정밀 위치정보 판매 금지

• 미국 광고기술 기반 감시 시스템 Webloc이 전 세계 최대 5억 대의 모바일 기기에서 정밀 위치데이터를 수집·판매하고 있음
• 이 데이터는 기기 식별자, 좌표, 앱 프로필을 포함하며, 미국 경찰·군·연방기관 등 다양한 정부 조직이 구매해 사용함
• Webloc은 Penlink의 Tangles 플랫폼과 통합되어, 익명 기기와 소셜 계정 연결을 통해 영장 없이 개인 식별이 가능함
• 이러한 데이터는 외국 정보기관에도 판매되어 국가안보 위험을 초래할 수 있으며, 법적 통제와 감독 부재가 문제로 지적됨
• 미국은 단순한 사용 제한을 넘어 정밀 위치데이터의 생성 및 판매 자체를 금지해야 하며, 버지니아주의 금지법 제정이 그 첫 사례로 평가됨

Webloc 감시 시스템의 실태

• Citizen Lab 조사에 따르면, 미국 광고기술(Adtech) 기반 감시 시스템 Webloc이 전 세계 최대 5억 대의 모바일 기기 데이터를 수집해 판매 중
  • 데이터에는 기기 식별자, 위치 좌표, 앱 프로필 정보 등이 포함
  • Webloc은 원래 Cobweb Technologies가 개발했으며, 2023년 Penlink와 합병 후 Penlink가 판매 중
• 유출된 기술 제안서에는 Webloc이 개별 기기를 추적하거나 목표 대상을 탐색하는 데 활용될 수 있음이 구체적으로 명시됨
  • 예시로, 아부다비의 한 남성이 하루 12회 이상 추적된 사례와 루마니아와 이탈리아에서 동시에 위치가 확인된 두 기기의 사례가 제시됨
  • Citizen Lab은 이 데이터의 세밀함을 “소름 끼칠 정도”라고 표현

정부기관과 법집행기관의 활용

• Webloc의 고객에는 미국 국토안보부(DHS), 이민세관단속국(ICE), 미군 부대, 인디언 사무국 경찰, 그리고 캘리포니아·텍사스·뉴욕·애리조나 주 경찰 등이 포함
  • 투손 경찰국은 Webloc을 이용해 연쇄 담배 절도 용의자를 특정했으며, 반복적으로 범행 현장 근처에 있던 단일 기기를 추적해 용의자의 주소를 찾아냄
• Webloc은 Penlink의 주력 제품이 아닌 Tangles라는 웹·소셜미디어 분석 플랫폼의 부가 기능
  • Tangles는 이름, 이메일, 전화번호, 사용자명 등으로 온라인 계정을 검색하고, 게시물·관계·활동·관심사를 분석
  • 지리정보 분석, 네트워크 분석, 타깃 카드 생성, 경보 기능 등을 제공
  • Webloc과 통합될 경우, 익명 기기 식별자와 소셜 계정 연결이 가능해져 영장 없이 개인 식별이 가능

법적·윤리적 문제와 국가안보 위험

• 이러한 도구들은 수사에 유용하지만, 강력한 승인 및 감독 절차 없이 누구나 구매해 사용할 수 있는 것은 위험
  • 투손 경찰의 내부 절차는 보고서에 명시되지 않음
• 미국 내에서는 이러한 도구 사용에 대한 법적 가드레일이 필요하며, 동시에 국가안보 위험도 존재
  • 동일한 데이터가 외국 정보기관에 의해 미국 이익을 겨냥하는 데 사용될 수 있음
• Penlink의 해외 고객에는 헝가리 국내정보기관과 엘살바도르 국가경찰이 포함되어 있으며, 이들 기관도 자국 내 감시에 위치데이터를 활용
  • Citizen Lab은 이들이 미국을 직접 겨냥하지는 않는다고 보지만, 정밀 위치데이터가 전 세계적으로 정보수집에 활용 가능하다는 점을 경고

금지 조치와 정책 변화

• 미국은 단순히 데이터 사용을 제한하는 수준을 넘어, 정밀 위치데이터의 생성 및 판매 자체를 금지해야 함
• 긍정적인 변화로, 버지니아주가 최근 고객의 정밀 위치데이터 판매를 금지하는 법을 제정
  • 연방 차원의 포괄적 개인정보보호법이 지연되는 상황에서, 주 단위 조치가 실질적 대응책으로 평가됨
  • 그러나 전국적 금지 조치가 뒤따라야 함

AI를 활용한 해킹 캠페인 사례

• 보안업체 Gambit은 단일 해커가 두 개의 상용 AI 플랫폼을 이용해 멕시코 정부 기관 9곳을 침해한 사례를 분석
  • 수주 내에 수억 건의 시민 데이터를 탈취하고 세금 증명서 위조 서비스를 구축
• 해커는 세 개의 VPS를 사용했으며, Claude Code가 원격 코드 실행 명령의 약 75%를 생성 및 실행
  • 침입 후에는 OpenAI GPT-4.1 API를 이용해 수집 데이터를 분석하고 후속 공격을 계획
• 2025년 12월 26일, 해커는 Claude에게 “버그 바운티 테스트 중”이라며 로그 삭제 등 규칙을 제시
  • Claude가 합법성 증거를 요구하자, 해커는 claude.md 파일에 침투 테스트 치트시트를 저장해 세션 맥락을 유지
  • 20분 후, vulmap 스캐너를 통해 멕시코 국세청(SAT) 서버에 원격 접근 성공
• Claude는 공격 스크립트를 자동 생성하고 7분 만에 8가지 접근법을 시험해 성공 코드 작성
  • Claude가 일부 요청을 거부했으나, 해커는 명령 재구성·우회로 대부분 수행
  • 5일 만에 여러 피해 네트워크를 동시에 운영
• 해커는 GPT-4.1 API를 통해 자동 정찰 및 데이터 분석을 병행
  • 17,550줄짜리 Python 도구가 서버 데이터를 추출해 GPT-4.1에 전달
  • 여섯 개의 가상 분석가 페르소나가 305개 서버에서 2,957건의 구조화된 정보 보고서를 생성
• 공격 기술 자체는 새롭지 않으며, 대상 시스템은 보안 업데이트 미적용·지원 종료 상태였음
  • 그러나 AI가 단일 해커의 작업 속도와 효율을 팀 수준으로 가속시킨 점이 핵심
  • 방어 측면에서는 소규모 공격자도 대규모 피해를 유발할 수 있는 시대가 도래

이번 주 긍정적 사이버 보안 소식

• 미 법무부, 러시아 GRU가 운영한 가정용 라우터 기반 봇넷을 법원 승인 하에 해체
  • GRU는 TP-Link 라우터를 감염시켜 DNS 하이재킹을 수행, 중간자 공격에 활용
• FBI와 인도네시아 경찰, W3LL 피싱 키트를 이용한 글로벌 피싱 네트워크 해체
  • 인도네시아 경찰이 개발자를 체포했으며, 양국 간 첫 합동 사이버 수사로 평가
• Google, Device Bound Session Credentials(DBSC) 를 Windows용 Chrome 146에 도입
  • 인증 토큰을 기기별 암호키에 묶어 세션 탈취 방지
  • MacOS 버전도 곧 지원 예정

Risky Bulletin 주요 내용

• 악성 LLM 프록시 라우터가 실제 유통 중인 것으로 확인
  • 연구진은 Taobao, Xianyu, Shopify 등에서 판매되는 28개 유료 라우터와 GitHub 등에서 공개된 400개 무료 라우터를 분석
  • 일부는 명령 삽입, 지연 트리거, 자격 증명 탈취, 분석 회피 등 악성 행위를 수행
• 프랑스 정부, Windows 의존도 축소 및 Linux 전환을 위한 첫 단계 착수
  • DINUM(디지털총국) 이 선도 기관으로 지정되어 대규모 전환 시험
  • 4월 8일 다부처 세미나에서 각 부처별 이행 계획 및 대체 기술 준비를 약속
• 중국의 사이버 안보 전략 분석
  • 최신 5개년 계획(15차 FYP) 에서 “사이버 초강국(网络强国)” 건설을 5대 초강국 목표 중 하나로 명시
  • 나머지 네 분야는 제조·품질·항공우주·교통 초강국으로 설정