- 프랑스 해군 장교가 Strava 피트니스 앱에 공개 프로필로 운동 기록을 업로드하면서, 지중해에서 작전 중인 항공모함 Charles de Gaulle의 정확한 위치가 실시간으로 노출
- Le Monde가 해당 데이터와 위성 이미지를 교차 검증하여 키프로스 북서쪽, 터키 해안에서 약 100km 떨어진 지점에서 항모의 위치를 확인
- 중동 전쟁 상황에서 이란 연계 세력이 이미 프랑스 군사 기지 2곳을 공격한 바 있어, 이러한 위치 데이터 공개는 심각한 보안 위협
- 2024년 가을 대통령 경호원들의 Strava 사용 문제, 2025년 1월 핵잠수함 순찰 일정 노출 등 동일한 보안 결함이 반복적으로 발생
- 프랑스 군 참모부는 현행 지침 위반이라고 인정했으나, 구조적인 디지털 보안 체계 개선 없이는 차기 항모에서도 같은 문제가 반복될 가능성 존재
사건 개요: Strava를 통한 항모 위치 노출
- 3월 13일 오전 10시 35분, 프랑스 해군 장교 "Arthur"(가명)가 함선 갑판에서 약 7km를 35분간 달리며 스마트워치로 기록한 데이터가 Strava에 공개 업로드
- Strava 프로필이 "공개(public)" 설정이었기 때문에, 누구나 해당 운동 기록을 통해 항모의 정확한 위치를 거의 실시간으로 확인 가능
- Le Monde는 이를 통해 Charles de Gaulle이 키프로스 북서쪽, 터키 해안에서 약 100km 떨어진 지중해 해역에 있음을 확인
- 프랑스 해군 타격단은 항공모함 외에 최소 프리깃 3척과 지원 함정 1척으로 구성
배경: 중동 배치와 보안 위험
- 3월 3일 마크롱 대통령이 중동 배치를 명령, 이스라엘과 미국의 이란 공격 직후에 이루어진 결정
- Charles de Gaulle은 원래 NATO 훈련의 일환으로 발트해에서 5월까지 작전 예정이었으나 급히 전환
- 3월 6일 프랑스 당국이 지브롤터 해협 통과를 공식 발표
- 중동 지역 내 프랑스 군사 기지 최소 2곳이 이란 연계 세력의 공격을 받았으며, 이라크 북부 드론 공격으로 프랑스 군인 1명 사망, 6명 부상
- 이러한 상황에서 항모의 정밀 위치 데이터를 공개 웹사이트에 업로드하는 것은 위험한 수준의 부주의
데이터 교차 검증: 위성 이미지 확인
- Le Monde는 Arthur의 Strava 데이터를 통해 Charles de Gaulle의 이동 경로를 추적
- 2월 14일: 프랑스 코탕탱 반도 해안 부근에서 운동 기록
- 2월 26~27일: 항모가 스웨덴 말뫼에 정박 중, Arthur는 덴마크 코펜하겐에서 육상 활동 기록
- 3월 13일: 키프로스 북서쪽 지중해에서 활동
- Arthur의 달리기 약 1시간 후 촬영된 위성 이미지에서 262m 길이의 항모 실루엣이 명확히 식별
- 달리기 경로는 움직이는 함선 위에서 원을 그리며 달린 형태로, 위성 촬영 지점에서 약 6km 떨어진 위치
- Arthur가 항모 위에서 달린 후 함선이 이동했거나, 호위 함정 중 하나에 탑승한 두 가지 가능성 존재
추가 발견: 다수의 Strava 프로필 노출
- Arthur 외에도 최소 1명 이상의 공개 Strava 프로필이 작전 중인 함선에서 위치 정보가 포함된 운동 기록을 게시
- 일부 공개 프로필에는 함선 갑판 사진, 다른 군인 사진, 함선 내부에 설치된 피트니스 장비 사진까지 포함
프랑스 군 참모부 대응
- 프랑스 군 참모부는 Strava에 달리기 경로를 공개 업로드한 행위가 "현행 지침을 준수하지 않은 것" 이라고 밝힘
- 수병들은 "정기적으로 관련 지침을 안내받고 있다" 고 언급
- "디지털 위생(digital hygiene)" 이 모든 배치 전 선행 요건에 포함되어 있음을 강조
- "지휘부에서 적절한 조치를 취할 것"이라고 답변
이전 StravaLeaks 보안 결함
- 2024년 가을, Le Monde의 "StravaLeaks" 보도에서 프랑스·미국·러시아 대통령 경호원들의 Strava 사용으로 인한 보안 결함 노출
- 경호원 본인과 가족 신원 파악, 이동 추적, 대통령 동선 사전 예측 가능성까지 확인
- 2025년 1월에는 프랑스 해군 핵추진 탄도미사일 잠수함(SSBN) 승조원들이 Strava를 통해 잠수함 순찰 일정 정보를 노출
- 당시 해군은 "일부 인원의 부주의" 로, 일롱그(Ile Longue) 작전기지 활동에 영향을 미치는 침해는 아니라고 답변
차기 항모와 남은 과제
- 차기 프랑스 항공모함 France Libre("자유 프랑스") 가 2038년경 Charles de Gaulle을 대체 예정
- 최대 항공기 40대 탑재 가능, 항공기 사출기 3기와 드론 장비 탑재
- 마크롱 대통령은 건조에 "국가 최고의 인재, 가장 희귀한 전문성, 가장 까다로운 소명" 이 동원될 것이라 발언
- 향후 수병들이 운동 기록을 공개 계정에 계속 공유할 것인지, 비공개로 전환할 것인지가 해결되지 않은 과제로 남아 있음
Hacker News 의견들
- 약 3년 전, 우크라이나 민간인 23명이 사망한 미사일 공격에 연루된 전직 러시아 잠수함 지휘관이 사망했음
그의 이동 경로가 Strava를 통해 추적된 것으로 보인다는 보도가 있었음
관련 기사: CNN 보도, GIJN의 Strava 활용 조사 사례 - 군대에서는 이런 위치 정보 유출 문제가 흔함
병사들이 휴대폰과 인터넷을 쓰는 걸 완전히 막기 어렵고, 대부분은 순진함과 불편함을 피하려는 태도에서 비롯됨
우크라이나에서도 여전히 이런 일이 발생 중임- 15년 전 우리 여단이 훈련 중이었는데, 적군(OPFOR)이 Tinder를 이용해 본부 위치를 삼각측량으로 찾아냈음
Tinder의 1마일 단위 위치 정보를 이용해 포격 시뮬레이션을 했고, 여단장은 매우 불쾌해했음 - 예전에 사용자 이름 없이 위치만 공개하던 피트니스 트래커가 있었음
이라크 지도에 사각형 경로들이 나타났는데, 미군이 기지 내부를 조깅한 흔적이었음
기밀은 아니었지만, 위치 정보가 얼마나 쉽게 새는지 보여주는 사례였음 - 상급자조차 Signal 같은 보안 통신 앱을 제대로 안 쓰는 상황이라면, 병사들을 탓하기 어렵다고 생각함
- 설령 직접적인 위치 공유를 막더라도, 데이터 브로커를 이용한 정보 수집으로 인터넷 접근 자체가 위험해질 수 있음
- 전쟁 초반 2년 동안은 이런 규칙을 어긴 병사들이 대부분 전사하거나 부상당했음
최근 러시아 국방부가 전선 근처에서 Telegram이나 우크라이나 통신망을 쓰는 병사들에게 강한 징계를 내리고 있음
- 15년 전 우리 여단이 훈련 중이었는데, 적군(OPFOR)이 Tinder를 이용해 본부 위치를 삼각측량으로 찾아냈음
- 항공모함의 위치가 비밀이어야 하는지 의문임
위성으로는 숨기기 어렵다고 생각함- 적국이 군인들의 온라인 계정 활동을 추적해 계급, 부대, 전문 분야 등을 조합하면, 단순한 위치 이상을 파악할 수 있음
위성 없이도 상당한 정보를 얻을 수 있음 -
Naval Gazing의 글에 따르면, 항공모함의 위치 비밀은 ‘생존성의 한 층’일 뿐이라고 함
완전한 은폐보다는 여러 방어 수단 중 하나로 봐야 함 - 항공모함은 17,000㎡ 규모로, 25층 건물 높이에 해당함
숨길 수 있는 구조가 아니며, 은폐는 잠수함의 역할임 -
정보 위성은 실시간이 아니라 몇 시간 전 위치만 파악 가능함
반면, 실시간 GPS 데이터는 미사일 유도에 훨씬 유리함 - Strava 계정이 특정 승조원과 연결되면, 그 사람의 육상 이동 경로까지 추적당할 위험이 있음
- 적국이 군인들의 온라인 계정 활동을 추적해 계급, 부대, 전문 분야 등을 조합하면, 단순한 위치 이상을 파악할 수 있음
- 미국도 예전에 Strava로 비밀 기지 위치가 노출된 적이 있었음
(The Guardian 기사)
항공모함이 위성 인터넷을 쓰는지, 아니면 해안 근처에서만 동기화되는지 궁금함
전자라면 화이트리스트 방식으로 앱 접근을 제한해야 함 - 전 CIA 요원 Sarah Adams가 진행한 팟캐스트 Your Phone Isn’t Safe Right Now에서 이 문제를 다뤘음
여행 중 디지털 발자국을 줄이는 100가지 방법을 소개했고, 가장 큰 위협으로 피트니스 앱과 데이팅 앱을 꼽았음 - 지중해에서 항공모함을 탐지할 수 없는 국가는 없다고 생각함
스텔스 선박이 아니기 때문임- 지중해에서는 가능하겠지만, 대양에서는 탐지가 훨씬 어려움
위성이 모든 해역을 실시간으로 감시하기 어렵기 때문임 -
MH370 실종 사건처럼, 거대한 비행기도 찾기 어려웠음
바다 위 선박 탐지는 결코 단순하지 않음 - 잠수함을 Strava로 찾았다면 훨씬 놀라웠을 것 같음
-
공개 API로 위치를 알아내는 것과 국가 위성 자산을 쓰는 건 완전히 다른 문제임
대부분의 국가는 정찰 위성을 보유하지 않음 - 최근에는 Planet Labs 같은 민간 위성 네트워크로도 일정 수준의 추적이 가능해졌지만, 여전히 한계가 있음
- 지중해에서는 가능하겠지만, 대양에서는 탐지가 훨씬 어려움
- “Loose lips sink ships”라는 말처럼, 무분별한 휴대폰 사용도 함정을 빠뜨릴 수 있음
- 아마도 함내 인터넷 접속 지점을 통해 Strava가 동작했을 것 같음
프랑스 해군 IT 부서가 위험한 앱을 차단 정책으로 관리해야 함 - 개인 휴대폰은 누구의 소프트웨어가 깔려 있을지 모르고, 인터넷 연결만으로도 데이터 수집 위험이 큼
이런 상황은 군의 보안 의식 부족을 보여줌
- 아마도 함내 인터넷 접속 지점을 통해 Strava가 동작했을 것 같음
-
Charles de Gaulle 항공모함의 순항 속도는 27노트로, 달리는 사람의 페이스 계산이 완전히 엉망이 됨
Strava 통계가 크게 왜곡될 수 있음- 민간인들도 크루즈선 갑판을 뛰는 경우가 있는데, 속도와 거리 데이터가 엉뚱하게 나옴
- 기사 속 경로를 보면 배의 진행 방향과 반대로 움직이는 구간이 있음
아마도 항공모함이 느리게 운항 중이었을 가능성이 있음 - 7.2km를 4:38 페이스로 달렸는데, 경로가 반복되는 걸 보면 배가 회전 항로를 돌고 있었던 듯함
레바논 근처로 접근을 늦추려는 의도였을 수도 있음 -
심박수 기반 칼로리 계산도 비슷한 오류를 낳음
특정 약물 복용 시 하루 소모 칼로리가 비정상적으로 높게 나오는 사례가 있음
- 항공모함은 해안에서 10m 높이만 되어도 약 28마일 거리에서 육안으로 보임
지중해 연안 대부분에서 관측 가능했을 것임- 해안 근처에서는 Strava 사용이 허용되고, 민감한 작전 중에는 금지되는 정책이 있는지 궁금함
아니면 이번 사례가 그런 위험 행동의 예시일 수도 있음 - 달리기 경로의 모양만으로도 항로와 속도를 추정할 수 있음
- 해안 근처에서는 Strava 사용이 허용되고, 민감한 작전 중에는 금지되는 정책이 있는지 궁금함
- 여담이지만, 이런 운동 앱들이 선박의 이동을 보정해주는지 궁금함
크루즈선에서 조깅하는 사람들도 많을 텐데, 데이터가 실제보다 왜곡될 가능성이 있음