Google, 세계 최대 주거용 프록시 네트워크인 IPIDEA_5iter.com 단속에 앞장서기 위한 조치 시작

Google 위협 인텔리전스 팀은 최근 여러 파트너와 힘을 합쳐 세계 최대의 주거용 프록시 네트워크 중 하나로 간주되는 IPIDEA 생태계에 대한 작전을 시작하여 프록시 인프라와 상업 운영에 심각한 피해를 입혔습니다. 네트워크에서 악용할 수 있는 장치의 수가 수백만 개 줄어들 것으로 예상됩니다. 주택 대리점 운영자 간의 광범위한 재판매 및 협력 관계로 인해 이번 조치는 관련 대리점 브랜드와 업스트림 및 다운스트림 블랙 앤 그레이 산업 체인에 연쇄적인 영향을 미치는 것으로 여겨집니다.

Google은 이 조치가 세 가지 조치를 중심으로 이루어진다고 밝혔습니다. 첫째, 합법적인 수단을 사용하여 감염된 장치 및 전송 프록시 트래픽을 제어하는 데 사용되는 명령 및 제어(C2) 도메인 이름을 제거합니다. 둘째, 조사 과정에서 발견된 IPIDEA 소프트웨어 개발 키트(SDK) 및 프록시 소프트웨어의 기술 인텔리전스를 플랫폼 서비스 제공자, 법 집행 기관, 보안 연구 기관과 공유하여 전체 생태계 내에서 식별 및 정리를 촉진합니다. 셋째, Google Play Protect가 알려진 통합 IPIDEA SDK 앱을 자동으로 경고 및 제거하고 해당 앱에 대한 향후 설치 시도를 차단할 수 있도록 Android 플랫폼 보호를 강화합니다.

소위 주거용 프록시 네트워크는 일반 가정이나 소규모 기업의 광대역 출구를 통해 트래픽을 전달하는 고객에게 서비스를 판매하는 것을 의미합니다. IP 주소는 기존 데이터 센터 컴퓨터실이 아닌 다양한 국가의 운영자가 최종 사용자에게 할당합니다. 공격자는 전 세계 수많은 주거용 광대역 출구를 제어하고 "임대"함으로써 악의적인 활동을 일반적인 사용자 행동으로 위장하여 네트워크 방어를 극도로 어렵게 만들 수 있습니다. 특히 미국, 캐나다, 유럽의 주거용 IP가 더 인기가 높습니다. 이러한 네트워크를 구축하기 위해 사업자는 다수의 사용자 장치에서 특정 코드를 실행하여 프록시 네트워크에 조용히 참여하고 소위 "출구 노드"가 될 수 있도록 해야 합니다.

Google 위협 인텔리전스팀의 조사에 따르면 IPIDEA 관련 프록시 서비스가 실제로 널리 악용되고 있는 것으로 나타났습니다. SDK는 다양한 봇넷을 위한 장비를 확장하는 데 사용되었으며, 프록시 소프트웨어는 범죄자들이 이러한 봇넷을 원격으로 제어하는 데 사용되었습니다. 구글은 이전에 BadBox2.0 봇넷에 대해 소송을 제기한 적이 있으며 최근 활동 중인 Aisuru, Kimwolf 등의 봇넷도 IPIDEA 생태계를 광범위하게 활용했다고 밝혔습니다. 구글은 2026년 1월 단 7일 만에 스텔스 작전을 위해 IPIDEA 출구 노드로 표시된 IP 주소를 사용하는 중국, 북한, 이란, 러시아의 간첩 및 범죄 조직을 포함해 550개 이상의 위협 그룹을 관찰했다. 이들의 활동에는 피해자의 SaaS 환경, 로컬 인프라, 대규모 비밀번호 스프레이 공격에 대한 액세스가 포함되었습니다.

이 연구는 또한 아마도 프록시 서비스 간의 재판매 및 파트너십 계약으로 인해 다수의 주거용 프록시 출구 노드에 대한 IP의 상당한 중복을 발견했으며, 이는 단일 브랜드에 대한 히트를 정확하게 수량화하고 브랜드 경계만으로 귀속시키는 것을 어렵게 만듭니다. 또한 주거용 프록시는 조직의 보안을 위협할 뿐만 아니라 일반 사용자에게도 위험을 초래합니다. 장치가 이러한 네트워크에 연결되면 해당 장치의 IP 주소와 로컬 네트워크가 해커 활동의 발판으로 사용되며, 비정상적인 트래픽으로 인해 사용자가 다양한 서비스에서 플래그를 지정하거나 차단될 수 있습니다. 관련 프록시는 장치와 홈 네트워크에 보안 허점을 초래할 수도 있습니다. 장치가 출구 노드로 사용되면 공격자는 프록시 터널을 사용하여 동일한 LAN에 있는 다른 개인 장치에 액세스할 수 있으므로 원래 폐쇄된 홈 네트워크가 인터넷에 노출됩니다.

Google의 분석에 따르면 시장에 나와 있는 외관상 관련이 없는 주거용 프록시 또는 VPN 브랜드 그룹이 실제로는 IPIDEA와 동일한 운영자에 의해 통제되는 것으로 나타났습니다. 여기에는 360 Proxy, 922 Proxy, ABC Proxy, Cherry Proxy, Door VPN, Galleon VPN, IP 2 World, Ipidea, Luna Proxy, PIA S5 Proxy, PY Proxy, Radish VPN, Tab Proxy 및 기타 여러 브랜드 도메인 이름이 포함됩니다. 동일한 운영자는 주거용 프록시 SDK와 관련된 일련의 도메인 이름도 제어합니다. 이러한 SDK는 최종 사용자를 위한 것이 아니라 애플리케이션 개발자가 삽입할 수 있는 것입니다. 그들은 개발자가 "트래픽 수익 창출" 및 기타 방법을 통해 돈을 벌 수 있도록 돕고 Android, Windows, iOS 및 WebOS와 같은 다중 플랫폼 지원을 제공한다고 주장합니다. 개발자가 이러한 SDK를 앱에 통합한 후 IPIDEA는 다운로드와 같은 지표를 기반으로 개발자에게 비용을 지불합니다.

SDK가 애플리케이션에 내장되면 애플리케이션이 설치된 장치는 원래 기능을 제공하면서 조용히 프록시 네트워크의 종료 노드가 되어 운영자에게 거대한 주거용 프록시 네트워크를 유지하는 데 필요한 많은 수의 단말 장치를 제공합니다. 많은 주거용 프록시 서비스는 자신의 IP 소스가 "합법적이고 규정을 준수한다"고 주장하지만 Google의 조사에 따르면 이러한 주장은 종종 과장되거나 사실과 일치하지 않는 것으로 나타났습니다. 악성 프록시 코드가 포함된 많은 애플리케이션은 IPIDEA 네트워크에 장치를 추가한다는 사실을 사용자에게 명확하게 공개하지 않습니다. 또한 보안 연구원들은 이전에 인증되지 않았거나 브랜드가 변경된 Android 셋톱 박스와 같은 장치에서 숨겨진 주거용 에이전트 페이로드를 발견했습니다.

기술 수준에서 Google은 SDK 코드에 내장된 타사 소프트웨어와 SDK 자체에 대한 정적 및 동적 분석을 수행하여 명령 및 제어 인프라 구조를 복원하려고 했습니다. 분석에 따르면 EarnSDK, PacketSDK, CastarSDK 및 HexSDK는 C2 인프라 및 코드 구조에서 많이 중복되며 전체 2계층 아키텍처가 채택됩니다. 첫 번째 계층에서는 장치가 시작된 후 미리 설정된 여러 도메인 이름에서 연결을 선택하고 장치 진단 정보를 서버에 전송하며 연결에 사용할 수 있는 두 번째 계층 노드 IP를 학습합니다. 두 번째 계층에서 클라이언트는 정기적으로 이러한 IP의 특정 포트를 폴링하여 프록시 작업을 얻습니다. 작업이 수신되면 해당 프록시 포트와 전용 연결을 설정하고 수신된 데이터를 전달합니다.

구체적인 구현 측면에서, 첫 번째 계층 통신에서 장치 정보는 정산 공유에 사용될 수 있는 "키" 필드를 포함하는 HTTP GET 쿼리 매개변수 또는 POST 요청 본문을 통해 보고됩니다. 서버 응답은 폴링 간격, 하트비트 시간 및 여러 두 번째 계층 노드 IP 구성을 반환합니다. 레이어 2 통신은 순수 IP 주소와 다양한 포트로 구성된 "연결/프록시" 쌍을 사용합니다. 전자는 인코딩된 JSON 페이로드와 함께 TCP 폴링 패킷을 보내는 데 사용되고, 후자는 작업이 할당된 후 실제 비즈니스 트래픽을 수신하여 대상 FQDN(정규화된 도메인 이름)으로 전달하는 데 사용됩니다. 장치는 태스크에서 연결 ID를 기반으로 프록시 포트와 세션을 설정하고, 수신된 데이터를 태스크에서 지정한 외부 대상으로 그대로 전달함으로써 사용자가 모르는 사이에 프록시 링크 설정을 완료합니다.

추가 인프라 상관 관계 분석에 따르면 다양한 SDK는 서로 다른 1계층 도메인 이름을 사용하지만 그 뒤에는 동일한 2계층 서버 풀을 공유합니다. 구글이 다양한 악성 샘플과 SDK를 분석한 결과, 이 글을 쓰는 시점을 기준으로 전 세계에 약 7,400개의 2차 서버가 배포되어 있는 것으로 나타났습니다. 미국에 배포된 일부 노드를 포함하여 숫자는 수요에 따라 동적으로 변경됩니다. 이는 다양한 외부 패키징 및 도메인 이름 브랜드에도 불구하고 IPIDEA의 여러 SDK가 실제로 에이전시 비즈니스를 운영하기 위해 동일한 백엔드 인프라에 의존한다는 것을 보여줍니다.

전파 채널 측면에서 IPIDEA 운영자는 무료 VPN 서비스를 제공하는 여러 도메인 이름도 제어합니다. 해당 애플리케이션은 표면적으로 VPN 기능을 제공하지만 실제로는 Hex 또는 Packet SDK를 숨겨 충분한 알림 없이 사용자 장치를 IPIDEA 프록시 네트워크에 연결합니다. 또한 Google은 터미널을 종료 노드로 전환하는 데 사용되는 PacketShare 프로그램과 OneDriveSync 및 Windows Update로 위장한 "Li Gui" 애플리케이션을 포함하여 동적 분석 중에 1차 도메인 이름에 대한 DNS 요청을 시작한 Windows 실행 파일 총 3,075개를 식별했으며 이러한 트로이 목마는 IPIDEA가 공식적으로 직접 배포하지 않았습니다. Android 생태계에서 Google은 다양한 다운로드 채널에 배포된 600개 이상의 애플리케이션에 첫 번째 계층 C2 도메인 이름에 연결된 코드가 포함되어 있음을 발견했습니다. 이러한 애플리케이션의 표면 기능은 대부분 도구, 게임 및 콘텐츠이지만 IPIDEA 프록시 동작을 갖춘 수익화 SDK가 내장되어 있습니다.

IPIDEA의 인프라를 완전히 해체하기 위해 Google은 이번 주에 일련의 조율된 조치를 취했습니다. 장치 수준에서 Google은 법적 절차를 사용하여 감염된 장치를 제어하고 트래픽을 전달하는 데 사용되는 C2 도메인 이름을 단속하여 소스에서 프록시 네트워크의 제어 기능을 약화시킵니다. 동시에 Android 생태계에서는 플랫폼 정책에 따라 프록시 코드를 숨기는 애플리케이션 "중독"에 대해 법 집행 조치를 취하고 Google Play Protect를 사용하여 IPIDEA SDK를 통합하는 애플리케이션을 자동으로 식별, 프롬프트 및 제거하고 향후 설치를 방지합니다. 배포 제한 측면에서 구글은 IPIDEA 및 다양한 에이전트 브랜드를 홍보하는 데 사용되는 소프트웨어, SDK 등 마케팅 사이트의 도메인 이름에 대해서도 법적 조치를 취하여 고객 확보 및 확장 채널을 차단했습니다.

구글은 또한 이 작업이 업계 파트너들의 협력 및 정보 공유와 불가분의 관계에 있음을 강조했습니다. 다른 기관이 적절한 조치를 취할 수 있도록 Google은 Spur 및 Lumen의 Black Lotus Labs를 포함한 여러 보안 회사와 연구 결과를 공유하여 주거용 프록시 네트워크의 규모와 이들이 조장하는 악의적인 활동 유형을 공동으로 파악했습니다. Google은 또한 Cloudflare와 협력하여 IPIDEA 관련 도메인 이름 확인에 개입하여 지침을 발행하고 제품을 홍보하는 능력을 더욱 약화시켰습니다.

Google은 이번 조치가 이 대규모 주거용 프록시 제공업체에 심각한 타격을 입혔다고 생각하지만 업계 전체가 여전히 빠르게 확장하고 있으며 다양한 제공업체 간에 광범위한 중복이 있어 주거용 프록시가 속임수에 의존하는 "회색 시장"으로 점차 진화하고 소비자 대역폭을 탈취하여 글로벌 간첩 및 사이버 범죄 활동을 위한 보이지 않는 채널을 제공한다고 경고했습니다. 이를 위해 Google은 업계, 규제 기관 및 사용자가 함께 협력하여 주거용 에이전트 기술 위험에 대한 연구 및 예방을 강화할 것을 촉구합니다.

사용자 수준에서 Google은 소비자에게 '유휴 대역폭 공유' 및 '네트워크 임대'를 통해 비용을 지불할 수 있다고 주장하는 애플리케이션에 대해 세심한 주의를 기울일 것을 요청합니다. 이러한 애플리케이션은 불법 프록시 네트워크 확장의 주요 채널인 경우가 많으며 자신도 모르게 홈 네트워크에 대한 새로운 공격 입구를 열 수 있기 때문입니다. Google은 사용자가 공식 앱 스토어를 통해 소프트웨어를 다운로드하고, 타사 VPN 및 프록시 애플리케이션의 권한을 주의 깊게 검토하고, Google Play Protect와 같은 내장된 보안 기능이 켜져 있는지 확인할 것을 권장합니다. 셋톱박스 등 인터넷에 연결된 기기를 구매할 때 사용자는 평판이 좋은 브랜드를 우선적으로 선택해야 합니다. 예를 들어 사용자는 Android TV 공식 웹사이트를 통해 공식 Android TV OS를 지원하고 Play Protect 인증을 통과한 기기 목록을 확인할 수 있으며, Google에서 제공하는 단계를 참조하여 손에 있는 Android 기기가 Play Protect 인증을 통과했는지 확인할 수 있습니다.

정책 및 산업 거버넌스 측면에서 구글은 주거 중개 서비스가 오랫동안 '합법적 사업'이라는 기치 아래 발전하고 성장해 왔지만 '윤리적 기원'과 '사용자 자발적성'을 주장하려면 사용자 동의에 대한 투명하고 감사 가능한 증거를 제공해야 한다고 지적했습니다. 동시에 애플리케이션 개발자는 지식이나 유도 없이 사용자 장치를 고위험 프록시 네트워크에 포함시키지 않도록 자체 통합 수익화 SDK를 검토할 책임도 있어야 합니다. Google은 모바일 플랫폼, 운영자 및 기타 기술 플랫폼에 정보 공유를 지속적으로 강화하고 모범 사례를 구현하며 불법 프록시 네트워크의 피해를 식별 및 억제할 것을 촉구합니다.

더 광범위한 보안 커뮤니티의 추적 가능성 및 탐지를 지원하기 위해 Google은 등록된 사용자에게 C2에 사용되는 다수의 의심스러운 도메인 이름, 인증서 서명 정보, 보안 팀이 관련 활동을 추적 및 차단하는 데 사용할 수 있도록 DLL, APK, EXE 등과 같은 다양한 파일 형식을 포괄하는 샘플 해시 값을 포함하여 VirusTotal의 GTI 컬렉션에서 이 작업과 관련된 포괄적인 위협 지표(IOC)를 제공했습니다.