'StravaLeaks': Le Monde, 피트니스 앱을 통해 프랑스 항공모함 위치를 실시간으로 추적

• 프랑스 해군 장교가 Strava 피트니스 앱에 공개 프로필로 운동 기록을 업로드하면서, 지중해에서 작전 중인 항공모함 Charles de Gaulle의 정확한 위치가 실시간으로 노출
• Le Monde가 해당 데이터와 위성 이미지를 교차 검증하여 키프로스 북서쪽, 터키 해안에서 약 100km 떨어진 지점에서 항모의 위치를 확인
• 중동 전쟁 상황에서 이란 연계 세력이 이미 프랑스 군사 기지 2곳을 공격한 바 있어, 이러한 위치 데이터 공개는 심각한 보안 위협
• 2024년 가을 대통령 경호원들의 Strava 사용 문제, 2025년 1월 핵잠수함 순찰 일정 노출 등 동일한 보안 결함이 반복적으로 발생
• 프랑스 군 참모부는 현행 지침 위반이라고 인정했으나, 구조적인 디지털 보안 체계 개선 없이는 차기 항모에서도 같은 문제가 반복될 가능성 존재

사건 개요: Strava를 통한 항모 위치 노출

• 3월 13일 오전 10시 35분, 프랑스 해군 장교 "Arthur"(가명)가 함선 갑판에서 약 7km를 35분간 달리며 스마트워치로 기록한 데이터가 Strava에 공개 업로드
• Strava 프로필이 "공개(public)" 설정이었기 때문에, 누구나 해당 운동 기록을 통해 항모의 정확한 위치를 거의 실시간으로 확인 가능
• Le Monde는 이를 통해 Charles de Gaulle이 키프로스 북서쪽, 터키 해안에서 약 100km 떨어진 지중해 해역에 있음을 확인
• 프랑스 해군 타격단은 항공모함 외에 최소 프리깃 3척과 지원 함정 1척으로 구성

배경: 중동 배치와 보안 위험

• 3월 3일 마크롱 대통령이 중동 배치를 명령, 이스라엘과 미국의 이란 공격 직후에 이루어진 결정
• Charles de Gaulle은 원래 NATO 훈련의 일환으로 발트해에서 5월까지 작전 예정이었으나 급히 전환
• 3월 6일 프랑스 당국이 지브롤터 해협 통과를 공식 발표
• 중동 지역 내 프랑스 군사 기지 최소 2곳이 이란 연계 세력의 공격을 받았으며, 이라크 북부 드론 공격으로 프랑스 군인 1명 사망, 6명 부상
• 이러한 상황에서 항모의 정밀 위치 데이터를 공개 웹사이트에 업로드하는 것은 위험한 수준의 부주의

데이터 교차 검증: 위성 이미지 확인

• Le Monde는 Arthur의 Strava 데이터를 통해 Charles de Gaulle의 이동 경로를 추적
  • 2월 14일: 프랑스 코탕탱 반도 해안 부근에서 운동 기록
  • 2월 26~27일: 항모가 스웨덴 말뫼에 정박 중, Arthur는 덴마크 코펜하겐에서 육상 활동 기록
  • 3월 13일: 키프로스 북서쪽 지중해에서 활동
• Arthur의 달리기 약 1시간 후 촬영된 위성 이미지에서 262m 길이의 항모 실루엣이 명확히 식별
• 달리기 경로는 움직이는 함선 위에서 원을 그리며 달린 형태로, 위성 촬영 지점에서 약 6km 떨어진 위치
  • Arthur가 항모 위에서 달린 후 함선이 이동했거나, 호위 함정 중 하나에 탑승한 두 가지 가능성 존재

추가 발견: 다수의 Strava 프로필 노출

• Arthur 외에도 최소 1명 이상의 공개 Strava 프로필이 작전 중인 함선에서 위치 정보가 포함된 운동 기록을 게시
• 일부 공개 프로필에는 함선 갑판 사진, 다른 군인 사진, 함선 내부에 설치된 피트니스 장비 사진까지 포함

프랑스 군 참모부 대응

• 프랑스 군 참모부는 Strava에 달리기 경로를 공개 업로드한 행위가 "현행 지침을 준수하지 않은 것" 이라고 밝힘
• 수병들은 "정기적으로 관련 지침을 안내받고 있다" 고 언급
• "디지털 위생(digital hygiene)" 이 모든 배치 전 선행 요건에 포함되어 있음을 강조
• "지휘부에서 적절한 조치를 취할 것"이라고 답변

이전 StravaLeaks 보안 결함

• 2024년 가을, Le Monde의 "StravaLeaks" 보도에서 프랑스·미국·러시아 대통령 경호원들의 Strava 사용으로 인한 보안 결함 노출
  • 경호원 본인과 가족 신원 파악, 이동 추적, 대통령 동선 사전 예측 가능성까지 확인
• 2025년 1월에는 프랑스 해군 핵추진 탄도미사일 잠수함(SSBN) 승조원들이 Strava를 통해 잠수함 순찰 일정 정보를 노출
  • 당시 해군은 "일부 인원의 부주의" 로, 일롱그(Ile Longue) 작전기지 활동에 영향을 미치는 침해는 아니라고 답변

차기 항모와 남은 과제

• 차기 프랑스 항공모함 France Libre("자유 프랑스") 가 2038년경 Charles de Gaulle을 대체 예정
• 최대 항공기 40대 탑재 가능, 항공기 사출기 3기와 드론 장비 탑재
• 마크롱 대통령은 건조에 "국가 최고의 인재, 가장 희귀한 전문성, 가장 까다로운 소명" 이 동원될 것이라 발언
• 향후 수병들이 운동 기록을 공개 계정에 계속 공유할 것인지, 비공개로 전환할 것인지가 해결되지 않은 과제로 남아 있음