끌 수 없는 추적 번호: 마이크로소프트가 인정한 Windows GDID

끌 수 없는 추적 번호: 마이크로소프트가 인정한 Windows GDID

Windows개인정보GDID보안추적

데이터 소스:Lobsters + web research · HN

2026년 7월, 미국 법무부는 39쪽짜리 형사 기소장을 공개했다. 피고인은 19세 피터 스토크스(Peter Stokes)로, 2025년 5월 한 미국 명품 보석업체를 해킹해 800만 달러를 요구한 혐의를 받는다. 스토크스는 VPN, 프록시 서버, 우회 도구를 썼고, IP 주소는 에스토니아, 뉴욕, 태국 등 4개국에 걸쳐 있었다. 상식적으로 인터넷에서 한 사람을 추적할 때 IP 주소만 바꾸면 단서는 끊긴다.

하지만 FBI는 그를 찾아냈다. 결정적 증거는 그의 컴퓨터에 마이크로소프트가 자동으로 생성한 일련의 숫자였다 — g:6755467234350028.

이 숫자 열을 GDID라고 하며, 전체 이름은 Global Device Identifier, 즉 ‘전역 기기 식별자’다. FBI의 이 기소장이 공개되기 전까지 대다수 Windows 사용자는 이 이름을 들어본 적이 없었다. 마이크로소프트가 외부에 공개적으로 언급한 곳도 단 한 문장뿐으로, Azure Monitor의 기업 기술 문서 속에 숨겨져 있다.

Windows GDID 전역 기기 식별자 개념도 그림: GDID는 Windows 시스템에 내장된 영구 기기 식별자다. 출처: Ghacks

그것이 무엇인가: 당신 컴퓨터의 ‘신분증 번호’

가장 단순하게 말하면: GDID는 마이크로소프트가 당신 컴퓨터에 자동으로 부여하는 영구 번호다. Windows 시스템을 설치하거나 마이크로소프트 계정으로 컴퓨터에 로그인하는 순간, 이 번호가 생성된다.

그것은 컴퓨터 하드웨어의 코드가 아니다 — 하드웨어는 바꿀 수 있다. IP 주소도 아니다 — IP는 바꿀 수 있다. 그것은 마이크로소프트 서버가 이 컴퓨터에 ‘발급’한 신분 번호로, 한번 생성되면 이 컴퓨터의 Windows 시스템에 영구히 묶이고, 시스템 업데이트를 거치고 네트워크 환경이 바뀌어도 계속 존재한다.

이 번호는 어떤 모습인가? 보통 ‘g:‘로 시작하는 숫자 열인데, 예를 들어 g:6755467234350028처럼 생겼고, Windows 시스템 깊은 곳의 레지스트리에 저장되어 일반 사용자는 전혀 볼 수 없다. 그것은 백그라운드에서 조용히 돌며, Windows 업데이트, 앱 스토어 사용, 시스템 데이터 보고 등의 정상적인 작업에 따라 주기적으로 마이크로소프트 서버로 전송된다.

만약 ‘마이크로소프트 서버로 전송된다’는 이 말이 당신을 불편하게 한다면 — 아주 정상이다. 당신만 그런 생각을 하는 게 아니다.

그것은 어떻게 작동하는가: 보이지 않는 자동화 라인

GDID의 생성과 보고 과정은 완전 자동화된 라인이나 다름없으며, 사용자가 개입할 여지가 전혀 없다.

첫째, 마이크로소프트 계정으로 Windows에 로그인하면 시스템의 백그라운드 서비스(이름은 wlidsvc)가 마이크로소프트 로그인 서버 login.live.com에 자동으로 연결되어 서버에 기기 전용 신분 번호를 요청한다. 이 번호는 마이크로소프트 서버가 직접 ‘발급’해 당신 컴퓨터에 밀어 넣는다.

둘째, 이 번호는 Windows 레지스트리 — HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties라는 위치 — 에 기록된다. 마치 시스템 깊은 곳의 서류장 속에 숨겨진 것처럼 겉으로는 아무것도 보이지 않는다.

셋째, Windows 내 여러 백그라운드 서비스가 이 번호를 읽는다. 예를 들어 ‘폰 연결’, ‘클라우드 클립보드’, ‘인접 공유’ 같은 일상적으로 쓰는 기능들이 모두 이것을 호출한다. 이 서비스들은 번호를 마이크로소프트의 ‘기기 디렉터리 서비스’에 등록해 완전한 기기 신분 지도를 형성한다.

넷째, 가장 결정적인 단계: Windows의 ‘배달 최적화’ 기능 — 즉, LAN에 있는 다른 컴퓨터에서 업데이트를 빠르게 받아오게 해주는 기능 — 이 기능이 실행될 때마다 GDID 번호와 함께 당신의 IP 주소와 타임스탬프를 마이크로소프트 서버에 보고한다.

다시 말해, 마이크로소프트는 이 번호가 당신에게 있다는 것만 아는 게 아니라, 그 번호가 언제, 어떤 IP 주소를 썼는지도 안다. 이 정보들을 이어 붙이면 완전한 기기 활동 타임라인이 된다.

FBI는 이것으로 어떻게 그를 잡았나

스토크스는 스스로를 아주 영리하다고 생각했다. 그는 VPN으로 실제 IP를 숨기고, 프록시 서버로 트래픽을 중계하며, 심지어 여러 국가 사이에서 네트워크 신분을 바꿨다. 하지만 그가 잊은 한 가지가 있었다. IP가 아무리 바뀌어도, 그의 컴퓨터에 깔린 Windows 시스템은 바뀌지 않았다는 것이다.

기소장 설명에 따르면, FBI의 수사 경로는 대략 다음과 같다:

먼저, 피해 보석업체 웹사이트는 공격자의 IP 주소를 기록했는데 — 이 IP는 Tzulo라는 VPN 서비스 업체 소속이었다. 동시에 수사관들은 공격자가 ngrok(네트워크 터널 도구)에 계정을 하나 등록해 공격 작업에 썼다는 것을 발견했다. 등록 시각과 등록 당시 IP 주소가 일치했다.

다음으로 FBI는 마이크로소프트에 데이터를 요청했다. 이 시점에, 이 IP 주소를 사용한 기기의 GDID 번호는 무엇인가? 답이 나왔다. g:6755467234350028.

그런 다음 FBI는 역방향 조회를 했다. 이 GDID 번호가 그동안 사용한 다른 IP 주소는 무엇인가? 마이크로소프트 기록에 따르면, 동일한 GDID가 무려 8개월에 걸쳐 에스토니아, 뉴욕, 태국 등 여러 장소에 나타났고, 매번 다른 VPN 노드를 통해 연결되었다.

마지막 단계에서 FBI는 이 IP 주소들을 스토크스의 Snapchat, Facebook, 애플 계정, 유비소프트(Ubisoft) 게임 플랫폼 로그인 기록과 교차 대조했다 — 시간이 맞고 장소가 맞았다. 그가 Snapchat에 올린 공개 사진은 GDID가 기록한 이동 타임라인과 완벽히 일치했다.

2026년 4월, 스토크스는 헬싱키 공항에서 일본행 비행기를 타려다 핀란드 경찰에 제지되었다. 국제형사경찰기구(인터폴)의 적색 수배 영장이 그가 그 비행기에 오르지 못하게 했다.

FBI가 GDID로 용의자를 어떻게 추적했나 그림: FBI가 GDID를 이용해 VPN과 여러 국가를 넘나들며 용의자를 추적했다. 출처: WindowsLatest

왜 이 일이 사람들을 불안하게 하는가

GDID의 존재가 논란을 부르는 이유의 핵심은 한 가지 사실에 있다. 당신은 그것을 끌 수 없다.

아이폰의 광고 식별자는 사용자가 재설정할 수 있다. 안드로이드도 비슷한 제어 옵션을 제공한다. 애플은 심지어 앱이 사용자를 추적하기 전에 팝업으로 동의를 구하도록 요구한다 — 바로 ‘앱이 추적을 요청하도록 허용’이라는 안내 말이다.

하지만 GDID에는 이런 것들이 없다. 동의를 묻는 팝업이 없다. 끄는 스위치가 없다. 재설정하는 버튼이 없다. 보안 연구원 매튜 히키(Matthew Hickey)는 이 사례를 평가하며 직설적으로 Windows는 ‘감시 소프트웨어’라고 말했다.

더 불편한 것은 투명성 문제다. 마이크로소프트가 이 번호에 대해 공개적으로 밝힌 설명은 Azure Monitor 문서 전체에서 단 한 문장뿐이다. “Microsoft Global Device Identifier. This is an identifier used internally by Microsoft.” 한 문장, 십여 개의 영단어. 그것이 어떻게 생성되고, 어떻게 전송되며, 얼마나 오래 저장되고, 누가 접근하는지 — 전혀 설명되어 있지 않다.

독립 보안 연구자들은 GDID 작동 원리를 알아내기 위해 리버스 엔지니어링을 해야만 했다. 그들은 GDID 생성을 강제로 막으면 Windows의 시스템 정품 인증에 문제가 생기고 앱 스토어 내 프로그램도 정상적으로 쓸 수 없게 된다는 것을 발견했다. GDID는 Windows 핵심 기능과 깊이 묶여 있어 따로 떼어낼 수 없다.

또 하나 주목할 만한 세부 사항: 마이크로소프트는 기소장 각주에서 한 마이크로소프트 계정 아래 여러 GDID를 연결할 수 있다고 인정했다. 즉, 설령 당신이 시스템을 재설치해 새 번호를 받더라도, 마이크로소프트는 여전히 당신의 계정, OneDrive 클라우드 드라이브, 정품 인증 기록 등의 정보로 신구 번호를 하나로 묶을 수 있다.

각자의 입장: 하나로 답할 수 없는 문제

이 일에는 단순한 선악의 구분이 없다. 각자는 다른 각도에서 서 있는데, 보이는 그림이 완전히 다르다.

법집행 기관의 관점에서 보면, GDID는 강력한 디지털 증거 수집 도구다. 스토크스 사건에서 GDID라는 VPN을 넘나드는 추적 앵커가 없었다면, 수사는 연관 지을 수 없는 VPN IP 주소 더미에서 멈췄을지도 모른다. GDID는 법집행 기관이 네트워크 익명 계층을 뚫고 범죄 행위를 구체적 기기와 연결하게 해준다. 기술 수단으로 신분을 숨기는 범죄자들에게 이것은 효과적인 견제다.

개인정보 보호의 관점에서 보면, 끌 수 없고 사용자 동의가 필요 없는 영구 기기 식별자는 어떤 기준 하에서도 설계상 위험 신호다. 문제는 ‘이론상 어떤 목적으로도 쓰일 수 있다’는 점이다. 오늘은 FBI의 형사 수사, 내일은 무엇이 될지 모른다. 광고 네트워크? 보험 회사? 정치적 감시? 설계 단계에서 이러한 추적 능력을 미리 심어둔 시스템의 사용자가 영원히 ‘착한 사람’일 리 없다.

마이크로소프트의 관점에서 보면, GDID의 원래 설계 목표는 사용자 추적이 아니었다 — 주로 소프트웨어 라이선스 관리, 앱 스토어 정상 가동 유지, 기기 간 협업 기능 지원에 쓰였다. 하지만 문제는, 이 ‘인프라’급 식별자 일단 존재하면 너무 많은 시스템 구성요소에 박혀버려, 이를 제거하려면 Windows 핵심 아키텍처를 다시 쓰는 것과 같다는 점이다.

Lobsters 기술 커뮤니티 논의에서 거듭 추천받으며 올라온 댓글이 있다. “이 일이 더 많은 사람에게 알려지지 않는다면, 다음번에는 해커를 잡는 게 아닐 것이다.”라고. 다른 이는 “진짜 해결책은 운영체제를 바꾸는 것”이라고도 했다. 하지만 운영체제를 바꾸는 것은 16억 명의 Windows 사용자에게 가볍게 내릴 수 있는 결정이 아니다.

Windows 11 개인정보 및 보안 설정 그림: Windows 11의 개인정보 설정에서는 GDID의 어떤 제어 옵션도 찾을 수 없다. 출처: WindowsLatest

당신이 할 수 있는 일

솔직히 말해, 이미 마이크로소프트 생태계에 깊이 묶인 일반 사용자에게 선택 가능한 대응 여지는 상당히 좁다. 필자가 여기서 정리한 것은 현재 조건에서 관련 위험을 줄일 수 있는 몇 가지 조치다.

첫째, 되도록 마이크로소프트 계정 대신 로컬 계정을 쓰라. Windows 11은 최근 몇 버전에서 로컬 계정 생성 입구를 좁혔지만, 설치 과정에서 인터넷 연결 단계를 건너뛰거나 설정 화면에서 ‘로컬 계정으로 로그인 변경’을 찾는 경로는 여전히 가능하다. GDID 생성은 마이크로소프트 계정과 깊이 묶여 있으므로, 로컬 계정 사용은 간접적인 격리 수단이 된다.

둘째, 불필요한 진단 데이터 보고를 끄라. 경로는: 설정 → 개인정보 및 보안 → 진단 및 피드백 → ‘선택적 진단 데이터’를 끄기. 이렇게 해도 GDID가 사라지지는 않지만, GDID와 함께 보고되는 다른 정보를 줄일 수 있다.

셋째, 개인화 광고와 시작 추적을 끄라. ‘개인정보 및 보안’ → ‘추천 및 혜택’에서 모든 옵션을 끄기. ‘검색 권한’에서 ‘클라우드 콘텐츠 검색’을 꺼서 로컬 검색 내용이 마이크로소프트 서버로 전송되는 것을 막라.

넷째, 주기적으로 활동 기록을 점검하라. 개인정보 설정에서 ‘활동 기록’을 확인하고 필요 없는 동기화 옵션을 끄기. 이것들은 GDID 자체를 건드리지는 않지만, 당신의 행동 데이터가 마이크로소프트 생태계 안에서 하나로 연결될 기회를 줄인다.

다섯 번째는 다소 극단적일 수 있지만 언급할 가치가 있다: 개인정보에 대한 요구가 높고 기술적으로 어느 정도 학습 비용을 감내할 수 있다면, 이러한 추적 메커니즘을 내장하지 않은 운영체제(예를 들어 일부 Linux 배포판)로의 전환은 고려해 볼 만한 장기적 방향이다. 이것은 만능 조언이 아니다 — 모든 사람과 모든 상황에 맞지 않는다. 하지만 확실히 존재하는 선택지다.

더 큰 하나의 문제

GDID 사건이 ‘또 하나의 테크 뉴스’에 그치지 않는 이유는, 점점 더 날카로워지는 한 가지 모순을 건드렸기 때문이다. 당신의 운영체제가 동시에 당신의 서비스 제공자일 때, 그 충성은 누구에게 있어야 하는가?

Windows는 이미 오래전에 당신 하드디스크 속 하나의 시스템이 아니게 되었다. 그것은 마이크로소프트의 클라우드, 마이크로소프트의 계정 체계, 마이크로소프트의 앱 스토어, 마이크로소프트의 AI 비서와 연결되어 있다. 그 비즈니스 모델은 ‘소프트웨어 판매’에서 ‘서비스 판매’로 바뀌고 있다 — 그리고 서비스의 세계에서 사용자 데이터는 기초 통화다.

GDID의 존재는 한 가지를 상기시킨다. 클라우드 컴퓨팅과 인공지능 시대에, 당신 컴퓨터 가장 깊은 곳의 그 ‘시스템’은 이미 순수한 도구가 아닐 수 있다는 점을. 그것은 동시에 센서이자 기록 장치이자 신분 앵커다.

그리고 그것이 기본값으로 누구 편에 서 있는지 — 이 질문에 마이크로소프트는 아직까지 모두를 안심시키는 답을 한 적이 없다.


참고 링크:

  • Ghacks: Microsoft Confirms Windows GDID Device Identifier That Cannot Be Disabled, Documented in FBI Case Filing
  • PCMag: A Hacker’s Arrest Reveals Microsoft Can Track Users Via a Windows Device ID
  • WindowsLatest: Microsoft admits Windows 11 has a GDID tracker with no off switch
  • Cybernews: Windows telemetry backlash — GDID tracking exposes Scattered Spider hacker
  • Lobsters discussion (s/agkcmz)