---
title: "14년간 운영된 도박 사이트 네트워크, 실체는 국가급 APT 인프라"
published: 2025-12-12T21:18:41.000Z
canonical: https://jeff.news/article/752
---
# 14년간 운영된 도박 사이트 네트워크, 실체는 국가급 APT 인프라

보안업체 Malanta가 32만 8천 개 도메인을 운영하는 14년 된 도박 사이트 네트워크가 실제로는 국가 지원 APT 인프라일 가능성을 제기함. 정부 서브도메인 하이재킹, C2 트래픽 위장 등 고도화된 수법 사용.

## 14년간 운영된 도박 사이트 인프라, 실체는 국가급 APT?

- 보안업체 Malanta가 14년간 운영된 불법 도박 사이트 네트워크를 분석했더니, 단순 사기 조직이 아니라 국가 지원(state-sponsored) 수준의 APT 인프라일 가능성이 높다는 분석을 내놓음
- 규모가 장난이 아님: 도메인 32만 8천 개(직접 구매 23만 6천 + 해킹 탈취 9만), 합법 조직의 서브도메인 1,500개 이상 하이재킹. 연간 운영비가 최소 72만 5천 달러에서 최대 1,700만 달러로 추정됨
- 표면적으로는 인도네시아어 사용자를 대상으로 한 도박 사이트임. 인도네시아에서는 도박이 불법이라 암묵적 수요가 크다는 점을 노린 거임

## 공격 방식

- 취약한 WordPress 사이트와 PHP 앱을 스캔해서 기존 웹셸이나 취약점을 익스플로잇하고, GSocket이라는 백도어를 설치해서 서버를 장악함
- 댕글링 DNS(Dangling DNS)와 댕글링 CNAME을 악용하는 게 핵심 수법임. 합법 조직이 DNS 레코드나 클라우드 리소스를 만료시키면, 공격자가 해당 IP나 클라우드 레코드를 재등록해서 도메인/서브도메인을 탈취함
- 탈취한 정부 기관 서브도메인에 NGINX 리버스 프록시를 띄워서 TLS를 종단하고, C2 트래픽을 정부 도메인의 합법적인 HTTPS 트래픽으로 위장해서 터널링함. 즉 악성 트래픽이 정부 인프라에서 나오는 것처럼 보이는 거임

## 왜 APT로 보는가

- "빠른 한탕" 도박 사기치고는 14년이라는 기간, 인프라 규모, 비용, 정교함이 말이 안 됨
- GitHub 계정 38개를 악성코드 호스팅에 사용하고, 수천 개의 장기 운영 악성 Android 앱이 AWS에서 돌아가고 있음
- 미국·유럽 정부기관과 제조·운송·헬스케어·교육 등 광범위한 산업을 타겟으로 함
- 하이재킹된 서브도메인이 상위 도메인의 세션 쿠키를 상속받는 케이스도 발견됨. 예를 들어 연매출 160억 달러 이상 미국 글로벌 기업의 서브도메인이 메인 도메인과 동일한 쿠키를 갖고 있었다는 거임
- 51,000건 이상의 유출된 자격 증명이 도박 사이트와 강한 연관성을 보이며 다크웹에서 유통 중

> [!IMPORTANT]
> Malanta의 결론: "도박은 수익원인 동시에 위장막. 같은 인프라로 로컬 사용자를 수익화하면서, 동시에 민감한 사이버 작전을 위한 고품질 익명성과 은밀한 통신 채널을 제공할 수 있다."

## 핵심 포인트

- 32만 8천 도메인 + 1,500 서브도메인 하이재킹
- 댕글링 DNS 악용해 정부 도메인으로 C2 트래픽 위장
- 연간 운영비 최대 1,700만 달러, 14년 지속

## 인사이트

댕글링 DNS/CNAME은 많은 조직이 간과하는 공격 벡터. 클라우드 리소스 정리할 때 DNS 레코드도 함께 정리하는 게 필수라는 걸 다시 한번 보여주는 사례.