마이크로소프트(MS)가 윈도우(Windows) 설치마다 부여되는 고유 식별자 GDID(Global Device Identifier)의 존재를 공식적으로 확인했습니다. 이 GDID는 사용자 동의나 제어 기능 없이 백그라운드에서 생성되어 MS 서버로 전송되며, 최근 미국 연방수사국(FBI)이 사이버 범죄자 추적에 활용한 사실이 연방 고소장을 통해 공개되면서 사용자 프라이버시 침해 논란이 불거지고 있습니다.
GDID는 윈도우가 MS 계정용으로 프로비저닝될 때 해당 윈도우 설치에 부여되는 기기 수준 식별자입니다. 물리적 기기나 가상 머신에 설치된 윈도우 운영체제를 고유하게 구분하도록 설계되었으며, 윈도우 업데이트 후에도 유지됩니다. MS는 계정, 원드라이브(OneDrive), 정품 인증 기록을 통해 여러 GDID를 서로 연결할 수 있습니다. GDID는 사용자가 직접 확인하거나 비활성화할 수 있는 기능이 없으며, 윈도우를 새로 설치해도 같은 MS 계정에 로그인하면 이전 활동과 다시 연결될 수 있습니다. MS는 GDID 할당을 막으면 윈도우 정품 인증과 MS 스토어 앱(UWP 앱)이 작동하지 않을 수 있다고 설명합니다.
이번 사건에서 FBI는 '스캐터드 스파이더(Scattered Spider)' 조직원으로 추정되는 피터 스토크스(Peter Stokes)를 추적하는 데 GDID를 활용했습니다. 스토크스가 VPN과 프록시를 이용해 4개국을 오가며 활동했지만, FBI는 동일한 GDID가 ngrok 계정 생성과 피해 소매업체 접속에 사용된 기록을 포착했습니다. 이를 스토크스의 스냅챗(Snapchat), 페이스북(Facebook), 애플(Apple), 유비소프트(Ubisoft) 계정에 연결된 IP 주소 및 여행 정보와 교차 검증하여 그의 활동을 특정했습니다. GDID는 VPN IP 주소가 자주 바뀌더라도 윈도우 설치가 계속 같은 식별자를 보고함으로써 VPN 세션을 가로지르는 추적 단서가 된 것입니다.
애플(Apple)과 구글(Google)의 광고 식별자는 사용자에게 추적 투명성 알림과 초기화 기능을 제공하는 반면, 윈도우 GDID는 사용자에게 어떠한 제어 기능도 제공하지 않습니다. MS의 공개 문서에서도 GDID는 'MS가 내부적으로 사용하는 식별자'라고만 간략히 언급되어 있습니다. 보안 연구자들은 이러한 상황을 두고 윈도우를 '감시 소프트웨어(surveillance software)'라고 비판하며, 다른 플랫폼에도 비슷한 기능이 얼마나 존재하는지에 대한 질문을 던지고 있습니다. MS는 GDID의 생성, 저장, 보고 방식을 변경하거나 일반 사용자용 제어 및 문서 제공 계획이 없다고 밝혀 논란은 계속될 것으로 보입니다.
사용자들은 GDID를 직접 끌 수는 없지만, 일부 설정을 통해 관련 추적을 줄일 수 있습니다. MS 계정 대신 로컬 계정을 사용하고, '개인정보 및 보안' 설정에서 선택적 진단 데이터, 개인화 광고, 앱 실행 추적, 클라우드 콘텐츠 검색 등을 비활성화하는 것이 권장됩니다. 특히 언론 활동, 사회운동 등 식별자의 지속성이 위협이 될 수 있는 상황에서는 윈도우 PC와 상용 VPN에 의존하기보다 토르(Tor)를 통한 리눅스(Linux) 사용을 고려하는 것이 안전할 수 있습니다.