구글, 범죄 악용된 세계 최대 주거 프록시 네트워크 운영사 IP아이디어 제재
안드로이드 기기 900만대에서 관련 앱 제거

[보안뉴스 한세희 기자] 구글이 사이버 공격에 흔히 악용되는 ‘주거 프록시 네트워크’(residential proxy network) 분야 최대 기업에 대해 구글이 전쟁을 선포했다.

구글은 29일(현지시간) 구글 위협정보 그룹 블로그에서 전날인 28일 미국 연방법원의 명령을 근거로 IP아이디어에 의해 조종되는 프록시 업체들과 가상사설망(VPN) 업체들의 도메인 수십 개에 대해 삭제 조치를 했다고 밝혔다.


▲IP아이디어 주거 프록시 네트워크 악용 구조 [출처: 구글]

여기엔 360 프록시, 922 프록시, ABC 프록시, 도어 VPN, 갤리언 VPN, IP 2 월드, 루나 프록시, PIA S5 프록시, PY 프록시, 래디시 프록시, 탭 프록시 등이 포함됐다. 이들은 별도 서비스들인 것처럼 가장해 왔으나, 배후 운영자들은 같았다.

구글은 안드로이드 기기에서 IP아이디어와 연계된 앱 수백 종을 삭제하기 위한 조치도 진행 중이다. 900만여대의 안드로이드 기기가 IP아이디어 네트워크에서 제거될 전망이다.

‘프록시’는 사용자의 실제 IP 주소를 숨겨주는 역할을 하며, ‘ISP 프록시’와 ‘주거 프록시’ 등 크게 2가지 방식으로 나뉜다.

ISP 프록시는 인터넷 서비스 제공 기업(ISP)이 제공한 IP 주소를 사용하는 방식이며, 주거 프록시는 수많은 사용자들의 PC, 전화기, 미디어 플레이어 등 인터넷에 연결된 기기에 설치된 앱을 통해 라우팅이 이뤄진다.

게임 등 소프트웨어를 설치했는데 실제로는 주거 프록시 기능이 몰래 포함돼 있는 경우가 많다.

주거 프록시 앱을 통해 수많은 기기들이 연결되면 주거 프록시 네트워크가 된다. IP아이디어 같은 기업은 인터넷을 익명으로 쓰려는 사용자로부터 돈을 받고 이런 네트워크에 대한 접근권을 판매한다.

주거 프록시 네트워크에 기기를 ‘빌려주는’ 사람들은 이런 상황을 전혀 모르고 있는 경우가 흔하다.

스마트폰에 주거 프록시용 앱이 설치된 사실을 모른 채 직장 네트워크에 스마트폰을 연결하면 직장 네트워크에 제3자가 접속할 수 있게 된다. 해커가 침투하기 쉬운 경로가 열리는 셈이다.

앞서 지난해 7월 구글은 정체가 밝혀지지 않은 운영자들이 인터넷에 연결된 TV, 태블릿, 프로젝터 등 안드로이드 기기 1000만여대에 주거 프록시 네트워크용 앱을 몰래 설치한 사실이 드러났다고 밝히며 법적 조치를 취할 것이라고 밝힌 바 있다. 이 사건에 따른 법원 명령이 구글의 28일 조치로 이어진졌다.

월스트리트저널은 IP아이디어가 해커 포럼 등에서 판매 촉진 활동을 하는 등 “비교적 공격적인 시장 확대 전략들”을 구사했음을 시인했다고 보도했다.

IP아이디어의 주거 프록시 네트워크가 실제로 악용돼 대규모 장애를 일으키기도 했다. 지난해 가을 발생한 ‘킴울프’(Kimwolf) 사건이다. 한 해커 그룹이 IP아이디어 네트워크 내 수백만 대의 기기에서 발견한 보안 취약점을 악용, 비공식 안드로이드 TV 스트리밍 박스와 디지털 액자 등 최소 200만대의 기기를 장악하고 이를 바탕으로 분산서비스거부(DDoS) 공격을 실행했다.

존 헐트퀴스트 구글 위협정보 그룹 분석가는 “범죄자와 해커가 은폐 목적으로 주거 프록시를 즐겨 이용한다”며 “이는 소비자 문제이며 동시에 국가안보 문제이기도 하다”고 밝혔다.

IP아이디어 서비스는 인터넷을 익명으로 검색하거나 데이터를 긁어오기 위해 웹사이트를 방문하는 등 합법적 목적으로 쓰일 수 있다. 하지만 2022년 말부터 이 업체는 범죄 관련 시장에서 자사 서비스를 마케팅해 왔다는 게 전문가의 설명이다.

IP아이디어 홍보 담당자는 자사 서비스를 불법적 목적으로 악용하는 데에는 항상 반대 입장을 명시적으로 밝혀왔다고 주장했다. 또 킴울프 사건과 같은 네트워크 탈취 사태를 막기 위해 조치를 취했다는 입장이다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>