GitHub Python 트렌딩 3위, 하루 별 1,036개. 이 숫자를 등에 업고 올라온 HunxByts/GhostTrack의 README는 자기 자신을 '위치와 전화번호를 추적하는 도구'라고 소개한 뒤, 같은 문장에서 곧장 OSINT, 즉 공개 정보 수집 유틸리티라고 정정한다. 한 줄과 한 줄 사이의 거리는 짧지만, 그 틈이 사용자의 기대치를 절반으로 깎아낸다.
메뉴는 IP Tracker, Phone Tracker, Username Tracker 세 가지다. 첫 메뉴는 단독으로 상대의 IP를 가져오지 못한다. README가 직접 thewhiteh4t/seeker와의 '콤보'를 권한다. seeker가 단축 미끼 링크를 만들고 상대가 그 링크를 눌러 위치 권한을 허용해야 비로소 좌표가 흘러나오는 구조다. 그렇게 회수한 좌표조차 GPS가 아니라 ISP 라우팅에서 추정한 도시 단위인 경우가 대부분이다.
나머지 두 메뉴도 결이 같다. Phone Tracker는 phonenumbers 계열 라이브러리에 기대 통신사, 국적, 지역 같은 공개 메타데이터만 돌려준다. Username Tracker는 동일 핸들이 수십 개 SNS에 살아 있는지 훑는, sherlock 계열의 가벼운 스캐너에 가깝다. 세 도구를 모두 돌려도 손에 쥐는 값은 '저 사람이 지금 어디 있다'가 아니라 '이 식별자가 인터넷에 이만큼 노출돼 있다'에 머무른다.
쓰임새는 그래서 칼처럼 갈린다. 내 번호, 내 핸들, 내 IP가 외부에서 어떻게 보이는지 점검하는 자가 진단으로 쓰면 합법이고 실용적이다. 보안 인식 교육이나 모의 침투 학습 자료로도 충분히 기능한다. 그러나 동의 없는 타인에게 미끼 링크를 보내 좌표를 회수하는 순간 통신비밀보호법과 개인정보보호법의 경계를 넘는다. 별 1,036개는 이 도구의 정확도 점수가 아니라 '누군가를 찾아낼 수 있을까'라는 호기심의 시장 크기였을 뿐이다. 도구가 실제로 돌려주는 답은 그 호기심보다 훨씬 좁고, 잘못 쓰면 책임은 훨씬 무겁다.