본문으로 건너뛰기
J
피드

Google, 세계 최대 주거용 프록시 네트워크 IPIDEA 해체 — 550개 위협 그룹이 사용한 그림자 인프라의 정체

security 약 10분
tags
#proxy#botnet#google#android#malware
vote
0
댓글
북마크

Google 위협 인텔리전스 그룹(GTIG)이 파트너들과 함께 세계 최대 주거용 프록시 네트워크 IPIDEA에 대한 해체 작전을 실행함. 13개 위장 브랜드, 4종 SDK, 7,400대 Tier Two 서버로 구성된 인프라를 법적 조치와 기술적 대응으로 타격해 가용 디바이스 풀을 수백만 대 규모로 축소시킴. 중국·북한·이란·러시아 포함 550개 이상 위협 그룹이 이 네트워크를 활용한 것으로 확인됨.

  • 1

    2026년 1월 7일간 550개 이상 위협 그룹(중국·북한·이란·러시아 포함)이 IPIDEA exit node를 사용한 것이 관측됨

  • 2

    IPIDEA는 360 Proxy, IP2World 등 13개 위장 브랜드를 운영하며 약 7,400대의 Tier Two 서버를 공유하는 단일 인프라를 가짐

  • 3

    Android 앱 600개 이상, Windows PE 파일 3,075개에서 IPIDEA 프록시 코드가 발견되었으며 BadBox2.0, Aisuru, Kimwolf 봇넷과도 연결됨

  • 4

    Google은 C2 도메인 법적 차단, Cloudflare·Spur·Lumen과의 협력, Google Play Protect 강화라는 3축 대응을 실행함

  • 5

    이번 조치로 가용 디바이스 풀이 수백만 대 축소되었으나, 주거용 프록시 시장의 구조적 문제는 여전히 남아 있음

핵심 요약

  • Google 위협 인텔리전스 그룹(GTIG)이 파트너들과 함께 세계 최대 규모 주거용 프록시 네트워크인 IPIDEA에 대한 대규모 해체 작전을 실행함
  • C2 도메인 법적 조치, 파트너사 인텔리전스 공유, Google Play Protect 적용이라는 세 가지 축으로 동시 대응이 이루어짐
  • 이번 조치로 IPIDEA의 가용 디바이스 풀이 수백만 대 규모로 축소된 것으로 추정됨

IPIDEA란 무엇인가

  • 주거용 프록시(Residential Proxy)는 일반 가정용 ISP IP 주소를 경유해 트래픽을 라우팅하는 방식으로, 공격자가 자신의 활동을 일반 사용자 트래픽으로 위장할 수 있게 해줌
  • IPIDEA는 이 분야에서 가장 큰 규모를 자랑하는 네트워크로, 수백만 개의 주거용 IP 주소를 제어하며 미국, 캐나다, 유럽 IP가 특히 고가에 거래됨
  • 소비자 디바이스에 프록시 소프트웨어를 몰래 심거나, "남는 대역폭을 현금화하세요"라는 문구로 사용자를 유인하는 방식으로 exit node를 확보함

위협 규모: 550개 이상의 위협 그룹이 활용

  • 2026년 1월의 단 7일간 GTIG가 관측한 결과, 550개 이상의 개별 위협 그룹이 IPIDEA exit node IP를 사용한 것이 확인됨
  • 이 그룹에는 중국, 북한(DPRK), 이란, 러시아 소속 그룹이 포함됨
  • 활동 유형: 피해자 SaaS 환경 접근, 온프레미스 인프라 침투, 패스워드 스프레이 공격 등

IPIDEA가 지배하는 브랜드 제국

  • GTIG 분석 결과, 겉보기에는 독립적인 다수의 프록시/VPN 브랜드가 사실상 IPIDEA 운영자에 의해 통제되고 있었음:
브랜드 도메인
360 Proxy 360proxy.com
922 Proxy 922proxy.com
ABC Proxy abcproxy.com
Cherry Proxy cherryproxy.com
Door VPN doorvpn.com
Galleon VPN galleonvpn.com
IP2World ip2world.com
IPIDEA ipidea.io
Luna Proxy lunaproxy.com
PIA S5 Proxy piaproxy.com
PY Proxy pyproxy.com
Radish VPN radishvpn.com
Tab Proxy tabproxy.com
  • 13개 브랜드가 하나의 인프라를 공유하고 있었으며, 리셀러 계약을 통해 디바이스 풀도 공유됨

SDK 기반 감염 구조

주의: 아래 SDK들이 포함된 앱은 사용자 디바이스를 프록시 exit node로 등록시킴. "대역폭 수익화" 명목의 SDK를 사용하는 앱은 반드시 의심해야 함.

  • IPIDEA는 PacketSDK, CastarSDK, HexSDK, EarnSDK 등 4종의 SDK를 운영하며, 이를 앱 개발자에게 다운로드 건당 수익을 지급하는 모델로 배포함
  • Android, Windows, iOS, WebOS 호환으로 광범위한 플랫폼을 커버함
  • 각 SDK는 고유한 Tier One C2 도메인을 사용하지만, 모두 동일한 Tier Two 인프라(약 7,400대 서버) 에 연결됨
  • Tier Two 노드 수는 매일 변동하며, 수요 기반 스케일링 시스템이 적용되어 있음
sequenceDiagram
    participant App as 감염된 앱
(SDK 내장)
    participant T1 as Tier One C2
(SDK별 도메인)
    participant T2 as Tier Two 서버
(~7,400대 공유 풀)
    participant Target as 최종 목적지
(피해자 서버)

    App->>T1: 초기 등록 및 C2 통신
    T1->>App: exit node로 등록 확인
    T2->>App: 프록시할 데이터 페이로드 전송
    App->>Target: TCP 소켓 연결 후 페이로드 전달
    Target-->>App: 응답
    App-->>T2: 응답 반환
    Note over App,T2: 디바이스가 공격자의 트래픽을
일반 가정용 IP로 세탁하는 구조

트로이 목마화된 앱과 바이너리

  • Galleon VPN, Radish VPN 등 무료 VPN 앱이 실제 VPN 기능을 제공하면서 동시에 HexSDK/PacketSDK를 내장해 디바이스를 exit node로 등록시킴. 사용자에게 명확한 고지 없이 수행됨
  • Android: 여러 다운로드 소스에서 IPIDEA Tier One C2에 연결하는 코드가 포함된 앱 600개 이상 발견됨. 대부분 유틸리티, 게임, 콘텐츠 앱으로 기능 자체는 정상이었음
  • Windows: Tier One 도메인에 DNS 요청을 보내는 고유 PE 파일 해시 3,075개 확인됨. OneDriveSync, Windows Update로 위장한 트로이 목마 바이너리도 포함됨

경고: "대역폭 공유로 돈 벌기"를 내세우는 앱은 디바이스를 프록시 네트워크에 편입시키는 대표적 수법임. 같은 홈 네트워크의 다른 기기까지 외부 공격에 노출될 수 있음.

봇넷과의 연결

  • IPIDEA SDK는 BadBox2.0 봇넷(Google이 작년 법적 조치를 취한 대상)의 핵심 구성 요소였음
  • EarnSDK의 초기 샘플에서 발견된 C2 도메인(holadns.com, martianinc.co, okamiboss.com)은 BadBox2.0 소송에서 싱크홀 처리된 것과 동일함
  • 최근에는 Aisuru 봇넷, Kimwolf 봇넷에서도 IPIDEA 인프라 활용이 확인됨
  • 리셀러 계약으로 인해 프록시 네트워크 간 exit node가 중복 사용되어 정확한 규모 산정과 귀속(attribution)이 어려운 구조임

Google의 세 가지 대응 조치

  1. 법적 조치(도메인 테이크다운): 디바이스 제어 및 트래픽 프록시에 사용되는 C2 도메인과 IPIDEA 제품 마케팅 도메인을 법적으로 차단함
  2. 인텔리전스 공유: 발견된 SDK와 프록시 소프트웨어 정보를 플랫폼 사업자, 법 집행기관, 리서치 기업에 전달함. Cloudflare(DNS 해석 차단), Spur, Lumen Black Lotus Labs와 긴밀 협력함
  3. Google Play Protect 강화: 인증된 Android 기기에서 IPIDEA SDK가 포함된 앱을 자동 감지, 경고, 제거하며 향후 설치 시도도 차단함

소비자 보호 권고

  • "남는 대역폭 공유" 또는 "인터넷 공유로 수익 창출"을 내세우는 앱은 극도로 주의해야 함
  • 공식 앱스토어 이용, 서드파티 VPN/프록시 앱의 권한 검토, Google Play Protect 활성화 유지가 권장됨
  • 셋톱박스 등 커넥티드 기기 구매 시 Android TV 공식 파트너 목록에서 Play Protect 인증 여부를 확인해야 함
  • 앱 개발자 역시 수익화 SDK를 통합할 때 해당 SDK의 실제 동작을 면밀히 검증할 책임이 있음

남은 과제

  • 주거용 프록시 시장은 급속히 확대 중이며, 사업자 간 인프라 중복이 심해 하나를 해체해도 완전한 차단은 어려움
  • IPIDEA 같은 사업자가 "합법적 비즈니스"를 표방하며 운영할 수 있는 구조적 문제가 남아 있음
  • "윤리적 소싱"을 주장하려면 사용자 동의에 대한 투명하고 감사 가능한 증거가 수반되어야 함
  • 모바일 플랫폼, ISP, 기타 테크 플랫폼 간의 지속적 인텔리전스 공유와 협력이 필수적임

주거용 프록시는 VPN과 달리 일반 가정용 IP를 세탁 경유지로 만드는 구조라 탐지가 극도로 어려움. '대역폭 수익화' SDK가 합법적 앱에 침투하는 공급망 오염 모델이 핵심이며, 이는 단순 악성코드 제거가 아닌 생태계 차원의 대응이 필요한 문제임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.