Microsoft, 끌 수 없는 Windows GDID 기기 식별자 확인… FBI 사건 서류에 기록

3 hours ago 3
  • Microsoft가 계정에 연결된 Windows 설치마다 부여되는 Global Device Identifier(GDID) 의 존재를 공개적으로 확인했으며, 미 검찰은 Scattered Spider 조직원으로 추정되는 인물을 추적한 연방 고소장에 이를 기록함
  • Windows 서비스 체인이 GDID를 생성해 Microsoft 서버로 전송하며 업데이트 후에도 유지함. 할당을 막으면 Windows 정품 인증과 Microsoft Store 앱이 영향을 받을 수 있음
  • FBI는 약 8개월간 VPN과 프록시를 이용해 4개국을 오간 Peter Stokes의 활동을 같은 GDID로 연결하고, ngrok 계정 생성과 피해 소매업체 접속 기록을 소셜미디어·여행 정보와 교차 검증함
  • GDID에는 동의·초기화·비활성화 기능이나 일반 사용자용 문서가 없으며, Windows를 새로 설치해 값이 바뀌어도 같은 Microsoft 계정에 로그인하면 이전 활동과 다시 연결될 수 있음
  • 로컬 계정과 개인정보 설정으로 관련 추적을 줄일 수는 있지만 GDID 자체를 직접 끌 수 없고, Microsoft도 사용자 제어나 추가 문서 제공 계획을 밝히지 않음

Windows 설치를 식별하는 지속적 ID

  • Global Device Identifier(GDID) 는 Windows가 Microsoft 계정용으로 프로비저닝될 때 해당 Windows 설치에 부여되는 기기 수준 식별자임
  • 물리적 기기나 가상 머신에 설치된 Windows 운영체제를 일부 Microsoft 서비스와 사용 시나리오에서 고유하게 구분하도록 설계된 지속적 식별자
  • Windows 업데이트 후에도 유지되지만, 디스크를 지우고 Windows를 새로 설치하면 기존 GDID는 보존되지 않음
  • 한 사용자가 여러 GDID를 가질 수 있으며, Microsoft는 계정·OneDrive·정품 인증 기록을 통해 이들을 서로 연결할 수 있음
  • 16억 명의 Windows 사용자에게 별도 공개나 사용자 제어 없이 백그라운드에서 적용돼 왔으며, Microsoft 계정에 연결된 모든 Windows 설치에 존재함

생성부터 Microsoft 서버 보고까지

  • 여러 Windows 서비스가 연쇄적으로 작동해 GDID를 생성함
    • wlidsvc 서비스가 login.live.com에 Device PUID를 요청함
    • Connected Devices Platform이 이 값을 Microsoft Device Directory Service에 등록함
    • Delivery Optimization은 PC가 업데이트를 내려받거나 공유할 때 GDID를 Microsoft에 보고함
  • 식별자는 HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties 레지스트리의 LID 키에 저장됨
    • 소문자 g 접두사와 10진수 숫자를 조합한 형식임
    • 일반 Windows 인터페이스에서는 사용자가 자신의 GDID를 확인할 수 없음
  • GDID 할당을 차단하면 Windows 정품 인증과 UWP 앱이 작동하지 않을 수 있음
    • Microsoft Activation Scripts를 만든 Massgrave에 따르면, Windows 설정 과정에서 하드웨어 정보가 Microsoft로 전송되고 Store 접근과 라이선스에 쓰이는 식별자를 돌려받음

FBI가 VPN 세션을 연결한 방식

  • FBI는 Scattered Spider 조직원으로 추정되는 Peter Stokes를 VPN 연결과 프록시 서버 너머로 추적하는 데 GDID를 활용함
    • 추적은 약 8개월간 이어졌으며 활동 지역은 4개국에 걸침
  • 고소장에 따르면 g:6755467234350028은 공격에 사용된 계정이 Tzulo VPN 프록시를 통해 만들어진 시점에 ngrok 가입 페이지에 접속함
    • 3시간 뒤 같은 GDID가 동일한 프록시를 통해 피해 소매업체 웹사이트에 접속함
  • 수사 당국은 해당 기기를 Stokes의 Snapchat·Facebook·Apple·Ubisoft 계정에 연결된 IP 주소와 교차 확인함
    • 관련 접속 위치에는 에스토니아, 뉴욕, 태국 등이 포함됨
    • Stokes가 Snapchat에 공개한 사진은 호텔 예약과 위치, GDID에 연결된 여행 일정과 일치함
  • VPN의 IP 주소는 자주 바뀌었지만 Windows 설치가 계속 같은 식별자를 보고하면서 VPN 세션을 가로지르는 추적 단서가 됨

보이지 않는 식별자와 사용자 통제의 한계

  • GDID가 할당될 때 동의 화면이 나타나지 않으며, 사용자가 초기화하거나 비활성화할 수 있는 기능도 없음
    • Apple의 광고 식별자는 App Tracking Transparency 알림과 초기화 기능을 제공함
    • Android도 비슷한 제어 기능을 제공함
  • Windows를 다시 설치하면 새 GDID가 만들어지지만, 같은 Microsoft 계정에 로그인하면 Microsoft가 새 식별자를 이전 활동과 연결할 수 있음
  • Microsoft의 공개 문서는 기업 IT 관리자를 위한 Azure Monitor 참조표에서 GDID를 “Microsoft가 내부적으로 사용하는 식별자”라고 적은 한 문장이 전부임
  • 보안 연구자 Matthew Hickey는 이 사건을 두고 Windows를 “감시 소프트웨어(surveillance software)”라고 평가함
  • Costin Raiu는 Three Buddy Problem 팟캐스트에서 다른 플랫폼에도 얼마나 비슷한 기능이 존재하는지 질문함
  • 주요 운영체제는 라이선스와 보안 검사를 위해 지속적인 기기 식별 수단을 유지하지만, Windows는 Apple·Google 플랫폼과 달리 사용자에게 보이는 제어 기능을 제공하지 않음

관련 추적을 줄이는 설정

  • GDID는 핵심 Windows 기능을 손상하지 않고 직접 끌 수 없으므로, 다음 설정은 관련 추적을 줄이는 조치에 해당함
    • 가능하면 Microsoft 계정 대신 로컬 계정을 사용함
      • 최근 Windows 11은 로컬 계정 설정을 더 어렵게 만들었지만, 접근 방법을 아는 사용자는 설치 과정에서 여전히 선택할 수 있음
    • 설정 → 개인정보 및 보안 → 진단 및 피드백에서 선택적 진단 데이터를 끔
    • 개인정보 및 보안 → 권장 사항 및 제안에서 개인화 광고와 앱 실행 추적을 비활성화함
    • 개인정보 및 보안 → 검색에서 Cloud Content Search를 꺼 로컬 검색이 Bing으로 전송되지 않게 함
    • Activity History와 기타 원격 측정 옵션을 검토해 비활성화함
  • 언론 활동, 사회운동, 가정폭력처럼 식별자의 지속성이 위협이 될 수 있는 상황에서는 Windows PC와 상용 VPN에 의존하지 않고 Tor를 통한 Linux 사용을 권장함
  • 새 GDID를 받으려고 Windows를 다시 설치하더라도 같은 Microsoft 계정에 로그인하면 이전 활동과 연결할 데이터가 Microsoft에 제공됨

제한적인 공개 범위와 향후 상태

  • 소환장 같은 법적 요청은 Microsoft가 GDID 활동 데이터를 수사기관에 제공하도록 강제할 수 있으며, Scattered Spider 사건이 실제 사례가 됨
  • Microsoft는 GDID의 생성·저장·보고 방식을 변경하겠다는 입장을 밝히지 않았고, 일반 사용자용 제어나 문서 제공도 약속하지 않음
  • 연방 고소장 외에 공개된 자료는 Azure Monitor 문서의 짧은 항목뿐이며, 현재 고소장의 Microsoft 원격 측정 관련 부분이 GDID 작동 방식을 가장 상세히 보여주는 공개 자료
  • Scattered Spider 사건은 미국 연방법원 절차를 진행 중이며, 사용자는 향후 Microsoft의 개인정보 보호 관련 업데이트를 확인할 수 있음
Read Entire Article