대포 에그·대포 유심이 안전하다는 착각 — 기술적 추적 경로

“대포 에그 쓰면 IP도 바뀌고 내 명의도 아니니까 추적 안 되지 않나?”

텔레그램 보안 채널에서 에그 판매 광고 바로 옆에 이런 질문이 달린다. 대포 유심 끼운 에그 하나면 인터넷 활동이 완전히 분리된다고 믿는 거다.

IP가 바뀌는 건 맞다. 명의가 내 것이 아닌 것도 맞다. 하지만 “추적 불가”는 거기서 자동으로 따라오는 결론이 아니다. 수사기관이 실제로 쓰는 추적 경로는 IP나 명의가 아니라 기기 자체에서 시작한다.

에그에도 주민등록번호가 있다 — IMEI

모든 통신 기기에는 IMEI(International Mobile Equipment Identity)라는 15자리 고유 번호가 박혀 있다. 스마트폰에도 있고, 에그(포켓와이파이)에도 있다. 공장에서 찍혀 나오는 번호라서 유심을 바꿔도 변하지 않는다.

에그를 켜서 기지국에 접속하는 순간, 통신사 서버에 두 가지가 동시에 기록된다.

IMSI(International Mobile Subscriber Identity) — 유심에 들어있는 가입자 식별번호. 대포 유심이면 타인 명의다.

IMEI — 에그 기기 자체의 고유번호. 유심과 무관하게 기기에 고정돼 있다.

수사기관이 대포 유심의 IMSI를 확보하면, 그 IMSI와 함께 기록된 IMEI를 통신사에서 꺼낼 수 있다. 그 IMEI로 다시 조회하면 — 같은 에그에 다른 유심을 꽂았던 기록, 심지어 본인 명의 유심을 꽂았던 기록까지 전부 나온다.

대포 유심은 명의를 숨긴다. 하지만 IMEI는 기기를 숨기지 못한다. 유심은 갈아끼울 수 있어도 IMEI는 갈아끼울 수 없다.

기지국이 위치를 찍는다 — 삼각측량

에그가 켜져 있는 동안, 기기는 가장 가까운 기지국에 자동으로 접속한다. 통화나 인터넷을 쓰지 않아도 마찬가지다. 전원이 켜져 있고 유심이 꽂혀 있으면, 기기는 주기적으로 기지국과 신호를 주고받는다.

이 신호가 기록된다. 통신비밀보호법상 “통신사실확인자료”에 발신기지국 위치추적자료가 포함돼 있고, 수사기관은 법원 허가를 받아 이 자료를 통신사에 요청할 수 있다(통신비밀보호법 제13조).

도심에서 기지국 간격은 보통 200~500m다. 기지국 하나만으로도 대략적 위치가 나오는데, 삼각측량(3개 이상 기지국의 신호 세기를 교차 분석하는 기법)을 쓰면 수십 미터 단위로 좁혀진다.

실시간 추적도 된다. 수사기관이 통신사에 실시간 위치추적을 요청하면, 통신사가 10~30분 간격으로 대상 기기의 기지국 위치를 자동 수집해서 수사관에게 문자로 전송하는 시스템이 운용되고 있다.

에그를 들고 다니면서 쓰면, 그 동선이 기지국 기록으로 남는다. 대포 유심이든 아니든 상관없다. 기지국은 유심의 명의를 보는 게 아니라 IMSI와 IMEI를 보기 때문이다.

CCTV가 퍼즐을 완성한다

기지국 기록으로 “이 시간에 이 반경에 있었다”까지 좁혀졌다고 하겠다. 여기서 CCTV가 들어온다.

한국의 공공 CCTV 설치 대수는 2023년 기준 약 177만 대다(개인정보보호위원회 통계). 도심 기준으로 50~100m 간격에 카메라가 있다. 기지국으로 반경을 좁히고, 그 범위 안의 CCTV를 돌려보면 — 특정 시간대에 에그를 들고 있거나, 에그로 추정되는 기기를 사용하는 사람이 찍힌다.

실제 보이스피싱 수사에서 이 패턴이 반복된다. 대포폰 기지국 기록으로 위치를 좁히고, 해당 위치의 CCTV와 교통카드·차량번호 인식 시스템을 교차 대조해서 용의자를 특정한다.

에그를 집에서만 쓴다면? 기지국 기록에 특정 주거지 반경이 반복적으로 찍힌다. 이건 오히려 더 쉬운 패턴이다.

유심만 바꿔도 IMEI가 따라간다

대포 에그 사용자가 가장 많이 하는 실수가 이거다. 대포 유심을 에그에 꽂아 쓰다가, 같은 에그에 본인 명의 유심을 꽂는다. 아니면 대포 유심을 본인 스마트폰에 꽂아본다.

그 순간 IMEI 하나에 두 개의 IMSI가 연결된다. 대포 명의와 본인 명의가 같은 기기에서 만난다. 수사기관 입장에서는 이게 가장 단순한 연결고리다.

“그러면 에그를 전용으로 따로 사고, 절대 다른 유심을 꽂지 않으면 되지 않나?”

가능하다. 하지만 그 에그를 어디서 샀는지, 어떻게 결제했는지, 택배를 어디로 받았는지 — 이 모든 게 흔적이다. 현금 거래를 했더라도 구매 장소의 CCTV가 있다.

대포 회선이 뚫리는 실제 경로

정리하면 수사기관의 추적은 이런 순서로 진행된다.

1단계: 대포 유심의 IMSI 확보 — 범죄에 사용된 회선 번호에서 시작.

2단계: 통신사에 해당 IMSI의 IMEI 조회 요청 — 어떤 기기에 꽂혀 있었는지 확인.

3단계: 해당 IMEI로 다시 조회 — 같은 기기에 꽂혔던 다른 유심(본인 명의 포함) 기록 확보.

4단계: 기지국 위치추적 — 해당 IMEI/IMSI가 접속한 기지국 기록으로 동선 파악.

5단계: CCTV·교통카드·차량번호 교차 대조 — 물리적 위치에서 인물 특정.

13단계는 데이터베이스 조회다. 수사관이 영장 받고 통신사에 요청하면 된다. 45단계에서 시간이 걸리지만, 대상이 특정되면 피할 수 있는 단계가 아니다.

누가 어디까지 걱정해야 하나

🟢 일반 사용자 — 프라이버시 보호 목적으로 에그를 쓰고 있다면, 대포 에그가 아니라 VPN이 답이다. VPN은 트래픽 내용(어떤 사이트에 접속했는지)을 암호화한다. 에그는 IP를 바꿔줄 뿐 트래픽을 암호화하지 않는다. 통신사한테 접속 기록 안 보이게 하고 싶으면 VPN 하나면 된다.

🟡 집 인터넷과 회선을 분리하고 싶은 사람 — 같은 공유기를 쓰는 가족에게 접속 기록이 보이면 안 되는 상황이라면, 본인 명의 에그 + VPN 조합이 합리적이다. 대포 에그를 쓸 이유가 없다. 본인 명의 에그라도 VPN을 켜면 통신사가 접속 내용을 볼 수 없다.

🔴 수사 회피 목적으로 대포 에그를 쓰려는 사람 — 이 글이 설명한 것처럼, IMEI·기지국·CCTV 경로를 전부 피하는 건 현실적으로 극히 어렵다. 에그를 전용 기기로 쓰고, 현금으로 사고, CCTV 없는 곳에서만 쓰고, 절대 본인 명의 유심을 꽂지 않는다 — 이 모든 조건을 한 번이라도 어기면 연결고리가 생긴다.

다만, 선은 분명히 있다

이 글은 “대포 에그가 생각만큼 안전하지 않다”는 기술적 사실을 다룬 거다. 기술적 사실을 숨기면 잘못된 안전감만 남는다.

프라이버시를 지키고 싶은 건 누구나 가진 정당한 욕구다. 통신사한테 내 접속 기록이 보이는 게 불편하다면, 그건 지극히 합리적인 감정이다. 이 경우엔 VPN이면 충분하다.

선이 갈리는 건 다른 데 있다. 대포 에그와 대포 유심은 보이스피싱, 불법 도박 사이트 운영, 마약 거래 같은 범죄 인프라로 쓰인다. 텔레그램에서 “에그 필요할 때”, “문발 필요할 때” 같은 광고가 보안 가이드 바로 옆에 붙어 있는 이유가 그거다.

대포 회선으로 누군가를 속여서 돈을 빼는 순간, 그건 프라이버시 문제가 아니라 피해자가 생기는 범죄다. 그쪽은 수사 우선순위가 다르고, 통신사·금융사·경찰 합동 수사 체계가 가동된다. 이 글에서 설명한 추적 경로가 실제로 작동하는 영역이 바로 그쪽이다.

정리

대포 에그와 대포 유심은 IP와 명의를 바꿔줄 뿐이다. 기기 자체의 IMEI는 유심을 바꿔도 변하지 않는다. 기지국은 IMEI를 기록하고, 수사기관은 영장 하나로 그 기록을 조회할 수 있다.

“대포 회선 = 추적 불가”는 IP와 명의만 보는 사람의 착각이다. 수사기관은 IMEI → 기지국 → CCTV 순서로 물리적 위치까지 좁혀온다.

프라이버시가 목적이라면 대포 에그가 아니라 VPN을 쓰면 된다. 대포 에그가 필요하다고 느끼는 순간, 그건 이미 프라이버시 보호의 영역을 넘어선 거다.