--- title: "군인 휴대폰 위치 데이터, 합법적 구매만으로 적국에 넘어갔다" published: 2026-05-28T22:00:11.000Z canonical: https://jeff.news/article/3490 --- # 군인 휴대폰 위치 데이터, 합법적 구매만으로 적국에 넘어갔다 미국 국방부가 상업용 위치 데이터가 해외 적대 세력에 의해 미군 감시와 표적화에 악용됐다는 사실을 인정했다. 문제의 데이터는 스마트폰 광고 프로필과 데이터 브로커를 통해 흘러간 것으로 보이며, 전장에서도 개인 기기 사용과 위치 기능 차단 정책이 허술했다. 의원들은 국방부가 최소 10년 전부터 위험을 알고도 충분히 대응하지 않았다고 비판했다. - 미국 국방부가 꽤 센 사실을 인정함. 상업용 위치 데이터가 미군 감시와 표적화에 악용됐다는 것 - 적대 세력이 전장에 있는 병력 위치를 알아내는 방법이 첩보 위성이나 해킹만은 아니었다는 얘기임 - 합법적 데이터 브로커에게서 산 스마트폰 위치 데이터만으로도 미군의 위치와 이동을 추적할 수 있었던 셈 - 이 내용은 론 와이든 상원의원, 팻 해리건 하원의원 등 의원들이 국방부 최고정보책임자에게 보낸 서한에서 공개됨 - 의원들은 이 서한에 국방부의 4월 답변을 첨부했음 - 미 중부사령부는 '상업용 위치 데이터 악용으로 전구 내 미군을 표적화하거나 감시하려는 위협 보고를 여러 건 받았다'고 답함 - 공개적으로는 처음 확인된 사례라는 게 의원들 설명임 > [!WARNING] > 이 문제의 무서운 점은 불법 침입이 아니라는 데 있음. 광고 생태계와 데이터 브로커를 통하면, 민감한 위치 데이터가 합법적 거래처럼 흘러갈 수 있음. - 데이터 출처는 익숙한 그거임. 스마트폰 광고 프로필 - 데이터 브로커는 앱과 광고 생태계에서 나온 위치·광고 식별자 기반 데이터를 모음 - 국방부 답변에 따르면 작전 지역에서도 미군 개인 기기 사용이 허용돼 있었음 - 더 큰 문제는 전장에 있을 때 위치 기능을 반드시 끄게 하는 실제 정책이 없었다는 점임 - 국방부 지침은 있었지만, 강제력은 애매했음 - 중부사령부의 위치정보 위험 지침은 필요 없을 때 위치 기능을 끄고, 앱 개인정보 설정을 주기적으로 확인하고, 공개 공유를 제한하라고 안내함 - 그런데 국방부도 이런 지침이 스마트폰 위치정보를 항상 완전히 끄지는 못한다고 인정함 - 보안에서 '권고'와 '강제 정책'은 완전히 다른 물건임 - 국방부 지급 스마트폰도 깔끔하지 않았음 - 국방부는 모바일 기기 관리(MDM) 서버의 그룹 정책으로 개인화 광고 설정을 비활성화했다고 설명함 - 하지만 광고 표적화 정보는 비활성화되지 않았고 사용자가 수정할 수 있다고도 답함 - 와이든 의원실은 이를 '개인 광고 표시는 막지만, 광고 식별자나 관련 데이터 전송을 막는 건 아니다'라고 해석함 - 국방부는 새 MDM으로 이전 중이라고 밝혔음 - 새 시스템은 정부 지급 기기에서 위치 서비스를 완전히 비활성화할 수 있다고 함 - 완료 목표는 5월 초였지만, 실제 완료 여부는 기사 시점에서 명확하지 않음 - 국방부는 언론 질문에는 답하지 않고 의원에게 답하겠다고만 밝힘 - 그런데 동시에 개인 기기 사용(BYOD) 흐름이 커지고 있음 - 미 육군은 이달 말까지 육군 관리 업무용 스마트폰을 반납하는 방향을 추진 중이라고 발표함 - 연결의 기본·선호 방식은 개인 기기 사용 프로그램이라고 설명함 - 지급 기기 통제를 강화해도, 개인 기기가 작전 환경에 들어오면 통제면이 다시 넓어짐 - 더 황당한 건 이게 새 문제가 아니라는 점임 - 의원 서한에 따르면 군 관계자들은 2016년에 이미 군인 스마트폰 추적이 얼마나 쉬운지 브리핑을 받았음 - 의원들은 국방부가 이 방첩·병력 보호 위협을 '비상 상황'처럼 다루지 않았다고 비판함 - 최소 10년 가까이 알고도 상식적인 사이버 방어를 충분히 하지 않았다는 주장임 - 비슷한 사례도 이미 많았음 - 운동 추적 앱 스트라바(Strava) 데이터로 미군 기지 내 조깅 경로와 기지 위치가 드러난 적이 있음 - 프랑스 대통령 에마뉘엘 마크롱의 경호원 위치 관리 부실도 위치 데이터 노출 사례로 언급됨 - 소셜미디어 역시 작전보안(OPSEC) 사고의 단골 위험으로 지목돼 왔음 - 기업 보안팀도 이걸 그냥 군사 뉴스로 넘기면 안 됨 - 임직원 개인 기기, 광고 추적, 위치 권한, 모바일 기기 관리 정책은 실제 물리 보안과 연결될 수 있음 - 특히 출장, 현장 작업, 데이터센터 출입, 임원 이동처럼 위치 자체가 민감한 조직은 데이터 브로커 리스크를 따로 봐야 함 --- ## 기술 맥락 - 이 사건의 기술적 선택지는 단순히 '위치 권한을 꺼라'가 아니에요. 스마트폰에서는 운영체제 위치 서비스, 앱 권한, 광고 식별자, 앱 내부 추적, 데이터 브로커 유통이 서로 얽혀 있어서 한 스위치로 끝나지 않거든요. - 국방부가 MDM을 언급한 이유는 중앙 통제가 필요하기 때문이에요. 사용자가 설정을 잘 만지길 기대하는 방식은 전장처럼 실패 비용이 큰 환경에서는 너무 약해요. 정책으로 위치 서비스와 추적 관련 설정을 강제해야 그나마 일관성이 생겨요. - BYOD가 위험한 이유도 여기 있어요. 개인 기기는 사용자가 설치한 앱, 광고 추적 동의, 개인정보 설정이 제각각이라 조직이 완전히 통제하기 어렵거든요. 비용과 편의성은 좋아도, 위치 데이터처럼 민감한 정보에는 관리 기기보다 훨씬 넓은 공격면이 생겨요. - 광고 식별자가 특히 골치 아픈 건 보안팀이 전통적으로 덜 보던 경로라서 그래요. 네트워크 침입이나 악성코드가 없어도, 합법적 광고 데이터 시장을 통해 위치 패턴이 팔릴 수 있으면 방어 모델 자체를 다시 잡아야 해요. ## 핵심 포인트 - 미군 위치 데이터가 상업용 데이터 브로커를 통해 해외 적대 세력에 악용됐다는 공개 확인이 나옴 - 미 중부사령부는 전구 내 미군을 감시하거나 표적화하려는 위협 보고를 여러 건 받았다고 밝힘 - 개인 스마트폰은 작전 지역에서도 사용 가능했고, 위치 기능을 반드시 끄게 하는 정책은 없었음 - 국방부 지급 스마트폰도 광고 식별자 관련 데이터 전송을 완전히 막지 못한 것으로 해석됨 - 의원들은 국방부가 2016년부터 이 위험을 보고받고도 상식적인 방어를 미뤘다고 지적함 ## 인사이트 이건 군사 보안 뉴스이면서 동시에 모바일 개인정보 생태계의 민낯임. 앱 광고 식별자와 위치 데이터가 '합법적 시장'을 거쳐 전장 표적화로 이어질 수 있다면, 기업 보안에서도 개인 기기와 광고 추적 차단을 그냥 사용자 설정 문제로 두기 어렵다.