버너 폰 가이드: 작전용 기기의 조달, 구성 및 폐기
| *상태: 레벨 2 | 대상: 현장 조직가 및 고위험 참가자* |
“버너(burner)”란 작전 목적으로 사용된 후 폐기되는, 신원과 연결되지 않은 임시 기기입니다. 기기가 압수되거나 포렌식 조사를 받거나 원격으로 손상될 경우 귀하의 노출을 제한합니다. 이 가이드는 조달, 구성, 작전 사용 및 폐기에 이르는 전체 수명 주기를 다룹니다.
언제 실제로 버너 폰이 필요한가요? 위협 모델링 가이드를 사용하여 이를 솔직하게 평가하십시오. 대부분의 T1–T2 상황에서는 강화된 주 휴대폰으로 충분합니다. 버너 폰은 기기 압수가 심각한 위험이 되는 T2–T3 위협 환경이나, 기본 기기에서는 달성할 수 없는 신원 분리가 요구되는 작전의 성격상 가장 가치가 있습니다.
1. 조달: 연결되지 않은 기기 만들기
버너 폰의 전체 가치는 귀하의 신원과 진정으로 연결되지 않은 상태(unlinked)에 달려 있습니다. 조달의 모든 단계에서 연결고리가 생성될 수 있습니다.
1.1 기기 선택
일반적으로 버너 폰으로는 iPhone보다 Android가 선호됩니다. 그 이유는 다음과 같습니다:
- Apple ID를 만들거나 연결하지 않고도 활성화하여 사용할 수 있습니다.
- 계정 연결 없이 대안 앱 스토어(F-Droid)를 더 잘 지원합니다.
- Google 계정 없이도 GrapheneOS나 CalyxOS를 Pixel 기기에 설치하여 보안을 강화할 수 있습니다.
iPhone 버너 폰도 가능하지만 덜 이상적입니다:
- 많은 기능이 Apple ID를 요구하며, 이는 기기를 계정에 연결시킵니다.
- Apple ID가 없으면 App Store를 통한 앱 설치가 불가능합니다.
- AltStore나 사이드로딩이 대안이지만 복잡성이 추가됩니다.
기기 옵션:
- Google Pixel (모든 모델): GrapheneOS 설치에 최고입니다; 선불로 쉽게 구할 수 있습니다.
- 부트로더 잠금 해제가 가능한 모든 Android: CalyxOS용.
- 일반적인 Android 선불 폰: 접근성이 좋고 저렴합니다; 강화 기능은 떨어지지만 대부분의 용도로 충분합니다.
구매처:
- 오프라인 소매점: Walmart, Target, Best Buy, Dollar General, 편의점 — 모두 현금으로 선불 Android 폰을 판매합니다.
- 온라인 주문 금지: 온라인 구매는 배송지 주소, 결제 카드 및 구매 내역을 기기에 연결시킵니다.
1.2 조달 작전
가기 전에:
- 주 휴대폰을 집에 (또는 패러데이 백에) 두고 가십시오. 주 휴대폰의 위치 데이터는 귀하를 구매 장소에 배치하여 귀하와 기기 간의 연결고리를 만듭니다.
- 자주 가지 않는 매장에서, 평소 루틴으로 쉽게 추적되지 않는 시간에 구매를 계획하십시오.
- 현금으로 결제하십시오. 신용카드나 직불카드 구매는 귀하의 신원과 기기 및 SIM의 일련번호를 연결하는 영구적인 거래 기록을 생성합니다.
매장에서:
- 전화기와 선불 SIM 카드를 동시에 구매하거나, 가급적 다른 매장에서 구매하십시오.
- 판매 직원에게 사용 목적에 대해 말하지 마십시오. 프로모션 가입을 위해 이름이나 연락처 정보를 제공하지 마십시오.
- 가능하면 셀프 계산대를 사용하십시오.
이동:
- 구매하러 갈 때 승차 공유 서비스를 이용하거나 개인 차량을 운전하지 마십시오. 둘 다 위치 기록을 생성합니다. 개인 휴대폰 없이 걷거나 대중교통을 이용하십시오.
1.3 SIM 조달
신원 확인 없이 현금으로 구매한 SIM 카드가 핵심 통신 구성 요소입니다.
- 많은 선불 SIM은 활성화하는 데 신분증을 요구하지 않습니다 — 소매점에서 구매한 Tracfone, Straight Talk, Mint Mobile 선불 SIM이 그 예입니다.
- 일부 SIM은 신원 확인을 요구합니다 — 작전용으로는 피하십시오.
- 대안: 셀룰러 음성/SMS 기능이 없다는 것을 감수하고 Signal 및 Tor 기반 통신을 위해 버너 폰을 Wi-Fi 전용(SIM 없음)으로 사용하십시오.
SIM 등록법: 미국 내 일부 주와 많은 국제 관할 구역에서는 SIM 등록 시 신분증을 요구합니다. 현지 법률을 확인하십시오. 미국 연방 수준에서는 선불 통신사에 대한 보편적인 SIM 등록 요구 사항이 없습니다.
2. 초기 구성
자신의 신원과 연관된 네트워크에 연결하기 전에 버너 폰을 구성하십시오.
2.1 첫 부팅 구성
초기 Android 설정 중:
- 모든 Google 계정 설정을 건너뛰십시오. Google 계정은 필요하지 않습니다. 프롬프트가 표시되면 “건너뛰기” 또는 “나중에 설정”을 선택하십시오.
- 모든 선택적 원격 측정(telemetry), 분석 및 기능 개인화 프롬프트를 비활성화하십시오.
- 집 Wi-Fi에 연결하지 마십시오. 거주지에서 멀리 떨어진 공용 Wi-Fi 네트워크를 사용하거나 셀룰러 데이터를 통해 활성화하십시오.
- SIM 활성화: 통신사 웹사이트를 통해 활성화하는 경우 Tor를 통한 브라우저를 사용하거나, 활성화 URL에 접속하기 위해 별도의 기기에서 VPN을 사용하십시오. 개인 기기를 사용하지 마십시오.
2.2 소프트웨어 설치
Google 계정 없이 다음을 통해 앱을 설치하십시오:
- F-Droid: 프라이버시를 존중하는 무료 오픈 소스 앱이 포함된 Android용 오픈 소스 앱 스토어입니다. 계정이 필요하지 않습니다. f-droid.org에서 APK를 다운로드하여 F-Droid를 설치하십시오.
- APK 직접 다운로드: F-Droid에 없는 앱의 경우 공식 프로젝트 웹사이트에서 직접 APK를 다운로드하십시오. 가능한 경우 체크섬(checksum)을 확인하십시오.
작전용 버너 폰을 위한 필수 앱: | 앱 | 목적 | 출처 | |—–|———|——–| | Signal | 보안 통신 | signal.org/android/apk 또는 F-Droid | | Orbot | Android용 Tor | guardianproject.info 또는 F-Droid | | Briar | P2P 암호화 메시징; Tor 및 Bluetooth를 통해 작동 | F-Droid | | OsmAnd | 오프라인 지도 (Google 지도 계정 필요 없음) | F-Droid | | Aegis Authenticator | TOTP 2FA | F-Droid |
설치하지 말아야 할 것:
- 소셜 미디어 앱 (모두 기기 식별자를 수집함)
- 상업용 이메일 앱
- 버너 폰 전용으로 Tor를 통해 익명의 Google 계정을 의도적으로 설정하지 않은 한, Google Play 서비스 또는 Google 계정이 필요한 모든 앱
2.3 버너 폰에서의 Signal 설정
Signal 등록에는 전화번호가 필요합니다. 옵션은 다음과 같습니다:
옵션 A: 버너 폰 SIM 번호로 등록
- 가장 직관적임
- SIM 번호가 식별자입니다; SIM이 신원과 연결되지 않은 경우 Signal 등록도 연결되지 않습니다.
- 한계: SIM을 폐기하면 해당 Signal 계정도 함께 폐기됩니다.
옵션 B: VOIP 번호로 등록
- JMP.chat 사용 (실제 XMPP 전화번호 제공, Tor를 통해 접속 가능)
- Tor 브라우저를 통해 jmp.chat에서 JMP 번호 등록
- 물리적 버너 폰을 폐기한 후에도 이 번호를 유지할 수 있습니다.
등록 후:
- 즉시 등록 잠금(Registration Lock)을 활성화합니다 (설정 → 계정 → 등록 잠금).
- 모든 채팅의 기본값으로 사라지는 메시지를 설정합니다.
- 읽음 확인, 링크 미리보기 및 입력 표시기를 비활성화합니다 (Signal 가이드 참조).
2.4 기기 강화(Hardening)
- 화면 잠금: PIN이나 생체 인식이 아닌 영숫자 암호(passphrase).
- 자동 잠금: 1분 이하.
- 암호화: 전체 디스크 암호화가 활성화되어 있는지 확인합니다 (최신 Android: 기본적으로 활성화됨).
- 비활성화: Bluetooth, NFC, 위치 서비스 — 적극적으로 필요할 때만 켜십시오.
- Wi-Fi: 의도적이고 통제된 네트워크 외에는 기기가 어떤 네트워크에도 자동 연결되도록 설정하지 마십시오.
- 무작위 MAC: Wi-Fi 연결에 대해 MAC 주소 무작위화가 활성화되어 있는지 확인합니다 (설정 → 네트워크 → Wi-Fi → [네트워크] → 개인정보 보호 → 무작위 MAC).
- Google Play: Play 스토어가 (계정 없이) 있는 경우 이를 비활성화합니다. 설정 → 앱 → Google Play 스토어 → 사용 안 함으로 이동합니다.
- Google 서비스 비활성화: 대부분의 Android 휴대폰에는 원격 측정 데이터를 적극적으로 수집하는 Google Play 서비스가 포함되어 있습니다. 보안을 극대화하려면 GrapheneOS(Google Play 서비스 없이 제공됨)를 실행하는 기기를 사용하거나 Google Play 서비스 및 관련 앱을 비활성화하십시오.
3. 작전상 사용
3.1 지리적 분리 규칙
버너 폰의 힘은 당신의 주요 신원과의 지리적 및 행동적 분리에서 나옵니다:
- 기본 신원과 연관된 장소로 버너 폰을 가져가지 마십시오: 집, 직장, 단골 헬스장, 본가.
- 기본 신원과 연관된 네트워크에서 버너 폰을 사용하지 마십시오: 집 Wi-Fi, 직장 Wi-Fi, 주 휴대폰에서 자주 사용하는 네트워크.
- 버너 폰과 주 휴대폰을 같은 장소에서 동시에 켜지 마십시오 — 이것이 가장 흔한 실수입니다. 두 기기가 같은 위치에 있으면 기지국 데이터와 Wi-Fi 로그를 통해 연관성을 추론할 수 있습니다.
- 패러데이 백 프로토콜: 두 기기를 모두 가지고 장소 간을 이동할 때는 하나를 패러데이 백에 보관하십시오 (패러데이 백 안에서 켜져 있음 = 여전히 안전; 꺼져 있음 = 훨씬 더 안전).
3.2 작전 통신
- 모든 작전 통신은 버너 폰의 Signal을 통해 이루어집니다.
- 버너 폰 번호는 작전 연락처와만 공유되며 개인 연락처는 이를 알지 못합니다.
- “딱 한 번”이라도 버너 폰을 개인적인 통신에 사용하지 마십시오.
- 버너 폰으로 모르는 번호의 전화를 받으면 응답하지 마십시오. Signal을 통해 연락처가 연락을 시도하고 있는지 평가하십시오.
3.3 사진 및 기록
버너 폰을 사용하여 활동을 기록하는 경우:
- 사진을 찍기 전에 비행기 모드를 활성화하십시오 (클라우드 서비스로의 자동 업로드 방지).
- 사진을 공유하기 전에 EXIF 데이터를 제거하십시오 (ExifTool 또는 Scrambled EXIF).
- 사진을 개인 기기나 계정이 아닌 안전한 작전 시스템으로 전송하십시오.
4. 폐기: 안전하게 버너 폰 운용 중단하기
목적을 다한 버너 폰은 깨끗하게 폐기해야 합니다. 나중에 발견되어 포렌식 분석을 받은 부적절하게 폐기된 버너 폰은 과거의 작전을 노출시킬 수 있습니다.
4.1 디지털 폐기
- 이 기기에 연결된 모든 계정을 삭제합니다 (Signal 계정: 설정 → 계정 → 계정 삭제).
- 모든 데이터를 삭제합니다: 메시지, 사진, 연락처, 앱 데이터.
- 공장 초기화: 설정 → 일반 관리 → 초기화 → 기기 전체 초기화.
- 초기화 확인: 초기화 후 기기는 새 것처럼 초기 설정 화면을 표시해야 합니다.
공장 초기화의 한계 참고: 공장 초기화는 데이터에 대한 논리적 접근을 제거하지만 물리적 스토리지를 완전히 덮어쓰지는 않을 수 있습니다. 포렌식 도구는 때때로 초기화된 Android 기기에서 데이터를 복구할 수 있습니다. 보안을 극대화하려면 사용 가능한 경우 “데이터 덮어쓰기(Overwrite data)” 옵션을 사용하거나 초기화하기 전에 스토리지를 수동으로 채우십시오 (단계 4.2).
4.2 물리적 폐기
디지털 폐기 후 위협 모델에 따라 결정하십시오:
저위험 폐기: 공장 초기화 + SIM 제거 → 기부, 판매 또는 기기 사용 중단. 데이터는 논리적으로 삭제됩니다. 대부분의 T1–T2 시나리오에서는 물리적 포렌식이 발생할 가능성이 낮습니다.
고위험 폐기: 공장 초기화 → SIM 제거 → 기기의 물리적 파괴. 스토리지 칩을 부수면 포렌식 복구가 불가능해집니다. 방법:
- 기기를 분해하고 메모리 칩을 물리적으로 파괴합니다 (도구 필요).
- 탈자화(디가우서 — 자기 스토리지에만 해당, 플래시 메모리에는 적용 불가).
- 파괴: 휴대폰, 특히 메모리 칩 영역을 드릴로 뚫습니다.
SIM 폐기: SIM을 제거합니다. 위협 수준에 따라 보장되는 경우 물리적으로 파괴합니다(가위로 칩을 자름). SIM과 기기를 따로 폐기하십시오.
4.3 폐기 후 물리적 기기 처리
- 신분증이 필요한 매장에 버너 폰을 판매하지 마십시오.
- 기기에 대한 물리적 증거가 귀하와 연결될 수 있는 경우 가정용 쓰레기통에 버리지 마십시오.
- 매장의 전자제품 재활용 수거함은 익명으로 기기를 받습니다.
5. 흔한 실수와 피하는 방법
| 실수 (Mistake) | 결과 (Consequence) | 예방법 (Prevention) |
|---|---|---|
| 버너 폰과 주 휴대폰을 같은 장소로 가져가기 | 기지국 데이터가 둘을 연결함 | 엄격한 물리적 분리; 기기 하나를 패러데이 백에 보관 |
| 버너 폰에서 집 Wi-Fi 사용 | IP 주소가 버너 폰을 귀하의 주소와 연결함 | 신원과 연결된 네트워크에는 절대 연결하지 말 것 |
| 신용 카드로 구매 | 거래 기록이 귀하를 기기 일련번호와 연결함 | 항상 현금 |
| 온라인 주문 | 배송 기록이 귀하의 주소를 기기와 연결함 | 항상 오프라인 매장 |
| 개인 계정에 “딱 한 번” 로그인 | 귀하의 신원을 기기에 영구적으로 연결함 | 절대 금지. 단 한 번도. |
| 폐기 후 버너 폰에 SIM을 남겨둠 | SIM 기록과 기기 기록을 교차 참조할 수 있음 | 폐기 시 SIM을 제거하고 파괴할 것 |
| 주 휴대폰과 함께 주머니에 버너 폰을 넣고 시위에 참여 | 같은 활동 중인 기지국 로그에 두 기기가 모두 나타남 | 시위 시에는 기기를 하나만 소지할 것; 다른 기기는 패러데이 백에 넣거나 집에 둘 것 |
이 가이드는 법률적 조언을 구성하지 않습니다. 법률은 관할 구역마다 다릅니다.