본문으로 건너뛰기
J
피드

군인 휴대폰 위치 데이터, 합법적 구매만으로 적국에 넘어갔다

security 약 7분
tags
#opsec#geolocation#mdm#byod#privacy
vote
0
댓글
북마크

미국 국방부가 상업용 위치 데이터가 해외 적대 세력에 의해 미군 감시와 표적화에 악용됐다는 사실을 인정했다. 문제의 데이터는 스마트폰 광고 프로필과 데이터 브로커를 통해 흘러간 것으로 보이며, 전장에서도 개인 기기 사용과 위치 기능 차단 정책이 허술했다. 의원들은 국방부가 최소 10년 전부터 위험을 알고도 충분히 대응하지 않았다고 비판했다.

  • 1

    미군 위치 데이터가 상업용 데이터 브로커를 통해 해외 적대 세력에 악용됐다는 공개 확인이 나옴

  • 2

    미 중부사령부는 전구 내 미군을 감시하거나 표적화하려는 위협 보고를 여러 건 받았다고 밝힘

  • 3

    개인 스마트폰은 작전 지역에서도 사용 가능했고, 위치 기능을 반드시 끄게 하는 정책은 없었음

  • 4

    국방부 지급 스마트폰도 광고 식별자 관련 데이터 전송을 완전히 막지 못한 것으로 해석됨

  • 5

    의원들은 국방부가 2016년부터 이 위험을 보고받고도 상식적인 방어를 미뤘다고 지적함

  • 미국 국방부가 꽤 센 사실을 인정함. 상업용 위치 데이터가 미군 감시와 표적화에 악용됐다는 것

    • 적대 세력이 전장에 있는 병력 위치를 알아내는 방법이 첩보 위성이나 해킹만은 아니었다는 얘기임
    • 합법적 데이터 브로커에게서 산 스마트폰 위치 데이터만으로도 미군의 위치와 이동을 추적할 수 있었던 셈

  • 이 내용은 론 와이든 상원의원, 팻 해리건 하원의원 등 의원들이 국방부 최고정보책임자에게 보낸 서한에서 공개됨

    • 의원들은 이 서한에 국방부의 4월 답변을 첨부했음
    • 미 중부사령부는 '상업용 위치 데이터 악용으로 전구 내 미군을 표적화하거나 감시하려는 위협 보고를 여러 건 받았다'고 답함
    • 공개적으로는 처음 확인된 사례라는 게 의원들 설명임

⚠️주의

> 이 문제의 무서운 점은 불법 침입이 아니라는 데 있음. 광고 생태계와 데이터 브로커를 통하면, 민감한 위치 데이터가 합법적 거래처럼 흘러갈 수 있음.

  • 데이터 출처는 익숙한 그거임. 스마트폰 광고 프로필

    • 데이터 브로커는 앱과 광고 생태계에서 나온 위치·광고 식별자 기반 데이터를 모음
    • 국방부 답변에 따르면 작전 지역에서도 미군 개인 기기 사용이 허용돼 있었음
    • 더 큰 문제는 전장에 있을 때 위치 기능을 반드시 끄게 하는 실제 정책이 없었다는 점임

  • 국방부 지침은 있었지만, 강제력은 애매했음

    • 중부사령부의 위치정보 위험 지침은 필요 없을 때 위치 기능을 끄고, 앱 개인정보 설정을 주기적으로 확인하고, 공개 공유를 제한하라고 안내함
    • 그런데 국방부도 이런 지침이 스마트폰 위치정보를 항상 완전히 끄지는 못한다고 인정함
    • 보안에서 '권고'와 '강제 정책'은 완전히 다른 물건임

  • 국방부 지급 스마트폰도 깔끔하지 않았음

    • 국방부는 모바일 기기 관리(MDM) 서버의 그룹 정책으로 개인화 광고 설정을 비활성화했다고 설명함
    • 하지만 광고 표적화 정보는 비활성화되지 않았고 사용자가 수정할 수 있다고도 답함
    • 와이든 의원실은 이를 '개인 광고 표시는 막지만, 광고 식별자나 관련 데이터 전송을 막는 건 아니다'라고 해석함

  • 국방부는 새 MDM으로 이전 중이라고 밝혔음

    • 새 시스템은 정부 지급 기기에서 위치 서비스를 완전히 비활성화할 수 있다고 함
    • 완료 목표는 5월 초였지만, 실제 완료 여부는 기사 시점에서 명확하지 않음
    • 국방부는 언론 질문에는 답하지 않고 의원에게 답하겠다고만 밝힘

  • 그런데 동시에 개인 기기 사용(BYOD) 흐름이 커지고 있음

    • 미 육군은 이달 말까지 육군 관리 업무용 스마트폰을 반납하는 방향을 추진 중이라고 발표함
    • 연결의 기본·선호 방식은 개인 기기 사용 프로그램이라고 설명함
    • 지급 기기 통제를 강화해도, 개인 기기가 작전 환경에 들어오면 통제면이 다시 넓어짐

  • 더 황당한 건 이게 새 문제가 아니라는 점임

    • 의원 서한에 따르면 군 관계자들은 2016년에 이미 군인 스마트폰 추적이 얼마나 쉬운지 브리핑을 받았음
    • 의원들은 국방부가 이 방첩·병력 보호 위협을 '비상 상황'처럼 다루지 않았다고 비판함
    • 최소 10년 가까이 알고도 상식적인 사이버 방어를 충분히 하지 않았다는 주장임

  • 비슷한 사례도 이미 많았음

    • 운동 추적 앱 스트라바(Strava) 데이터로 미군 기지 내 조깅 경로와 기지 위치가 드러난 적이 있음
    • 프랑스 대통령 에마뉘엘 마크롱의 경호원 위치 관리 부실도 위치 데이터 노출 사례로 언급됨
    • 소셜미디어 역시 작전보안(OPSEC) 사고의 단골 위험으로 지목돼 왔음

  • 기업 보안팀도 이걸 그냥 군사 뉴스로 넘기면 안 됨

    • 임직원 개인 기기, 광고 추적, 위치 권한, 모바일 기기 관리 정책은 실제 물리 보안과 연결될 수 있음
    • 특히 출장, 현장 작업, 데이터센터 출입, 임원 이동처럼 위치 자체가 민감한 조직은 데이터 브로커 리스크를 따로 봐야 함

기술 맥락

  • 이 사건의 기술적 선택지는 단순히 '위치 권한을 꺼라'가 아니에요. 스마트폰에서는 운영체제 위치 서비스, 앱 권한, 광고 식별자, 앱 내부 추적, 데이터 브로커 유통이 서로 얽혀 있어서 한 스위치로 끝나지 않거든요.

  • 국방부가 MDM을 언급한 이유는 중앙 통제가 필요하기 때문이에요. 사용자가 설정을 잘 만지길 기대하는 방식은 전장처럼 실패 비용이 큰 환경에서는 너무 약해요. 정책으로 위치 서비스와 추적 관련 설정을 강제해야 그나마 일관성이 생겨요.

  • BYOD가 위험한 이유도 여기 있어요. 개인 기기는 사용자가 설치한 앱, 광고 추적 동의, 개인정보 설정이 제각각이라 조직이 완전히 통제하기 어렵거든요. 비용과 편의성은 좋아도, 위치 데이터처럼 민감한 정보에는 관리 기기보다 훨씬 넓은 공격면이 생겨요.

  • 광고 식별자가 특히 골치 아픈 건 보안팀이 전통적으로 덜 보던 경로라서 그래요. 네트워크 침입이나 악성코드가 없어도, 합법적 광고 데이터 시장을 통해 위치 패턴이 팔릴 수 있으면 방어 모델 자체를 다시 잡아야 해요.

이건 군사 보안 뉴스이면서 동시에 모바일 개인정보 생태계의 민낯임. 앱 광고 식별자와 위치 데이터가 '합법적 시장'을 거쳐 전장 표적화로 이어질 수 있다면, 기업 보안에서도 개인 기기와 광고 추적 차단을 그냥 사용자 설정 문제로 두기 어렵다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

북한 인터넷을 볼 때 레지스트리는 현재고, 연구 기록은 화석이다

북한 위성 연결과 연관됐던 아이피 대역이 2026년 5월 기준 리투아니아 보유자로 바뀐 사례를 통해 오픈소스 인프라 연구의 시간성을 설명한 글이다. 핵심은 주소 할당, 라우팅, 레지스트리 기록이 계속 변하기 때문에 과거의 추론과 현재의 조회 결과를 섞으면 안 된다는 점이다.

security

라즈베리파이로 굴리는 오픈소스 홈 보안 카메라, 영상은 클라우드에 안 맡김

Secluso는 라즈베리파이 기반 홈 보안 카메라 시스템으로, 실시간 영상 확인·알림·녹화 재생을 종단간 암호화로 처리한다. 핵심은 영상을 클라우드 사업자에게 넘기지 않고, 릴레이 서버도 신뢰하지 않는 구조로 원격 접근을 제공한다는 점이다. 릴리스 재현 가능성까지 챙긴 오픈소스 프로젝트라 보안 모델을 직접 검증하고 싶은 개발자에게 꽤 흥미로운 물건이다.

security

오픈에이아이는 사이버 모델을 동맹국에 풀고, 앤트로픽은 미국 안에 묶어둔다

오픈에이아이는 한국 정부와 일본 금융권, 유럽 기관으로 최신 사이버보안 모델 접근을 넓히는 반면, 앤트로픽의 클로드 미소스는 미국 외 접근이 제한된 상태다. 이 차이 때문에 프랑스 미스트랄, 아이비엠, 레드햇 등은 자체 사이버보안 모델과 솔루션 구축 움직임을 키우고 있다.

security

스패로우, 베트남 DX 서밋에서 통합 애플리케이션 보안 플랫폼 밀어붙인다

스패로우가 베트남-아시아 DX 서밋 2026에 참가해 동남아시아 애플리케이션 보안 시장 공략을 이어갔다. 핵심 제품인 스패로우 엔터프라이즈는 소스코드, 오픈소스, 웹 취약점을 한 환경에서 분석하고 AI 기반 우선순위까지 제안하는 통합 보안 솔루션이다.

security

자바 테스트 도구 jqwik에 숨은 삭제 지시문, AI 코딩 차단하려다 역풍

오픈소스 자바 테스트 도구 jqwik 1.10.0에 AI 코딩 에이전트가 테스트와 코드를 삭제하도록 유도하는 숨은 프롬프트가 들어가 논란이 됐다. 개발자는 AI 에이전트 사용을 막으려는 의도였다고 밝혔지만, 사용자 경고 없이 파괴적 명령을 넣고 터미널 출력에서 숨긴 점 때문에 커뮤니티 비판이 커졌다.