최근 19세 해커 피터 스톡스(Peter Stokes)의 송환 및 기소 과정에서, FBI가 마이크로소프트의 글로벌 기기 ID(GDID) 기록을 결정적인 증거로 사용한 사실이 밝혀졌습니다. 이 GDID는 윈도우 운영체제 설치를 고유하게 식별하는 지속적인 기기 수준 식별자로, 물리 기기와 가상 머신 모두에 적용됩니다. 수사 당국은 이 GDID를 통해 스톡스의 윈도우 PC가 특정 해킹 도구 가입 페이지와 서버에 접근한 기록을 확보했으며, 이는 서드파티 쿠키 없이도 운영체제 차원에서 사용자 온라인 활동이 추적될 수 있음을 시사합니다.
형사 고소장에 따르면, 스톡스는 2025년 5월 한 고급 보석 소매업체를 해킹한 혐의를 받고 있으며, 당시 가상사설망(VPN)을 사용한 것으로 기록되었습니다. 하지만 FBI는 마이크로소프트 기록을 통해 그의 IP 주소가 특정 GDID와 연결되어 있음을 확인했습니다. 이 GDID는 해킹에 사용된 웹 개발 도구인 ngrok 가입 페이지와 웹 호스팅 제공업체 Tzulo 서버의 여러 사이트에 접근한 기록과 연결되었습니다. 특히, GDID는 윈도우 업데이트 후에도 유지되지만 운영체제를 재설치하면 새로운 값으로 변경되며, 한 사용자가 여러 GDID를 가질 수도 있습니다.
이번 사건은 개인정보 보호에 대한 심각한 우려를 불러일으키고 있습니다. 사이버보안 전문가들은 마이크로소프트 윈도우가 사실상 '감시 소프트웨어'로 기능할 수 있다고 주장하며, GDID의 존재와 활용 방식에 대한 투명성을 요구하고 있습니다. 마이크로소프트는 GDID에 대해 공개적으로 자세히 설명하지 않고 있으며, 사용자들은 GDID를 확인하고 제한하거나 삭제하는 방법을 찾기 시작했습니다. 이는 비단 마이크로소프트뿐만 아니라 구글(Google), 애플(Apple) 등 다른 빅테크 기업들도 유사한 기기 식별자를 통해 사용자 활동을 추적할 가능성을 제기하며, 전반적인 온라인 개인정보 보호 환경에 대한 근본적인 질문을 던지고 있습니다.
일각에서는 마이크로소프트 엣지(Edge) 브라우저의 '스마트스크린(SmartScreen)' 기능이나 윈도우 디펜더(Defender)의 실시간 보호 기능이 사용자의 웹 트래픽을 분석하고 GDID와 연결했을 가능성을 제기하고 있습니다. 이러한 기능들은 사용자가 방문한 도메인이 악성코드나 피싱 사이트인지 확인하기 위해 마이크로소프트 서버에 정보를 제출하며, 이 과정에서 GDID와 같은 식별자가 함께 전송될 수 있다는 것입니다. 결국, 사용자 동의 없이 수집된 이러한 데이터가 법 집행기관의 요청에 따라 활용될 수 있다는 점은 개인의 디지털 프라이버시가 얼마나 취약한지를 여실히 보여줍니다.