---
title: "Google, 세계 최대 주거용 프록시 네트워크 IPIDEA 해체 — 550개 위협 그룹이 사용한 그림자 인프라의 정체"
published: 2026-01-28T22:46:38.000Z
canonical: https://jeff.news/article/1237
---
# Google, 세계 최대 주거용 프록시 네트워크 IPIDEA 해체 — 550개 위협 그룹이 사용한 그림자 인프라의 정체

Google 위협 인텔리전스 그룹(GTIG)이 파트너들과 함께 세계 최대 주거용 프록시 네트워크 IPIDEA에 대한 해체 작전을 실행함. 13개 위장 브랜드, 4종 SDK, 7,400대 Tier Two 서버로 구성된 인프라를 법적 조치와 기술적 대응으로 타격해 가용 디바이스 풀을 수백만 대 규모로 축소시킴. 중국·북한·이란·러시아 포함 550개 이상 위협 그룹이 이 네트워크를 활용한 것으로 확인됨.

## 핵심 요약

- Google 위협 인텔리전스 그룹(GTIG)이 파트너들과 함께 세계 최대 규모 주거용 프록시 네트워크인 **IPIDEA**에 대한 대규모 해체 작전을 실행함
- C2 도메인 법적 조치, 파트너사 인텔리전스 공유, Google Play Protect 적용이라는 세 가지 축으로 동시 대응이 이루어짐
- 이번 조치로 IPIDEA의 가용 디바이스 풀이 **수백만 대 규모로 축소**된 것으로 추정됨

---

## IPIDEA란 무엇인가

- 주거용 프록시(Residential Proxy)는 일반 가정용 ISP IP 주소를 경유해 트래픽을 라우팅하는 방식으로, 공격자가 자신의 활동을 일반 사용자 트래픽으로 위장할 수 있게 해줌
- IPIDEA는 이 분야에서 가장 큰 규모를 자랑하는 네트워크로, **수백만 개의 주거용 IP 주소**를 제어하며 미국, 캐나다, 유럽 IP가 특히 고가에 거래됨
- 소비자 디바이스에 프록시 소프트웨어를 몰래 심거나, "남는 대역폭을 현금화하세요"라는 문구로 사용자를 유인하는 방식으로 exit node를 확보함

## 위협 규모: 550개 이상의 위협 그룹이 활용

- 2026년 1월의 단 **7일간** GTIG가 관측한 결과, **550개 이상의 개별 위협 그룹**이 IPIDEA exit node IP를 사용한 것이 확인됨
- 이 그룹에는 **중국, 북한(DPRK), 이란, 러시아** 소속 그룹이 포함됨
- 활동 유형: 피해자 SaaS 환경 접근, 온프레미스 인프라 침투, 패스워드 스프레이 공격 등

## IPIDEA가 지배하는 브랜드 제국

- GTIG 분석 결과, 겉보기에는 독립적인 다수의 프록시/VPN 브랜드가 사실상 IPIDEA 운영자에 의해 통제되고 있었음:

| 브랜드 | 도메인 |
|--------|--------|
| 360 Proxy | 360proxy.com |
| 922 Proxy | 922proxy.com |
| ABC Proxy | abcproxy.com |
| Cherry Proxy | cherryproxy.com |
| Door VPN | doorvpn.com |
| Galleon VPN | galleonvpn.com |
| IP2World | ip2world.com |
| IPIDEA | ipidea.io |
| Luna Proxy | lunaproxy.com |
| PIA S5 Proxy | piaproxy.com |
| PY Proxy | pyproxy.com |
| Radish VPN | radishvpn.com |
| Tab Proxy | tabproxy.com |

- 총 **13개 브랜드**가 하나의 인프라를 공유하고 있었으며, 리셀러 계약을 통해 디바이스 풀도 공유됨

## SDK 기반 감염 구조

> **주의:** 아래 SDK들이 포함된 앱은 사용자 디바이스를 프록시 exit node로 등록시킴. "대역폭 수익화" 명목의 SDK를 사용하는 앱은 반드시 의심해야 함.

- IPIDEA는 **PacketSDK, CastarSDK, HexSDK, EarnSDK** 등 4종의 SDK를 운영하며, 이를 앱 개발자에게 다운로드 건당 수익을 지급하는 모델로 배포함
- Android, Windows, iOS, WebOS 호환으로 광범위한 플랫폼을 커버함
- 각 SDK는 고유한 Tier One C2 도메인을 사용하지만, **모두 동일한 Tier Two 인프라(약 7,400대 서버)** 에 연결됨
- Tier Two 노드 수는 매일 변동하며, 수요 기반 스케일링 시스템이 적용되어 있음

```mermaid
sequenceDiagram
    participant App as 감염된 앱<br/>(SDK 내장)
    participant T1 as Tier One C2<br/>(SDK별 도메인)
    participant T2 as Tier Two 서버<br/>(~7,400대 공유 풀)
    participant Target as 최종 목적지<br/>(피해자 서버)

    App->>T1: 초기 등록 및 C2 통신
    T1->>App: exit node로 등록 확인
    T2->>App: 프록시할 데이터 페이로드 전송
    App->>Target: TCP 소켓 연결 후 페이로드 전달
    Target-->>App: 응답
    App-->>T2: 응답 반환
    Note over App,T2: 디바이스가 공격자의 트래픽을<br/>일반 가정용 IP로 세탁하는 구조
```

## 트로이 목마화된 앱과 바이너리

- **Galleon VPN**, **Radish VPN** 등 무료 VPN 앱이 실제 VPN 기능을 제공하면서 동시에 HexSDK/PacketSDK를 내장해 디바이스를 exit node로 등록시킴. 사용자에게 명확한 고지 없이 수행됨
- **Android**: 여러 다운로드 소스에서 IPIDEA Tier One C2에 연결하는 코드가 포함된 앱 **600개 이상** 발견됨. 대부분 유틸리티, 게임, 콘텐츠 앱으로 기능 자체는 정상이었음
- **Windows**: Tier One 도메인에 DNS 요청을 보내는 고유 PE 파일 해시 **3,075개** 확인됨. OneDriveSync, Windows Update로 위장한 트로이 목마 바이너리도 포함됨

> **경고:** "대역폭 공유로 돈 벌기"를 내세우는 앱은 디바이스를 프록시 네트워크에 편입시키는 대표적 수법임. 같은 홈 네트워크의 다른 기기까지 외부 공격에 노출될 수 있음.

## 봇넷과의 연결

- IPIDEA SDK는 **BadBox2.0 봇넷**(Google이 작년 법적 조치를 취한 대상)의 핵심 구성 요소였음
- EarnSDK의 초기 샘플에서 발견된 C2 도메인(holadns.com, martianinc.co, okamiboss.com)은 BadBox2.0 소송에서 싱크홀 처리된 것과 동일함
- 최근에는 **Aisuru 봇넷**, **Kimwolf 봇넷**에서도 IPIDEA 인프라 활용이 확인됨
- 리셀러 계약으로 인해 프록시 네트워크 간 exit node가 중복 사용되어 정확한 규모 산정과 귀속(attribution)이 어려운 구조임

## Google의 세 가지 대응 조치

1. **법적 조치(도메인 테이크다운)**: 디바이스 제어 및 트래픽 프록시에 사용되는 C2 도메인과 IPIDEA 제품 마케팅 도메인을 법적으로 차단함
2. **인텔리전스 공유**: 발견된 SDK와 프록시 소프트웨어 정보를 플랫폼 사업자, 법 집행기관, 리서치 기업에 전달함. **Cloudflare**(DNS 해석 차단), **Spur**, **Lumen Black Lotus Labs**와 긴밀 협력함
3. **Google Play Protect 강화**: 인증된 Android 기기에서 IPIDEA SDK가 포함된 앱을 자동 감지, 경고, 제거하며 향후 설치 시도도 차단함

## 소비자 보호 권고

- "남는 대역폭 공유" 또는 "인터넷 공유로 수익 창출"을 내세우는 앱은 극도로 주의해야 함
- 공식 앱스토어 이용, 서드파티 VPN/프록시 앱의 권한 검토, Google Play Protect 활성화 유지가 권장됨
- 셋톱박스 등 커넥티드 기기 구매 시 Android TV 공식 파트너 목록에서 Play Protect 인증 여부를 확인해야 함
- 앱 개발자 역시 수익화 SDK를 통합할 때 해당 SDK의 실제 동작을 면밀히 검증할 책임이 있음

## 남은 과제

- 주거용 프록시 시장은 급속히 확대 중이며, 사업자 간 인프라 중복이 심해 하나를 해체해도 완전한 차단은 어려움
- IPIDEA 같은 사업자가 "합법적 비즈니스"를 표방하며 운영할 수 있는 구조적 문제가 남아 있음
- "윤리적 소싱"을 주장하려면 사용자 동의에 대한 투명하고 감사 가능한 증거가 수반되어야 함
- 모바일 플랫폼, ISP, 기타 테크 플랫폼 간의 지속적 인텔리전스 공유와 협력이 필수적임

## 핵심 포인트

- 2026년 1월 7일간 550개 이상 위협 그룹(중국·북한·이란·러시아 포함)이 IPIDEA exit node를 사용한 것이 관측됨
- IPIDEA는 360 Proxy, IP2World 등 13개 위장 브랜드를 운영하며 약 7,400대의 Tier Two 서버를 공유하는 단일 인프라를 가짐
- Android 앱 600개 이상, Windows PE 파일 3,075개에서 IPIDEA 프록시 코드가 발견되었으며 BadBox2.0, Aisuru, Kimwolf 봇넷과도 연결됨
- Google은 C2 도메인 법적 차단, Cloudflare·Spur·Lumen과의 협력, Google Play Protect 강화라는 3축 대응을 실행함
- 이번 조치로 가용 디바이스 풀이 수백만 대 축소되었으나, 주거용 프록시 시장의 구조적 문제는 여전히 남아 있음

## 인사이트

주거용 프록시는 VPN과 달리 일반 가정용 IP를 세탁 경유지로 만드는 구조라 탐지가 극도로 어려움. '대역폭 수익화' SDK가 합법적 앱에 침투하는 공급망 오염 모델이 핵심이며, 이는 단순 악성코드 제거가 아닌 생태계 차원의 대응이 필요한 문제임.