본문으로 건너뛰기
피드

Google, 세계 최대 주거용 프록시 네트워크 IPIDEA 해체 — 550개 위협 그룹이 사용한 그림자 인프라의 정체

security 약 10분
vote
0
댓글
북마크

Google 위협 인텔리전스 그룹(GTIG)이 파트너들과 함께 세계 최대 주거용 프록시 네트워크 IPIDEA에 대한 해체 작전을 실행함. 13개 위장 브랜드, 4종 SDK, 7,400대 Tier Two 서버로 구성된 인프라를 법적 조치와 기술적 대응으로 타격해 가용 디바이스 풀을 수백만 대 규모로 축소시킴. 중국·북한·이란·러시아 포함 550개 이상 위협 그룹이 이 네트워크를 활용한 것으로 확인됨.

  • 1

    2026년 1월 7일간 550개 이상 위협 그룹(중국·북한·이란·러시아 포함)이 IPIDEA exit node를 사용한 것이 관측됨

  • 2

    IPIDEA는 360 Proxy, IP2World 등 13개 위장 브랜드를 운영하며 약 7,400대의 Tier Two 서버를 공유하는 단일 인프라를 가짐

  • 3

    Android 앱 600개 이상, Windows PE 파일 3,075개에서 IPIDEA 프록시 코드가 발견되었으며 BadBox2.0, Aisuru, Kimwolf 봇넷과도 연결됨

  • 4

    Google은 C2 도메인 법적 차단, Cloudflare·Spur·Lumen과의 협력, Google Play Protect 강화라는 3축 대응을 실행함

  • 5

    이번 조치로 가용 디바이스 풀이 수백만 대 축소되었으나, 주거용 프록시 시장의 구조적 문제는 여전히 남아 있음

핵심 요약

  • Google 위협 인텔리전스 그룹(GTIG)이 파트너들과 함께 세계 최대 규모 주거용 프록시 네트워크인 IPIDEA에 대한 대규모 해체 작전을 실행함
  • C2 도메인 법적 조치, 파트너사 인텔리전스 공유, Google Play Protect 적용이라는 세 가지 축으로 동시 대응이 이루어짐
  • 이번 조치로 IPIDEA의 가용 디바이스 풀이 수백만 대 규모로 축소된 것으로 추정됨

IPIDEA란 무엇인가

  • 주거용 프록시(Residential Proxy)는 일반 가정용 ISP IP 주소를 경유해 트래픽을 라우팅하는 방식으로, 공격자가 자신의 활동을 일반 사용자 트래픽으로 위장할 수 있게 해줌
  • IPIDEA는 이 분야에서 가장 큰 규모를 자랑하는 네트워크로, 수백만 개의 주거용 IP 주소를 제어하며 미국, 캐나다, 유럽 IP가 특히 고가에 거래됨
  • 소비자 디바이스에 프록시 소프트웨어를 몰래 심거나, "남는 대역폭을 현금화하세요"라는 문구로 사용자를 유인하는 방식으로 exit node를 확보함

위협 규모: 550개 이상의 위협 그룹이 활용

  • 2026년 1월의 단 7일간 GTIG가 관측한 결과, 550개 이상의 개별 위협 그룹이 IPIDEA exit node IP를 사용한 것이 확인됨
  • 이 그룹에는 중국, 북한(DPRK), 이란, 러시아 소속 그룹이 포함됨
  • 활동 유형: 피해자 SaaS 환경 접근, 온프레미스 인프라 침투, 패스워드 스프레이 공격 등

IPIDEA가 지배하는 브랜드 제국

  • GTIG 분석 결과, 겉보기에는 독립적인 다수의 프록시/VPN 브랜드가 사실상 IPIDEA 운영자에 의해 통제되고 있었음:
브랜드 도메인
360 Proxy 360proxy.com
922 Proxy 922proxy.com
ABC Proxy abcproxy.com
Cherry Proxy cherryproxy.com
Door VPN doorvpn.com
Galleon VPN galleonvpn.com
IP2World ip2world.com
IPIDEA ipidea.io
Luna Proxy lunaproxy.com
PIA S5 Proxy piaproxy.com
PY Proxy pyproxy.com
Radish VPN radishvpn.com
Tab Proxy tabproxy.com
  • 13개 브랜드가 하나의 인프라를 공유하고 있었으며, 리셀러 계약을 통해 디바이스 풀도 공유됨

SDK 기반 감염 구조

주의: 아래 SDK들이 포함된 앱은 사용자 디바이스를 프록시 exit node로 등록시킴. "대역폭 수익화" 명목의 SDK를 사용하는 앱은 반드시 의심해야 함.

  • IPIDEA는 PacketSDK, CastarSDK, HexSDK, EarnSDK 등 4종의 SDK를 운영하며, 이를 앱 개발자에게 다운로드 건당 수익을 지급하는 모델로 배포함
  • Android, Windows, iOS, WebOS 호환으로 광범위한 플랫폼을 커버함
  • 각 SDK는 고유한 Tier One C2 도메인을 사용하지만, 모두 동일한 Tier Two 인프라(약 7,400대 서버) 에 연결됨
  • Tier Two 노드 수는 매일 변동하며, 수요 기반 스케일링 시스템이 적용되어 있음
sequenceDiagram
    participant App as 감염된 앱
(SDK 내장) participant T1 as Tier One C2
(SDK별 도메인) participant T2 as Tier Two 서버
(~7,400대 공유 풀) participant Target as 최종 목적지
(피해자 서버) App->>T1: 초기 등록 및 C2 통신 T1->>App: exit node로 등록 확인 T2->>App: 프록시할 데이터 페이로드 전송 App->>Target: TCP 소켓 연결 후 페이로드 전달 Target-->>App: 응답 App-->>T2: 응답 반환 Note over App,T2: 디바이스가 공격자의 트래픽을
일반 가정용 IP로 세탁하는 구조

트로이 목마화된 앱과 바이너리

  • Galleon VPN, Radish VPN 등 무료 VPN 앱이 실제 VPN 기능을 제공하면서 동시에 HexSDK/PacketSDK를 내장해 디바이스를 exit node로 등록시킴. 사용자에게 명확한 고지 없이 수행됨
  • Android: 여러 다운로드 소스에서 IPIDEA Tier One C2에 연결하는 코드가 포함된 앱 600개 이상 발견됨. 대부분 유틸리티, 게임, 콘텐츠 앱으로 기능 자체는 정상이었음
  • Windows: Tier One 도메인에 DNS 요청을 보내는 고유 PE 파일 해시 3,075개 확인됨. OneDriveSync, Windows Update로 위장한 트로이 목마 바이너리도 포함됨

경고: "대역폭 공유로 돈 벌기"를 내세우는 앱은 디바이스를 프록시 네트워크에 편입시키는 대표적 수법임. 같은 홈 네트워크의 다른 기기까지 외부 공격에 노출될 수 있음.

봇넷과의 연결

  • IPIDEA SDK는 BadBox2.0 봇넷(Google이 작년 법적 조치를 취한 대상)의 핵심 구성 요소였음
  • EarnSDK의 초기 샘플에서 발견된 C2 도메인(holadns.com, martianinc.co, okamiboss.com)은 BadBox2.0 소송에서 싱크홀 처리된 것과 동일함
  • 최근에는 Aisuru 봇넷, Kimwolf 봇넷에서도 IPIDEA 인프라 활용이 확인됨
  • 리셀러 계약으로 인해 프록시 네트워크 간 exit node가 중복 사용되어 정확한 규모 산정과 귀속(attribution)이 어려운 구조임

Google의 세 가지 대응 조치

  1. 법적 조치(도메인 테이크다운): 디바이스 제어 및 트래픽 프록시에 사용되는 C2 도메인과 IPIDEA 제품 마케팅 도메인을 법적으로 차단함
  2. 인텔리전스 공유: 발견된 SDK와 프록시 소프트웨어 정보를 플랫폼 사업자, 법 집행기관, 리서치 기업에 전달함. Cloudflare(DNS 해석 차단), Spur, Lumen Black Lotus Labs와 긴밀 협력함
  3. Google Play Protect 강화: 인증된 Android 기기에서 IPIDEA SDK가 포함된 앱을 자동 감지, 경고, 제거하며 향후 설치 시도도 차단함

소비자 보호 권고

  • "남는 대역폭 공유" 또는 "인터넷 공유로 수익 창출"을 내세우는 앱은 극도로 주의해야 함
  • 공식 앱스토어 이용, 서드파티 VPN/프록시 앱의 권한 검토, Google Play Protect 활성화 유지가 권장됨
  • 셋톱박스 등 커넥티드 기기 구매 시 Android TV 공식 파트너 목록에서 Play Protect 인증 여부를 확인해야 함
  • 앱 개발자 역시 수익화 SDK를 통합할 때 해당 SDK의 실제 동작을 면밀히 검증할 책임이 있음

남은 과제

  • 주거용 프록시 시장은 급속히 확대 중이며, 사업자 간 인프라 중복이 심해 하나를 해체해도 완전한 차단은 어려움
  • IPIDEA 같은 사업자가 "합법적 비즈니스"를 표방하며 운영할 수 있는 구조적 문제가 남아 있음
  • "윤리적 소싱"을 주장하려면 사용자 동의에 대한 투명하고 감사 가능한 증거가 수반되어야 함
  • 모바일 플랫폼, ISP, 기타 테크 플랫폼 간의 지속적 인텔리전스 공유와 협력이 필수적임

주거용 프록시는 VPN과 달리 일반 가정용 IP를 세탁 경유지로 만드는 구조라 탐지가 극도로 어려움. '대역폭 수익화' SDK가 합법적 앱에 침투하는 공급망 오염 모델이 핵심이며, 이는 단순 악성코드 제거가 아닌 생태계 차원의 대응이 필요한 문제임.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.