위치 추적에 대한 기존 인식을 뒤흔드는 감시 데이터

 (lighthousereports.com)
1P by GN⁺ 3시간전 | ★ favorite | 댓글 2개
  • First Wap이라는 거의 알려지지 않은 감시 기술 회사가 전 세계 인물의 위치를 추적할 수 있는 강력한 소프트웨어 Altamides를 민간 기업 등에 판매했음
  • Lighthouse Reports와 파트너 기자단이 확보한 1.5백만 건 이상의 데이터 아카이브를 분석해 정치인, 기업인, 평범한 사람들까지 다양한 인물이 불법 감시 대상이 된 실태를 밝혔음
  • 감시 업계는 도구를 범죄 수사용으로만 쓴다 했으나 실제로는 정부 외 민간 및 비윤리적 목적까지 용인되는 현실이 드러남
  • First Wap은 옛 SS7 통신 프로토콜의 보안 취약점을 이용해 글로벌 추적 시스템을 구축했고, 이후 통화 도청 및 암호화 메신저 해킹 기능까지 강화함
  • 위장 잠입 보도를 통해 회사 경영진이 제재 회피용 우회 판매와 관련된 위험을 인지하면서도 거래를 계속 논의한 정황이 포착됨

감시 비즈니스의 민낯: Altamides의 추적과 국제적 규모

프라하에서 드러난 감시 산업의 실상

  • 2024년 6월, 비밀리에 진행된 감시 기술 박람회 ISS World에서 First Wap의 영업 임원 Günther Rudolph가 민간 채굴 회사와 Altamides 추적 소프트웨어 판매에 대해 논의하는 자리에서 “거래를 주선할 경우 감옥에 갈 수도 있음”을 언급함
  • 당시 거래 상대는 환경 운동가 감시 목적을 지닌 제재 대상 인물 소유의 회사로, Rudolph는 “우리만이 가능하다”며 독점 기술력을 시사함
  • 그러나 거래 상대는 Lighthouse 리포트 소속 위장 잠입 기자였음

방대한 위치 추적 아카이브와 국제 공동취재

  • Lighthouse 기자가 딥웹에서 발견한 150만 건 이상의 위치 추적 데이터 아카이브 분석이 시작점이었음
  • 14개 언론사, 70명 이상의 기자가 참여해 전화번호 별 소유주 식별과 목표 그룹(클러스터) 분류를 통해 실체 파악을 진행함
  • 데이터에는 전·현직 고위 정치인, 기업인, 일반 시민 등 160개국 인물들이 포함됐음
  • 예시 : 카타르 전 총리, Bashar al-Assad 전 시리아 대통령의 부인, Netflix 프로듀서, Blackwater 설립자, 23andMe 창업자, Red Bull 임원 등 다양한 인물까지 광범위하게 추적됨
  • 해당 데이터 분석 및 취재 과정에서 각국 기자들은 자국 내 감시 정황 및 추가 피해자를 추적 확인함

First Wap의 입장과 업계의 자기변호

  • First Wap은 “불법 행위나 인권 침해와 무관함”을 주장하며, 안건이 구체적이어서 고객 신원 노출 우려로 특별한 언급을 하지 않음
  • “설치 후엔 사용 용도를 관여하지 않으며, 법집행기관이 ‘조직범죄·테러·부패’ 대응 목적으로 활용한다”는 원론적 입장을 강조함
  • 감시업계 전체는 테러・범죄 대응에만 사용한다는 내러티브를 유지했으나, 이번 취재를 통해 정부·비정부, 상업적·사적 목적 모두 용인되는 현실이 드러남

국경 없는 감시 소프트웨어, 누구나 피해자가 되는 현실

Altamides의 실제 피해사례

  • 2012년, 인도 고아 해변에서 휴가 중이던 “Sophia”(가명)가 개인적인 집착을 가진 남성에게 국가급 감시 시스템으로 위치 추적을 당함
  • 이 사례에서처럼 Altamides는 정부 외 민간(스토커, 기업 등) 에게까지 확산됐고, 일반 교사, 치료사, 타투이스트 등 평범한 인물들도 피해자로 집계됨

소프트웨어 유통 및 확장 경로

  • First Wap은 중간 유통업체 네트워크를 통해 소프트웨어를 전 세계로 판매함
  • 영국의 조사 컨설팅 기업 KCS Group이 북아프리카 및 아시아 정부에 Altamides 판매를 시도했으며, 정치적 불안정(아랍의 봄) 을 상업적 기회로 활용하려는 시도가 문건을 통해 드러남
  • KCS는 “비윤리적 감시 도구 판매/사용에 관여하지 않았다”는 공식 입장을 표명함

업계를 지배한 조용한 개척자

Altamides의 기술적 기원과 성장

  • Siemens 출신 Josef Fuchs가 2000년대 초 글로벌 통신망의 SS7 취약점을 발견, 이를 활용해 First Wap의 사업 방향을 단문 메시지 마케팅 → 휴대폰 추적 소프트웨어로 전환함
  • 블랙베리, 노키아 등 피처폰 시대부터 전화번호만 입력하면 전세계 어디서든 위치 파악이 가능한 시스템 구현
  • 이후 SMS 가로채기, 통화 도청, WhatsApp 등 암호화 메신저 해킹 등 기능 확장

글로벌 시장 지배 및 그림자 경영

  • First Wap은 20년 넘게 국경·법적 제한 없이 조용히 글로벌 감시 제국을 구축했으며, 감시 영역의 범주와 한계를 사실상 두지 않음

위장 취재로 드러난 매뉴얼 외 현실

윤리적 한계와 우회 거래관행

  • 초반 접촉과 문서분석 과정에서 일반 범죄와 무관한 인물 감시권위주의 국가·비정부 세력 활용 사례가 적발됨
  • First Wap은 “정부 고객에 한해 엄격히 제재 준수와 심사 후 계약” 절차를 진행한다 주장
  • 잠입기자는 가짜 신분(남아공의 컨설팅 기업 대표), 프라하 ISS World 참가, 실존 영업 담당자와 미팅을 통해 민간 기업 및 정치적 목적 감시 프로젝트 가능성 타진
  • 위험 사례에 대해 Rudolph 영업이사는 “유럽 제재로 위험하지만, 거래 시 인도네시아 법인 경유 및 페이퍼컴퍼니 사용 등으로 거래가 가능하다며 ‘우회 방법’을 인정**함
  • 추후 Lighthouse가 잠입 취재 사실을 알리자, First Wap 측은 “실제 발언은 기술적 가능성을 언급한 것이고 오해가 있었음”이라고 해명함
crawler 57분전  [-]

이게 음모론 같은 이야기가 아니라 진짜인가요?
아무리 프로토콜 자체에 있는 취약점이라고 해도 수백 개의 통신사가 있을 텐데 어떻게 전세계를 추적한다는 건지 믿기가 어려운데요
애초에 미국 대통령, 젠슨 황, 제 옆집에 사는 춘식이 전화번호를 어떻게 알고 특정할까요?

답변달기
GN⁺ 3시간전  [-]
Hacker News 의견

  • 기자들이 이런 감시 기술과 정보 공유가 왜 허용되는지, 그리고 그런 기술이 존재하도록 만드는 동기를 좀 더 탐구해줬으면 하는 바람임. 오바마 대통령의 자서전 <A Promised Land>를 읽으며 느꼈던 것은, 지도자의 입장에서 대중의 안전을 직접 책임질 때 감시에 대한 입장이 완전히 달라진다는 점임. Flock 카메라나 매장 내 감시 기기를 볼 때마다, 지도자들이 막연한 남용 가능성보다는 이 기술의 권력 자체에 매료되어 있다는 느낌을 받음. 사회에서 화재의 위험을 알리는 보도가 화재 법률, 화재 경보기, 사회적 규범 등 예방적 시스템의 필요성을 언급하지 않는 것과 비슷하다고 생각함. Flock 카메라 설치 책임자와 설치 이유, 그리고 부정적 부작용(프로파일링, 스토킹, 비범죄자 추적 등) 없이 긍정적인 성과(예: 차량 절도범 검거)만 이끌어낼 방법에 대해 취재해주는 기사를 보고 싶음

    • 누구나 권력을 쥐어도 올바르게 사용할 거라고 생각하게 됨. 이론적으로 완벽한 정부가 모든 감시 권한을 가진다면 범죄율이 낮아지는 등 장점이 생기지만, 실제로는 대형 조직이 세밀한 통제에 능하지 못하며, 지도자가 선의로 시작해도 중간 관리자나 부정확한 데이터로 인해 문제 발생함. 좋은 지도자도 후계자를 잘못 고르기 쉽고, 결국 부패한 리더가 들어설 가능성이 높음. 더구나, 분권화나 프라이버시가 이상적이지 않더라도, 만에 하나 중앙 집중 감시 시스템이 오작동할 때를 대비해 백업 수단으로 꼭 남아 있어야 하는 이유임

    • 오바마가 대중 감시 개혁을 추구했지만 실질적으로 국민 안전을 맡게 되니 태도가 달라졌다고 하는 부분은 핑계에 불과하다고 생각함. 감시 개혁 이후 발생하는 불행이 비록 감시와 무관하더라도 책임을 떠안게 되는 정치적 리스크 때문에, 결국 후보 시절 옳았던 입장을 접고 문제를 회피하게 됨. 대중 감시 없이도 범죄 예방은 충분히 가능하고, 빈곤 감소 등으로도 나쁜 일을 줄일 수 있음. 어떤 정책을 쓰더라도 0%로 만들 수는 없는 만큼, 비난 받을 걱정만으로 옳은 개혁을 포기하는 건 용기 부족임

    • 나는 감시 자체에 전적으로 반대하지 않음. 다만 투명하고 필요 최소 범위로만 제한되길 바람. 예를 들어 경찰이 내 Google 검색 기록을 원한다면 반드시 영장을 받아 사유를 입증해야 하고, 일정 시간이 지난 후 계정 소유자에게 통보해야 한다고 생각함. 휴대전화 접근이 필요하다면 몰래 해킹하기보다는 정식 절차로 확보한 뒤 비밀번호를 당사자에게 직접 받는 것이 옳음. 이는 모두를 상시 추적하는 대신, 행위가 충분히 눈에 띄어 남용을 막는 효과가 있음. 또한 얼굴 인식처럼 도난 방지 목적으로 도입된 비즈니스 데이터는 마케팅 및 분석에 사용하면 안 되고, 반드시 일정 기간 후 삭제하도록 법제화되어야 함

    • 감시 기술의 허용 원인은 결국 대중의 ‘무관심’임을 강조함

    • "문제를 굳이 다루지 않아도 비용이 들지 않는다"는 인식이 팽배한 이유는, 명확하지 않은 작은 비용을 모두에게 강제로 전가하되, 그것이 어쩌다 한 번은 생명을 구할 수 있다고 포장하기 때문임. 이런 방식은 전 세계 어디든 악의적인 사람들과 비양심적인 댓글러들이 애용함. 사회는 '개별적으로는 미미한 손해지만, 전체로 보면 엄청난 손실'이 되는 구조적 단점에 대해 효과적으로 대처하지 못함. 미국 전체가 연 1명 생명을 구하기 위해 모두 하루 1분씩 소모한다면 실상 구하는 생명보다 더 큰 손실임에도, 피해가 주관적이면 아무도 문제를 제기하지 않게 됨

  • First Wap이라는 회사가 사람 추적을 가능하게 해줌. 이 회사의 핵심 상품은 통신망 레벨에서 동작하는 소프트웨어임. 여기서 중요한 점은 전화회사들이 여전히 Signalling System 7(SS7)이라는 오래된 프로토콜을 지원한다는 것임. 전화 네트워크가 사용자를 위치 기반으로 문자나 전화를 전달하려면 위치 요청 신호 교환이 필수임. 본질적 취약점은, 네트워크들이 이런 요청 명령을 보낸 상대방이 진짜 누구이고 무슨 목적인지 확인도 안 한 채 처리한다는 점임. 이 신호(시그널링 메시지)는 사용자 폰에서 전혀 보이지 않고 “Global Titles(GT)”라는 네트워크 노드 번호 간에만 오감

    • ‘재미있는 사실’로, “다른 네트워크”엔 모든 해외 로밍 파트너 네트워크도 포함되어 있음. 즉 SS7 취약점을 악용해 아예 반대편 대륙에서 타인의 위치를 추적하는 것도 가능함

    • 나는 통신사들이 사용자 데이터 자체를 그냥 팔고 있나 추측함. FCC가 이런 정보를 사용자 동의 없이 팔아서 벌금 먹은 소식도 있음 참고 링크

  • 2025년 현재도 SS7 통신망의 취약점이 여전함. 공격자는 페미토셀(소형 중계 기지국)이나 IMSI 캐처(가짜 기지국)를 설치해 SS7 트래픽을 가로챌 수 있음. GSM은 단말기가 네트워크에 신원 인증은 하지만, 네트워크가 단말기에게 신원 인증을 안 하기 때문에 IMSI 캐처로 휴대전화 접속을 유도하는 것이 쉬움. 심지어 LTE에서도 위조 기지국을 통해 접속을 다운그레이드 시켜 보안 우회를 시도함. 자세한 공격 원리 참고

  • <i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019)라는 글이 있는데, 미국 FCC는 SS7 취약점 해결에 미적대고, 국토안보부(DHS) 기술조언도 무시하며, 모범사례(여러 필터링 시스템 적용 등) 제안은 있었지만, 실질적으로는 자율적 이행에만 의존함 기사 링크

  • 요즘 이런 ‘비밀’이 언론에 보도되는 게 신기함. 기사 내 소스는 일부러 애매하게 처리된 느낌임. “Lighthouse found a vast archive of data on the deep web”이라고만 썼는데, 이게 결국 감시 업체가 수천 명 정보를 마치 열린 S3 버킷에 그냥 올려놨다는 얘기 아님? 사실 이 업계가 남들의 보안 허점을 공격해서 도청·감시하면서, 정작 자기네 데이터는 초보적인 실수로 외부에 노출되는 사례가 많음. TM_Signal 유출 사건도 미국 고위급 메시지 아카이브 파일이 그냥 열린 S3에 저장된 게 원인이었음. 아이러니하게도 남들 데이터 탈취로 먹고 사는 보안회사가 자기네 데이터까지 아무나 볼 수 있게 놓아두는 웃픈 보안 실수임

    • 이 업계 사람들이 너무 영역 특화되어 있어 오히려 클라우드 관리 경험은 없는 걸 수도 있음. Stack Overflow에서 복붙으로 S3 구성하다가 실수했을 가능성도 큼. 기존 업무이 아닌 영역은 대충 처리하다 보면 그런 사고가 나기 쉬움. 전문분야가 다르면 그런 실수도 충분히 이해됨. 이런 사람들은 SMS 쓰는 당신을 더 바보라고 생각할 지도 모름

  • 관심 있는 사람들을 위해, Lighthouse Reports에서 감시 조사 방법론을 기술적으로 자세히 설명한 글이 있음 기술적 설명 링크

  • 이 내용은 예전 CCC(Chaos Communication Congress)에서 본 ‘SS7: Locate. Track. Manipulate.’라는 2014년 발표를 떠올리게 함 발표 영상 링크

    • Tobias Engel이 2008년 25C3에서 했던 ‘Locating Mobile Phones using SS7’ 발표가 최초임 영상 링크

  • 기사에 “1.5백만 건, 1만4천명 넘는 고유 번호, 160여 나라에 걸친 감시 기록”이라 나오는데, HIBP(Have I Been Pwned)처럼 내 번호가 들어가 있는지 확인할 수 있는 사이트가 있으면 좋겠음

  • Stallman은 거칠고 독특한 사람이었지만, 사생활 침해 위험을 가진 기기는 모든 코드와 트랜지스터까지 다 공개해야 한다고 주장한 점에서 옳았음

답변달기