정밀한 위치 추적을 가능하게 하는 Wi-Fi 위치 결정 시스템

• 브라우저의 위치 권한 요청은 단순한 IP 기반 위치 추정이 아니라, 주변 Wi-Fi 액세스 포인트 정보를 이용한 정밀 위치 측정을 수행
• 이 과정에서 브라우저는 SSID, BSSID, 신호 세기(RSSI) 등의 데이터를 수집해 Google 등 서비스 제공자의 데이터베이스와 대조
• 이러한 데이터베이스는 과거 워드라이빙(wardriving) 및 사용자 기기의 지속적 데이터 전송을 통해 구축되어 있음
• 과거 Google Street View 차량의 비암호화 데이터 수집 사건 등, 개인정보 침해 논란이 여러 차례 발생
• 오늘날 대부분의 기기가 기본적으로 이 시스템을 사용하며, BSSID를 등록하거나 SSID에 ‘_nomap’을 추가해 제외(opt-out) 가능

출석 시스템과 위치 확인

• Wisconsin대의 알고리듬 수업에서 사용된 TopHat 플랫폼은 출석 확인을 위해 학생의 실제 위치를 검증
  • 단순한 출석 코드 입력 외에, “Secure Attendance” 기능이 기기 위치 정보를 이용해 학생이 강의실 근처에 있는지 판단
• IP 기반 위치 추정은 오차가 크기 때문에, TopHat은 브라우저의 Geolocation API를 사용
  • 이 API는 사용자에게 명시적 권한을 요청하며, 수 미터 단위의 정확도로 위치를 파악

Geolocation API의 작동 방식

• Geolocation API는 GPS, IP, Wi-Fi 등 다양한 소스를 활용하지만, 노트북 등 비-GPS 기기에서는 Wi-Fi Positioning System(WPS) 이 주로 사용
• 브라우저는 getCurrentPosition() 호출 시 주변 Wi-Fi AP의 SSID, BSSID, 신호 세기를 수집
  • BSSID는 MAC 주소 기반의 고유 식별자이며, 이를 통해 동일한 SSID를 가진 여러 네트워크를 구분 가능
• 수집된 정보는 Google 등 위치 서비스 제공자에게 전송되어, 이미 축적된 데이터와 비교해 정확한 위치를 계산

Wi-Fi 위치 결정의 역사와 데이터 수집

• 2000년대 초 Skyhook Wireless가 상용화한 워드라이빙(wardriving) 기법에서 시작
  • 차량에 GPS 수신기를 장착해 이동 중 주변 Wi-Fi 네트워크의 위치와 신호 세기를 기록
• 이후 Google은 Street View 차량을 이용해 Wi-Fi 정보를 수집했고, Apple·Microsoft 등도 사용자 기기에서 자동 수집하는 방식으로 전환
• 오늘날 대부분의 스마트폰과 노트북은 위치 서비스 활성화 시 주변 Wi-Fi 정보를 제조사 서버로 전송, 이를 통해 다른 기기의 위치 추정에 활용

개인정보 및 보안 논란

• Google이 2010년 Street View 차량으로 비암호화 HTTP 데이터 약 600GB를 수집한 사실이 공개되어 논란 발생
• Microsoft의 위치 API 버그로 사용자의 이동 경로를 복원할 수 있었던 사례도 보고됨
• 2024년 Maryland대 연구에서는 Apple 위치 서비스의 취약점을 이용해 약 20억 개의 BSSID 위치를 추출할 수 있었음
  • 이 정보는 개인 추적이나 인구 이동 감시 등 악용 가능성이 있음
• 주요 기업들은 이후 API 보안을 강화하고, SSID에 ‘_nomap’을 추가하거나 BSSID를 등록해 데이터베이스에서 제외할 수 있는 기능을 제공

결론 및 공개 데이터베이스

• 이 기술은 Wi-Fi Positioning System(WPS) 으로 불리며, 현재도 활발히 사용 중
• wigle.net은 25년간 약 20억 개 네트워크를 수집한 크라우드소싱 기반 공개 데이터베이스로, 사용자는 자신의 네트워크가 등록되었는지 확인 가능
• beacondb.net은 공개 도메인 기반의 무선 위치 데이터베이스로, 상용 서비스와는 다른 독립적 데이터셋을 제공
• 노트북이 위치를 정확히 파악할 수 있는 이유는, 수많은 사용자가 무의식적으로 제공한 Wi-Fi 데이터 덕분임
• 강의 출석 확인조차 이러한 집단적 데이터 축적의 결과물 위에서 작동하고 있음