- 일부 사용자는 GDID 식별자를 **제한하거나 삭제**하는 방법을 탐색하기 시작함

### 재설치와 다른 플랫폼에 남은 질문
- 고소장에 따르면 GDID는 같은 기기의 Windows 운영체제 업데이트 후에도 유지됨
- Windows를 같은 기기나 다른 기기에 **재설치**하면 새 고유 GDID가 연결됨
- 고소장 각주는 한 Microsoft 사용자가 여러 GDID를 가질 수 있다고 밝힘
- 사이버보안 연구자 Costin Raiu는 고유 식별자 사용을 근거로 다른 기술 기업도 유사한 감시 능력을 갖는지 질문함
  - Apple 기기에서도 같은 규모로 발생하는지
  - 재설치와 무관하게 하드웨어에 묶이는 수준인지
  - 완전한 익명성을 원하면 개발 환경에서 Linux, FreeBSD 등을 쓰고 프록시, Tor, VPN 등을 통할 필요가 있을 수 있다고 말함

## Comments



### Comment 61447

- Author: neo
- Created: 2026-07-09T04:39:41+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48815196) 
- 흥미로운 부분은 **기기 식별자**가 존재한다는 사실 자체가 아님. 거의 모든 현대 운영체제에는 비슷한 것이 있음  
  더 큰 질문은 경계임. 어떤 구성요소가 접근할 수 있는지, 언제 로컬 식별자가 원격 추적 식별자가 되는지임  
  디스크에 놓인 machine-id와 운영체제 벤더가 그것을 네트워크 활동과 연관 짓는 것은 완전히 다름
  - 이 글에서 가장 크게 빠진 부분이 바로 그거임. Microsoft의 **기기 식별자**가 정확히 어떻게 ngrok 세션과 연결됐는지 알 수 없음. 보통 ngrok 세션은 비공개 소스 CLI로 시작됨  
    글만 봐서는 Microsoft가 뭔가 수상한 방식으로 기기 식별자를 네트워크 트래픽에 주입한 것인지, 아니면 비공개 소스인 ngrok 클라이언트 소프트웨어가 기기 식별자를 가져간 것인지 구분이 안 됨. 후자라면 Linux의 /etc/machine-id처럼 다른 운영체제에서도 똑같이 할 수 있음  
    ngrok이 **부분 유료화 모델**을 쓰니, 무료 한도를 우회하려는 사용자를 잡기 위해 클라이언트가 기기 ID를 보내도 전혀 놀랍지 않음
  - Systemd는 여러 주요 Linux 배포판에 포함되어 있고, 예를 들어 **machine-id**가 있음. 이 값은 /etc/machine-id 아래에서 해당 기기의 누구나 읽을 수 있음  
    [https://www.freedesktop.org/software/systemd/man/latest/mach...](<https://www.freedesktop.org/software/systemd/man/latest/machine-id.html>)
  - Firefox의 about:networking#networkid에 있는 **NetworkID**도 비슷한 예임. 한때 논란이 된 적이 있었고, 모든 AI가 그 기원과 용도에 대해 잘못된 정보를 갖고 있음
  - 이 부분이 불명확하고, 단연 가장 흥미로운 지점임. 어느 단계에서 어떤 시점에 **GDID**가 도구나 웹 요청과 연관됐는지가 핵심임  
    지금 글만 보면 Microsoft의 “원격 측정”이 모든 것을 수집하고, 특정 활동을 대량 검색한 뒤 GDID를 끌어와 사용자와 연결한 것처럼 들림

- 이건 Microsoft가 엔드포인트에서 어떤 형태의 **트래픽 분석**을 수행하고, 그것을 GDID와 연결한다는 뜻으로 보임. 아마 Defender의 실시간 보호나 MAPS의 일부일 것 같음  
  재미있는 사실로, Microsoft Defender MAPS의 이전 이름은 SpyNet이었음  
  [https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se...](<https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Service>)  
  다만 GDID 식별자는 소프트웨어 성격으로 보임. 더 공격적으로 하려면 일부 게임처럼 메인보드 일련번호에 묶을 수도 있음. 그러면 Windows 설치 인스턴스 단위가 아니라 하드웨어의 전체 수명주기 동안 추적됨
  - SecureBoot와 **TPM 칩**의 발상이 바로 하드웨어 지문 기반으로 GDID를 제공하는 것임. 일부 게임은 이미 “치트 방지”라는 명목으로 이렇게 사용자를 추적하고 있고, Microsoft도 Windows 7 시절부터 해왔음  
    달라진 건 이제 TPM이 그런 하드웨어 권위를 제공한다는 점임

- 곧 이 용의자의 식별자를 “g:6755467234350028”로 바꿔주는 Windows 도구가 나올 것 같음. 참고로 이상한 ID임. 16자리라는 건 이해되지만, 16진수일 거라고 예상했음  
  또 “Microsoft 기록에 따르면 2025년 5월 12일 19:21 UTC에 Stokes의 컴퓨터와 연결된 GDID가 여러 ngrok 페이지 중 '&lt;a href="https://dashboard[.]ngrok.com/signup" rel="nofollow"&gt;https://dashboard[.]ngrok.com/signup&lt;/a&gt;'에 접근했다”는 게 어떻게 동작하는지 궁금함  
  브라우저가 그 정보를 Microsoft에 보내는 거라면, PC가 여는 모든 웹페이지마다 Microsoft에 접속한다는 걸 누군가 알아차리지 않았을까? 아니면 데이터를 모아뒀다가 나중에 보내는 방식일까?  
  그렇다면 이건 Microsoft 브라우저 사용자에게만 “제한적으로” 영향을 주는 건가? 아니면 Chrome도 같은 식으로 Google에 데이터를 보내는 건가?  
  다른 가능성은 더 낮은 계층에서 일어나는 일인데, 시스템 구성요소가 도메인 이름에 접근할 수 있는 위치는 떠오르지만 전체 URL까지 볼 수 있는 위치는 잘 모르겠음
  - 전부 **병행 구성**임  
    [https://en.wikipedia.org/wiki/Parallel_construction](<https://en.wikipedia.org/wiki/Parallel_construction>)
  - 아마 Edge의 **Microsoft Defender SmartScreen**이었을 것 같음. 방문한 도메인이 알려진 악성코드나 피싱 사이트인지 확인하려고 Microsoft에 제출됨  
    그리고 여기서 알게 되듯이, 그 정보가 GDID 및 Microsoft 계정과 연결되고, 법 집행기관 요청으로 접근 가능함
  - 그건 **64비트 정수**의 10진수 표현임
  - 그 URL은 차단된 요청이 16개 보이고, 최소한 datadog와 googletagmanager를 로드하려고 함. 경찰이 Ngrok이 직접 또는 간접으로 데이터를 보내는 모든 분석 회사에 연락했고, 그 회사들이 손에 넣은 모든 것을 저장하고 있었을 것이라고 추측함  
    가장 놀라운 건 그 사람이 이 모든 일을 Windows 설치 환경에서 했다는 점임. 하지만 잡힌 멍청한 범죄자 이야기만 듣게 되는 법이니, 결국 말은 됨
  - Edge가 아닌 브라우저라도 운영체제는 HTTPS 연결에서 **도메인 이름**을 얻고, 창 제목으로 설정되는 **페이지 제목**도 알 수 있음  
    많은 경우 그 정도면 URL을 식별하기에 충분할 것 같음. 예를 들어 가입 URL은 제목을 “ngrok Sign Up”으로 설정함

- 이건 Microsoft가 쿠키 동의 화면의 제목에서 뭐라고 주장하든 **개인정보 보호**에 신경 쓰지 않는다는 걸 꽤 강하게 보여줌  
  전혀 신경 쓰지 않으며, 이건 모든 빅테크 벤더에 대해 말해야 함. 진부하게 들리더라도 이제는 해야 할 말을 해야 할 때임. 그들은 당신의 개인정보, 독립성, 안녕에 신경 쓰지 않음. 정말로 신경 쓰지 않음

- 이 아이가 자기 집에서 자기 컴퓨터를 썼고, 그들은 IP 주소로 추적했으며, 그 IP 주소가 Windows Updates 요청도 보냈음. 그렇게 **Device ID**가 좁혀지고, 그 기기 ID가 이 아이로 이어짐  
  개인정보 보호 옹호자들이 계속 경고해온 것이 바로 이런 종류의 일임. 이런 능력은 사실상 모든 개인정보 보호 주장을 지워버림  
  더 나아가 Google 같은 회사들이 이를 이용해 개인정보 보호에 대한 기대 자체를 완전히 없애게 만들었음

- 글이 모호함. Microsoft가 사용자가 Chrome이나 Firefox에서 어떤 웹페이지를 방문하는지 볼 수 있다는 증거는 없음
  - 위 답글에 이런 내용이 있음  
    > 27. Microsoft records also indicate: <...> a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
  - Edge에서도 아래 옵션들을 꺼둔 경우라면 마찬가지임  
    >Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting]  
    >Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

- 이거 **유럽 개인정보 보호법** 위반 아닌가?
  - 아마 맞을 것임. 다만 비싼 보석을 자기 집 주소로 보내게 하려고 웹사이트를 해킹한 경우라면 별 의미 없을 수도 있음
  - 위반이면 뭐가 달라지나? 계속 못되게 굴면서 6시간 매출에 해당하는 벌금이나 맞겠지
  - GDPR은 **개인식별정보**만 다루고, 이건 운영체제를 설치할 때마다 바뀌는 무작위 생성 ID임  
    다른 정보와 섞으면 사용자를 추적할 수 있지만, 그것만으로 누군가를 익명 해제하기에는 충분하지 않음

- 미친 소리로 들릴 수도 있지만, 이런 종류의 **원격 측정**이 지난 몇 년간 VPN 광고가 거대하게 조직적으로 밀려 나온 배경과 somehow 연결되어 있다고 확신함  
  점점 “시장의 보이지 않는 손”은 말 그대로 권력과 자본을 가진 몇몇 거대 집단의 손처럼 보임. 그들이 전체 시장의 경제 구조를 빚어 사실상 통제하고, 기울기를 만들어 회사들이 손실을 최적화하게 함  
  VPN은 직접적으로 추적 능력을 키우는 스파이웨어이거나, 이제는 IP 없이도 추적할 수 있으니 사용자의 두려움으로 돈을 벌면서 계속 추적하려고 제공되는 것일 수 있음  
  더 넓게 보면 자유시장이나 민주주의가 별로 남아 있지 않아 보임. 이제 모든 정부도 개인정보 보호를 제거하려고 조직적으로 밀어붙이고 있음

- 미국 기술 업계가 빠르게 러시아와 중국처럼 되어가고 있음
  - facebook이라는 웹사이트 들어본 적 있음?
  - 미국인이 뭔가를 할 때 왜 꼭 러시아와 중국을 언급해야 한다고 느끼는지 모르겠음  
    다만 내가 홍보를 못하는 걸 수도 있음. 이걸 “중국식” 행동이라고 부르면, “Black Crime”으로부터 자신을 보호한다는 이유로 평소라면 이런 행동을 지지할 특정 집단에게 먹힐지도 모름

- Massgrave.dev 개발자들이 **GDID 메커니즘** 일부를 설명한 관련 스레드임  
  [https://x.com/massgravel/status/2074304593303892354](<https://x.com/massgravel/status/2074304593303892354>)
  - Twitter 계정을 만들기 싫은 사람들을 위한 편의 링크임  
    [https://xcancel.com/massgravel/status/2074304593303892354](<https://xcancel.com/massgravel/status/2074304593303892354>)  
    지금 내 컴퓨터/위치에서는 사이트의 봇 방지 조치가 마음에 안 들어 하는 것 같지만, 다른 사람들에게는 잘 작동하길 바람
