1P by GN⁺ | ★ favorite | 댓글 1개
  • Microsoft가 계정에 연결된 Windows 설치마다 부여되는 Global Device Identifier(GDID) 의 존재를 공개적으로 확인했으며, 미 검찰은 Scattered Spider 조직원으로 추정되는 인물을 추적한 연방 고소장에 이를 기록함
  • Windows 서비스 체인이 GDID를 생성해 Microsoft 서버로 전송하며 업데이트 후에도 유지함. 할당을 막으면 Windows 정품 인증과 Microsoft Store 앱이 영향을 받을 수 있음
  • FBI는 약 8개월간 VPN과 프록시를 이용해 4개국을 오간 Peter Stokes의 활동을 같은 GDID로 연결하고, ngrok 계정 생성과 피해 소매업체 접속 기록을 소셜미디어·여행 정보와 교차 검증함
  • GDID에는 동의·초기화·비활성화 기능이나 일반 사용자용 문서가 없으며, Windows를 새로 설치해 값이 바뀌어도 같은 Microsoft 계정에 로그인하면 이전 활동과 다시 연결될 수 있음
  • 로컬 계정과 개인정보 설정으로 관련 추적을 줄일 수는 있지만 GDID 자체를 직접 끌 수 없고, Microsoft도 사용자 제어나 추가 문서 제공 계획을 밝히지 않음

Windows 설치를 식별하는 지속적 ID

  • Global Device Identifier(GDID) 는 Windows가 Microsoft 계정용으로 프로비저닝될 때 해당 Windows 설치에 부여되는 기기 수준 식별자임
  • 물리적 기기나 가상 머신에 설치된 Windows 운영체제를 일부 Microsoft 서비스와 사용 시나리오에서 고유하게 구분하도록 설계된 지속적 식별자
  • Windows 업데이트 후에도 유지되지만, 디스크를 지우고 Windows를 새로 설치하면 기존 GDID는 보존되지 않음
  • 한 사용자가 여러 GDID를 가질 수 있으며, Microsoft는 계정·OneDrive·정품 인증 기록을 통해 이들을 서로 연결할 수 있음
  • 16억 명의 Windows 사용자에게 별도 공개나 사용자 제어 없이 백그라운드에서 적용돼 왔으며, Microsoft 계정에 연결된 모든 Windows 설치에 존재함

생성부터 Microsoft 서버 보고까지

  • 여러 Windows 서비스가 연쇄적으로 작동해 GDID를 생성함
    • wlidsvc 서비스가 login.live.comDevice PUID를 요청함
    • Connected Devices Platform이 이 값을 Microsoft Device Directory Service에 등록함
    • Delivery Optimization은 PC가 업데이트를 내려받거나 공유할 때 GDID를 Microsoft에 보고함
  • 식별자는 HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties 레지스트리의 LID 키에 저장됨
    • 소문자 g 접두사와 10진수 숫자를 조합한 형식임
    • 일반 Windows 인터페이스에서는 사용자가 자신의 GDID를 확인할 수 없음
  • GDID 할당을 차단하면 Windows 정품 인증과 UWP 앱이 작동하지 않을 수 있음
    • Microsoft Activation Scripts를 만든 Massgrave에 따르면, Windows 설정 과정에서 하드웨어 정보가 Microsoft로 전송되고 Store 접근과 라이선스에 쓰이는 식별자를 돌려받음

FBI가 VPN 세션을 연결한 방식

  • FBI는 Scattered Spider 조직원으로 추정되는 Peter Stokes를 VPN 연결과 프록시 서버 너머로 추적하는 데 GDID를 활용함
    • 추적은 약 8개월간 이어졌으며 활동 지역은 4개국에 걸침
  • 고소장에 따르면 g:6755467234350028은 공격에 사용된 계정이 Tzulo VPN 프록시를 통해 만들어진 시점에 ngrok 가입 페이지에 접속함
    • 3시간 뒤 같은 GDID가 동일한 프록시를 통해 피해 소매업체 웹사이트에 접속함
  • 수사 당국은 해당 기기를 Stokes의 Snapchat·Facebook·Apple·Ubisoft 계정에 연결된 IP 주소와 교차 확인함
    • 관련 접속 위치에는 에스토니아, 뉴욕, 태국 등이 포함됨
    • Stokes가 Snapchat에 공개한 사진은 호텔 예약과 위치, GDID에 연결된 여행 일정과 일치함
  • VPN의 IP 주소는 자주 바뀌었지만 Windows 설치가 계속 같은 식별자를 보고하면서 VPN 세션을 가로지르는 추적 단서가 됨

보이지 않는 식별자와 사용자 통제의 한계

  • GDID가 할당될 때 동의 화면이 나타나지 않으며, 사용자가 초기화하거나 비활성화할 수 있는 기능도 없음
    • Apple의 광고 식별자는 App Tracking Transparency 알림과 초기화 기능을 제공함
    • Android도 비슷한 제어 기능을 제공함
  • Windows를 다시 설치하면 새 GDID가 만들어지지만, 같은 Microsoft 계정에 로그인하면 Microsoft가 새 식별자를 이전 활동과 연결할 수 있음
  • Microsoft의 공개 문서는 기업 IT 관리자를 위한 Azure Monitor 참조표에서 GDID를 “Microsoft가 내부적으로 사용하는 식별자”라고 적은 한 문장이 전부임
  • 보안 연구자 Matthew Hickey는 이 사건을 두고 Windows를 “감시 소프트웨어(surveillance software)”라고 평가함
  • Costin Raiu는 Three Buddy Problem 팟캐스트에서 다른 플랫폼에도 얼마나 비슷한 기능이 존재하는지 질문함
  • 주요 운영체제는 라이선스와 보안 검사를 위해 지속적인 기기 식별 수단을 유지하지만, Windows는 Apple·Google 플랫폼과 달리 사용자에게 보이는 제어 기능을 제공하지 않음

관련 추적을 줄이는 설정

  • GDID는 핵심 Windows 기능을 손상하지 않고 직접 끌 수 없으므로, 다음 설정은 관련 추적을 줄이는 조치에 해당함
    • 가능하면 Microsoft 계정 대신 로컬 계정을 사용함
      • 최근 Windows 11은 로컬 계정 설정을 더 어렵게 만들었지만, 접근 방법을 아는 사용자는 설치 과정에서 여전히 선택할 수 있음
    • 설정 → 개인정보 및 보안 → 진단 및 피드백에서 선택적 진단 데이터를 끔
    • 개인정보 및 보안 → 권장 사항 및 제안에서 개인화 광고와 앱 실행 추적을 비활성화함
    • 개인정보 및 보안 → 검색에서 Cloud Content Search를 꺼 로컬 검색이 Bing으로 전송되지 않게 함
    • Activity History와 기타 원격 측정 옵션을 검토해 비활성화함
  • 언론 활동, 사회운동, 가정폭력처럼 식별자의 지속성이 위협이 될 수 있는 상황에서는 Windows PC와 상용 VPN에 의존하지 않고 Tor를 통한 Linux 사용을 권장함
  • 새 GDID를 받으려고 Windows를 다시 설치하더라도 같은 Microsoft 계정에 로그인하면 이전 활동과 연결할 데이터가 Microsoft에 제공됨

제한적인 공개 범위와 향후 상태

  • 소환장 같은 법적 요청은 Microsoft가 GDID 활동 데이터를 수사기관에 제공하도록 강제할 수 있으며, Scattered Spider 사건이 실제 사례가 됨
  • Microsoft는 GDID의 생성·저장·보고 방식을 변경하겠다는 입장을 밝히지 않았고, 일반 사용자용 제어나 문서 제공도 약속하지 않음
  • 연방 고소장 외에 공개된 자료는 Azure Monitor 문서의 짧은 항목뿐이며, 현재 고소장의 Microsoft 원격 측정 관련 부분이 GDID 작동 방식을 가장 상세히 보여주는 공개 자료
  • Scattered Spider 사건은 미국 연방법원 절차를 진행 중이며, 사용자는 향후 Microsoft의 개인정보 보호 관련 업데이트를 확인할 수 있음

댓글과 토론

Lobste.rs 의견들
  • 이해가 안 되는 건 Windows GDID가 Microsoft 외부 서비스의 활동과 어떻게 연결되느냐는 것임. 기기가 해당 서비스들에 GDID를 보내는 건지, 아니면 Microsoft가 모든 사용자의 브라우저 활동을 저장하는 건지 궁금함. 후자라면 Edge에서만 수집하는지, 다른 수단도 쓰는지도 의문임

    • 기술 매체의 보도가 자주 부정확해서 신청서를 직접 살펴보니, Microsoft 로그를 통해 GDID가 .168 VPN IP 주소와 연결됐고 비슷한 시각에 같은 VPN IP로 해킹에 쓰인 ngrok 계정을 만들었음
      당시 여러 사람이 그 VPN IP를 함께 사용했을 수도 있으므로 결정적 증거라고 보기는 어려움. 살인 사건 당시 근처에 있었다고 살인범인 것은 아니지만 용의자가 될 수는 있는 것과 비슷함. 출처가 불분명한 부를 과시하고 유죄 판결을 받은 해커들을 이야기한 정황도 의심을 키웠겠지만, 압수수색에서 유출 데이터가 발견된 사실이 훨씬 설득력 있음
      여기서 GDID가 특별한 기능을 한 것 같지는 않음. Microsoft가 FBI에 정보를 넘기면서 자체 분석에 GDID를 사용했기 때문에 관련된 것일 뿐이며, 계정 정보와 연결된 IP 로그를 수집하는 다른 회사도 똑같이 신고할 수 있었을 것임
    • Windows가 GDID를 Microsoft로 보내고, Microsoft가 IP 주소와 시각을 기록하는 방식일 것으로 추측함. 이를 VPN 세션이나 웹 서버 접근처럼 IP·시각·특정 행동을 기록하는 자료와 대조하면 시간에 따른 사용자 활동을 연결할 수 있음
  • 관련 법원 신청서는 여기 있음: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • Microsoft의 확인은 중요하지 않으며, 그런 진술 없이도 해당 기능의 존재는 이미 입증됐음
    보안 연구자 Matthew Hickey가 이 사건을 두고 Windows를 “감시 소프트웨어”라고 규정했다는데, 웃기는 소리임. Windows가 스파이웨어라는 평가는 늦어도 Windows 10 출시 때부터 나왔음