# Microsoft, 끌 수 없는 Windows GDID 기기 식별자 확인… FBI 사건 서류에 기록

> Clean Markdown view of GeekNews topic #31494. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31494](https://news.hada.io/topic?id=31494)
- GeekNews Markdown: [https://news.hada.io/topic/31494.md](https://news.hada.io/topic/31494.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-07-16T18:01:54+09:00
- Updated: 2026-07-16T18:01:54+09:00
- Original source: [ghacks.net](https://www.ghacks.net/2026/07/12/microsoft-confirms-windows-gdid-device-identifier-that-cannot-be-disabled-documented-in-fbi-case-filing/)
- Points: 1
- Comments: 1

## Topic Body

- Microsoft가 계정에 연결된 Windows 설치마다 부여되는 **Global Device Identifier(GDID)** 의 존재를 공개적으로 확인했으며, 미 검찰은 Scattered Spider 조직원으로 추정되는 인물을 추적한 연방 고소장에 이를 기록함
- Windows 서비스 체인이 GDID를 생성해 Microsoft 서버로 전송하며 업데이트 후에도 유지함. 할당을 막으면 **Windows 정품 인증과 Microsoft Store 앱**이 영향을 받을 수 있음
- FBI는 약 8개월간 VPN과 프록시를 이용해 4개국을 오간 Peter Stokes의 활동을 같은 GDID로 연결하고, ngrok 계정 생성과 피해 소매업체 접속 기록을 소셜미디어·여행 정보와 교차 검증함
- GDID에는 **동의·초기화·비활성화 기능**이나 일반 사용자용 문서가 없으며, Windows를 새로 설치해 값이 바뀌어도 같은 Microsoft 계정에 로그인하면 이전 활동과 다시 연결될 수 있음
- 로컬 계정과 개인정보 설정으로 관련 추적을 줄일 수는 있지만 GDID 자체를 직접 끌 수 없고, Microsoft도 **사용자 제어나 추가 문서** 제공 계획을 밝히지 않음

---

### Windows 설치를 식별하는 지속적 ID
- **Global Device Identifier(GDID)** 는 Windows가 Microsoft 계정용으로 프로비저닝될 때 해당 Windows 설치에 부여되는 기기 수준 식별자임
- 물리적 기기나 가상 머신에 설치된 Windows 운영체제를 일부 Microsoft 서비스와 사용 시나리오에서 고유하게 구분하도록 설계된 **지속적 식별자**임
- Windows 업데이트 후에도 유지되지만, 디스크를 지우고 Windows를 새로 설치하면 기존 GDID는 보존되지 않음
- 한 사용자가 여러 GDID를 가질 수 있으며, Microsoft는 계정·OneDrive·정품 인증 기록을 통해 이들을 서로 연결할 수 있음
- 약 **16억 명의 Windows 사용자**에게 별도 공개나 사용자 제어 없이 백그라운드에서 적용돼 왔으며, Microsoft 계정에 연결된 모든 Windows 설치에 존재함

### 생성부터 Microsoft 서버 보고까지
- 여러 Windows 서비스가 연쇄적으로 작동해 GDID를 생성함
  - `wlidsvc` 서비스가 `login.live.com`에 **Device PUID**를 요청함
  - Connected Devices Platform이 이 값을 Microsoft Device Directory Service에 등록함
  - Delivery Optimization은 PC가 업데이트를 내려받거나 공유할 때 GDID를 Microsoft에 보고함
- 식별자는 `HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties` 레지스트리의 `LID` 키에 저장됨
  - 소문자 `g` 접두사와 10진수 숫자를 조합한 형식임
  - 일반 Windows 인터페이스에서는 사용자가 자신의 GDID를 확인할 수 없음
- GDID 할당을 차단하면 **Windows 정품 인증과 UWP 앱**이 작동하지 않을 수 있음
  - Microsoft Activation Scripts를 만든 Massgrave에 따르면, Windows 설정 과정에서 하드웨어 정보가 Microsoft로 전송되고 Store 접근과 라이선스에 쓰이는 식별자를 돌려받음

### FBI가 VPN 세션을 연결한 방식
- FBI는 Scattered Spider 조직원으로 추정되는 **Peter Stokes**를 VPN 연결과 프록시 서버 너머로 추적하는 데 GDID를 활용함
  - 추적은 약 8개월간 이어졌으며 활동 지역은 4개국에 걸침
- 고소장에 따르면 `g:6755467234350028`은 공격에 사용된 계정이 Tzulo VPN 프록시를 통해 만들어진 시점에 ngrok 가입 페이지에 접속함
  - 3시간 뒤 같은 GDID가 동일한 프록시를 통해 피해 소매업체 웹사이트에 접속함
- 수사 당국은 해당 기기를 Stokes의 Snapchat·Facebook·Apple·Ubisoft 계정에 연결된 IP 주소와 교차 확인함
  - 관련 접속 위치에는 에스토니아, 뉴욕, 태국 등이 포함됨
  - Stokes가 Snapchat에 공개한 사진은 호텔 예약과 위치, GDID에 연결된 여행 일정과 일치함
- VPN의 IP 주소는 자주 바뀌었지만 Windows 설치가 계속 같은 식별자를 보고하면서 **VPN 세션을 가로지르는 추적 단서**가 됨

### 보이지 않는 식별자와 사용자 통제의 한계
- GDID가 할당될 때 **동의 화면이 나타나지 않으며**, 사용자가 초기화하거나 비활성화할 수 있는 기능도 없음
  - Apple의 광고 식별자는 App Tracking Transparency 알림과 초기화 기능을 제공함
  - Android도 비슷한 제어 기능을 제공함
- Windows를 다시 설치하면 새 GDID가 만들어지지만, 같은 Microsoft 계정에 로그인하면 Microsoft가 새 식별자를 이전 활동과 연결할 수 있음
- Microsoft의 공개 문서는 기업 IT 관리자를 위한 Azure Monitor 참조표에서 GDID를 “Microsoft가 내부적으로 사용하는 식별자”라고 적은 **한 문장**이 전부임
- 보안 연구자 Matthew Hickey는 이 사건을 두고 Windows를 “**감시 소프트웨어(surveillance software)**”라고 평가함
- Costin Raiu는 Three Buddy Problem 팟캐스트에서 다른 플랫폼에도 얼마나 비슷한 기능이 존재하는지 질문함
- 주요 운영체제는 라이선스와 보안 검사를 위해 지속적인 기기 식별 수단을 유지하지만, Windows는 Apple·Google 플랫폼과 달리 사용자에게 보이는 제어 기능을 제공하지 않음

### 관련 추적을 줄이는 설정
- GDID는 핵심 Windows 기능을 손상하지 않고 직접 끌 수 없으므로, 다음 설정은 **관련 추적을 줄이는 조치**에 해당함
  - 가능하면 Microsoft 계정 대신 로컬 계정을 사용함
    - 최근 Windows 11은 로컬 계정 설정을 더 어렵게 만들었지만, 접근 방법을 아는 사용자는 설치 과정에서 여전히 선택할 수 있음
  - `설정 → 개인정보 및 보안 → 진단 및 피드백`에서 선택적 진단 데이터를 끔
  - `개인정보 및 보안 → 권장 사항 및 제안`에서 개인화 광고와 앱 실행 추적을 비활성화함
  - `개인정보 및 보안 → 검색`에서 Cloud Content Search를 꺼 로컬 검색이 Bing으로 전송되지 않게 함
  - Activity History와 기타 원격 측정 옵션을 검토해 비활성화함
- 언론 활동, 사회운동, 가정폭력처럼 식별자의 지속성이 위협이 될 수 있는 상황에서는 Windows PC와 상용 VPN에 의존하지 않고 **Tor를 통한 Linux 사용**을 권장함
- 새 GDID를 받으려고 Windows를 다시 설치하더라도 같은 Microsoft 계정에 로그인하면 이전 활동과 연결할 데이터가 Microsoft에 제공됨

### 제한적인 공개 범위와 향후 상태
- 소환장 같은 법적 요청은 Microsoft가 GDID 활동 데이터를 수사기관에 제공하도록 강제할 수 있으며, Scattered Spider 사건이 실제 사례가 됨
- Microsoft는 GDID의 생성·저장·보고 방식을 변경하겠다는 입장을 밝히지 않았고, 일반 사용자용 제어나 문서 제공도 약속하지 않음
- 연방 고소장 외에 공개된 자료는 Azure Monitor 문서의 짧은 항목뿐이며, 현재 고소장의 Microsoft 원격 측정 관련 부분이 **GDID 작동 방식을 가장 상세히 보여주는 공개 자료**임
- Scattered Spider 사건은 미국 연방법원 절차를 진행 중이며, 사용자는 향후 Microsoft의 개인정보 보호 관련 업데이트를 확인할 수 있음

## Comments



### Comment 61918

- Author: neo
- Created: 2026-07-16T18:01:55+09:00
- Points: 1

###### [Lobste.rs 의견들](https://lobste.rs/s/agkcmz/microsoft_confirms_windows_gdid_device) 
- 이해가 안 되는 건 **Windows GDID**가 Microsoft 외부 서비스의 활동과 어떻게 연결되느냐는 것임. 기기가 해당 서비스들에 GDID를 보내는 건지, 아니면 Microsoft가 모든 사용자의 브라우저 활동을 저장하는 건지 궁금함. 후자라면 Edge에서만 수집하는지, 다른 수단도 쓰는지도 의문임
  - 기술 매체의 보도가 자주 부정확해서 신청서를 직접 살펴보니, Microsoft 로그를 통해 GDID가 **`.168` VPN IP 주소**와 연결됐고 비슷한 시각에 같은 VPN IP로 해킹에 쓰인 ngrok 계정을 만들었음  
    당시 여러 사람이 그 VPN IP를 함께 사용했을 수도 있으므로 결정적 증거라고 보기는 어려움. 살인 사건 당시 근처에 있었다고 살인범인 것은 아니지만 용의자가 될 수는 있는 것과 비슷함. 출처가 불분명한 부를 과시하고 유죄 판결을 받은 해커들을 이야기한 정황도 의심을 키웠겠지만, 압수수색에서 유출 데이터가 발견된 사실이 훨씬 설득력 있음  
    여기서 GDID가 특별한 기능을 한 것 같지는 않음. Microsoft가 FBI에 정보를 넘기면서 자체 분석에 GDID를 사용했기 때문에 관련된 것일 뿐이며, 계정 정보와 연결된 IP 로그를 수집하는 다른 회사도 똑같이 신고할 수 있었을 것임
  - Windows가 GDID를 Microsoft로 보내고, Microsoft가 **IP 주소와 시각**을 기록하는 방식일 것으로 추측함. 이를 VPN 세션이나 웹 서버 접근처럼 IP·시각·특정 행동을 기록하는 자료와 대조하면 시간에 따른 사용자 활동을 연결할 수 있음

- 관련 **법원 신청서**는 여기 있음: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

- Microsoft의 확인은 중요하지 않으며, 그런 진술 없이도 **해당 기능의 존재**는 이미 입증됐음  
  보안 연구자 Matthew Hickey가 이 사건을 두고 Windows를 “감시 소프트웨어”라고 규정했다는데, 웃기는 소리임. **Windows가 스파이웨어**라는 평가는 늦어도 Windows 10 출시 때부터 나왔음
