통신사, 당신의 위치를 알고 있다: GPS 위치 정보 수집의 그림자

이동통신사는 2G/3G의 RRLP(Radio Resources LCS Protocol)와 4G/5G의 LPP(LTE Positioning Protocol)를 활용하여 사용자의 GPS 위치 정보를 획득할 수 있다. 이러한 프로토콜은 통신망 내부에서 작동하며, 사용자는 인지하기 어렵다. 특히, Apple은 iOS 26.3에서 모뎀 제어 권한을 통해 이러한 정보 접근을 제한하는 기능을 도입했지만, 이는 특정 기기에만 해당된다. 데이터 미저장 정책(Zero-Retention Policy)이 부재한 상황에서, 통신사의 위치 정보 수집은 심각한 프라이버시 침해로 이어진다.

미국 DEA(Drug Enforcement Administration)와 이스라엘 Shin Bet은 통신사의 위치 정보를 활용하여 수사 및 감시 활동을 수행해왔다. DEA는 법원 명령을 통해 GPS 좌표를 획득했으며, Shin Bet은 통신사 데이터 센터를 통해 모든 휴대폰의 위치를 추적했다. 이러한 사례는 데이터 격리 아키텍처(Data Isolation Architecture) 부재 시, 정부 기관의 광범위한 감시가 가능하다는 것을 보여준다. 특히, 이스라엘은 COVID-19 팬데믹 기간 동안 위치 정보를 활용하여 접촉자 추적을 시행했다.

Apple은 iOS 26.3에서 통신사의 정밀 위치 정보 접근을 제한하는 기능을 도입하여 프라이버시 보호 노력을 기울였다. 하지만, 이 기능은 Apple 자체 모뎀을 사용하는 기기에만 적용되며, 사용자가 통신사에 대한 GNSS 위치 정보 응답을 비활성화할 수 있는 옵션은 제공되지 않는다. 또한, 통신사가 위치 정보를 수집하려는 시도를 사용자에게 알리는 기능도 부재하다. GDPR 규제 준수(GDPR Compliance)와 같은 법적 요구사항을 충족하기 위한 추가적인 조치가 필요하다.

커뮤니티에서는 통신사의 위치 정보 수집 및 활용에 대한 투명성 부족과 잠재적인 악용 가능성에 대한 우려를 제기한다. 특히, 통신사가 위치 데이터를 데이터 브로커에게 판매하거나, 스팸 전화, 감시 등에 활용할 수 있다는 의혹이 제기된다. 이에 대한 대응 방안으로, 사용자는 위치 정보 공유 설정을 적극적으로 관리하고, 통신사의 데이터 수집 및 활용에 대한 투명성을 요구해야 한다. 또한, 데이터 미저장 정책(Zero-Retention Policy)을 강화하는 법적, 기술적 노력이 필요하다.