2026.06.18 08:37 AM
"미국 가정집이 해커들의 우회 통로로"... 저가 전자기기 수천만 대에 백도어
By 전재희
미국 가정에서 사용하는 스트리밍 기기와 디지털 액자, 모바일 애플리케이션 등 수천만 개의 전자기기가 자신도 모르는 사이 국가 배후 해커들의 사이버공격을 숨기는 통로로 이용되고 있는 것으로 나타났다.
월스트리트저널에 따르면 러시아와 중국, 이란, 북한 등과 연계된 해킹 조직들은 최근 미국 가정의 인터넷 주소를 거쳐 공격 트래픽을 보내는 '주거용 프록시 네트워크(residential proxy network)'를 적극적으로 활용하고 있다.
일부 저가형 전자기기에는 외부 사용자가 인터넷 연결을 빌려 쓸 수 있도록 하는 소프트웨어가 사전에 설치돼 있다. 이 소프트웨어는 모바일 앱이나 불법 복제 게임에도 몰래 포함되는 것으로 전해졌다.
이렇게 감염된 기기들은 거대한 비공식 클라우드 네트워크를 형성한다. 해커들은 돈을 내고 미국 가정의 인터넷 주소를 빌린 뒤, 해외에서 시작한 공격을 미국 내 정상적인 접속처럼 위장할 수 있다.
디지털 시민단체 디지털시티즌스얼라이언스(Digital Citizens Alliance)는 미국에만 이런 백도어가 약 2,000만 개 존재하는 것으로 추산했다.
마이크로소프트 해킹 추적하다 드러난 네트워크
문제의 실체는 2년여 전 마이크로소프트(Microsoft) 보안 책임자가 컴캐스트(Comcast)에 전화를 걸면서 본격적으로 드러났다.
마이크로소프트는 최고경영진의 이메일 계정에 침입한 공격을 조사하던 중 컴캐스트가 관리하는 인터넷주소(IP) 6개를 확인했다.
해당 공격은 러시아 해외정보국(SVR)과 연계된 것으로 알려진 해킹 조직 '미드나이트 블리자드(Midnight Blizzard)'의 소행으로 지목됐다.
컴캐스트 조사팀은 이 IP 주소들이 일반 고객들의 가정용 인터넷 연결이라는 사실을 확인했다. 러시아 해커들은 해외 서버에서 직접 접속하는 대신 미국 소비자들의 인터넷 연결을 거쳐 마이크로소프트 계정에 접근했다.
해외 접속이었다면 보안시스템이 경보를 울렸겠지만, 미국 가정의 IP 주소를 사용하면서 정상적인 국내 접속처럼 보이게 만든 것이다.
중국 업체 IP아이디어 네트워크 확인
컴캐스트의 조사는 2024년 2월 시작됐다.
조사 결과 문제의 IP 주소들은 중국 업체 IP아이디어(IPidea)가 운영하는 주거용 프록시 네트워크에 연결된 것으로 파악됐다.
IP아이디어는 스트리밍 셋톱박스와 디지털 액자 등 소비자용 기기에 자사 소프트웨어를 사전 설치하는 방식으로 네트워크를 확장한 것으로 전해졌다.
이후 해당 소프트웨어가 설치된 기기의 인터넷 연결을 고객들에게 빌려줬다. 예를 들어 러시아 모스크바에 있는 사용자가 미국 워싱턴주 벨링햄의 가정 인터넷을 통해 접속하는 것처럼 만들 수 있다.
컴캐스트가 추적을 확대하자 처음 확인된 IP 주소 6개는 가정과 사업장에 있는 약 75만 개 IP 주소로 구성된 대형 네트워크의 일부인 것으로 나타났다.
누푸르 데이비스(Noopur Davis) 컴캐스트 정보보안 책임자는 "엄청난 규모 때문에 더 큰 문제"라며 회사가 지금까지 확인한 위협 중 가장 우려스러운 사례 가운데 하나라고 말했다.
단순한 사기 넘어 국가 해킹에 이용
주거용 프록시 서비스 자체가 모두 불법인 것은 아니다.
기업들은 지역별 웹사이트 표시를 확인하거나 광고를 검증하고, 검색결과를 조사하는 데 이런 서비스를 사용할 수 있다.
그러나 정부와 보안업계는 최근 네트워크 규모가 급격히 커지면서 범죄와 국가 지원 해킹에 악용되는 사례도 늘고 있다고 경고한다.
브렛 레더먼(Brett Leatherman) 미 연방수사국(FBI) 사이버부문 부국장은 주거용 프록시 네트워크가 국가 배후 해커들의 주요 자원이 됐다고 말했다.
그는 "공격자들이 미국 IP 주소 공간을 확보하면 정부기관과 기업 등을 공격하는 데 유리한 위치를 차지하게 된다"고 설명했다.
미국과 영국, 독일, 일본 등 9개국 정부기관도 지난 4월 중국 정부 지원 해커들이 감염된 소비자 기기 네트워크를 이용해 작전을 수행하고 있다고 공동 경고했다.
이들은 이런 방식이 악성 활동의 출처를 특정하기 어렵게 만든다고 밝혔다.
해커가 직접 기기 감염시키던 방식도 변화
과거 중국의 국가 배후 해커들은 보안이 취약한 공유기나 인터넷 연결 기기를 직접 해킹해 공격 기반시설로 사용했다.
그러나 최근에는 이미 구축된 주거용 프록시 네트워크에 비용을 지급하고 접속하는 방식으로 바뀌고 있다고 FBI는 설명했다.
직접 기기를 감염시키지 않아도 이미 수십만~수백만 대의 가정용 기기가 연결된 네트워크를 이용할 수 있기 때문이다.
공격자가 어느 나라에 있든 미국 내 가정 인터넷을 통해 통신할 수 있어, 보안업체와 정부기관이 실제 공격자의 위치와 배후를 추적하기도 어려워진다.
감염된 스트리밍 기기로 휴대전화까지 공격
컴캐스트는 2024년 9월 주거용 프록시 네트워크가 단순히 인터넷 연결을 빌려주는 수준을 넘어 내부 네트워크 침입에도 사용될 수 있다는 사실을 확인했다.
공격자는 방화벽이 작동하는 네트워크에 접근한 뒤 하나의 기기에서 다른 기기로 이동할 수 있었다.
가정에서는 감염된 스트리밍 기기를 통해 같은 와이파이에 연결된 휴대전화가 공격받을 수 있다는 의미다.
이 휴대전화가 개인기기 사용을 허용하는 회사 내부망에 연결되면 기업의 기밀정보까지 위험해질 수 있다.
데이비스는 "이전까지 봤던 위협과 비교해 완전히 다른 수준의 변화였다"고 말했다.
구글이 차단했지만 2주 만에 재가동
구글(Google)은 지난 1월 미국 법원의 명령을 받아 IP아이디어의 네트워크 기반시설을 해체했다.
그러나 주거용 프록시 네트워크는 2주 만에 다시 운영을 시작했다.
컴캐스트는 IP아이디어가 다른 공급업체를 통해 새로운 가정용 프록시 기기를 확보했을 가능성이 있다고 분석했다.
이는 중앙 서버 일부를 폐쇄하더라도 이미 수많은 기기에 설치된 소프트웨어와 복수 공급망이 남아 있으면 네트워크가 빠르게 복구될 수 있다는 점을 보여준다.
가짜 팀스 회의로 로그인 정보 탈취
주거용 프록시 네트워크는 최근 기업의 클라우드 계정 정보를 훔치는 공격에도 적극적으로 사용되고 있다.
사이버보안 업체 크라우드스트라이크(CrowdStrike)의 애덤 마이어스(Adam Meyers) 수석부사장은 현대 해커들에게 신원정보 탈취가 가장 중요한 공격 수단이 됐으며, 주거용 프록시는 이를 뒷받침하는 핵심 기반시설이라고 말했다.
보안업체 볼렉시티(Volexity)에 따르면 미드나이트 블리자드는 최근 가짜 마이크로소프트 팀스(Microsoft Teams) 회의를 이용하는 새로운 공격을 벌이고 있다.
러시아 해커들은 지난 1년 동안 피해자를 가짜 팀스 회의에 참여시키고 마이크로소프트 365 계정 인증정보를 빼내는 방식을 사용했다.
해커들이 러시아나 다른 해외 지역에서 피해자의 계정으로 접속하면 마이크로소프트 서버가 이상 접속으로 감지할 가능성이 크다.
그러나 미국 가정의 주거용 프록시 주소를 통해 로그인하면 피해자의 평소 접속 위치와 비슷하게 보일 수 있어 경보를 피하기 쉬워진다.
정부·군사·외교기관과 언론사도 피해
볼렉시티는 이 공격 방식으로 정부기관과 군 관련 조직, 외교기관, 언론사 등이 실제로 침해된 사례를 확인했다고 밝혔다.
스티븐 어데어(Steven Adair) 볼렉시티 사장은 공격자들이 더 이상 전통적인 피싱 방식으로 비밀번호만 훔치려 하지 않는다고 설명했다.
가짜 회의와 사회공학 수법을 통해 인증 절차를 통과하고, 미국 내 정상 IP 주소를 이용해 접속하기 때문에 탐지와 차단이 매우 어렵다는 것이다.
주거용 프록시가 사용되면 기업 보안팀은 공격 트래픽을 해외 적대국이 아닌 일반 미국 소비자의 접속으로 볼 수 있다.
저가 기기와 무료 소프트웨어가 주요 통로
문제의 소프트웨어는 가격이 저렴하고 보안 검증이 부족한 전자기기에 포함되는 경우가 많은 것으로 전해졌다.
스트리밍 박스와 디지털 액자뿐 아니라 무료 모바일 앱, 저작권을 침해한 불법 복제 게임에도 주거용 프록시 프로그램이 몰래 삽입될 수 있다.
사용자는 앱이나 기기를 설치하면서 인터넷 대역폭이 제3자에게 판매된다는 사실을 알지 못하는 경우가 많다.
일부 서비스는 이용약관에 관련 내용을 작게 표시하지만, 보안 전문가들은 일반 사용자가 이를 정확히 이해하거나 인식하기 어렵다고 지적한다.
악성 사업자는 소프트웨어 존재 자체를 숨기기도 한다.
미국 가정의 IP 주소가 공격자에게 매력적인 이유
미국 가정의 인터넷주소는 국가 배후 해커들에게 특히 가치가 크다.
정부기관과 기업의 보안시스템은 러시아와 중국, 이란, 북한 등 고위험 국가에서 들어오는 접속을 차단하거나 추가 인증 대상으로 분류할 수 있다.
반면 미국 통신업체가 할당한 일반 가정용 IP 주소는 상대적으로 신뢰도가 높다.
공격자는 이를 이용해 로그인 위치를 위장하고, 특정 지역에서만 접근할 수 있는 서비스에 접속하며, 자동화 공격과 계정 탈취를 정상적인 소비자 활동처럼 보이게 할 수 있다.
해커 입장에서는 미국 가정의 인터넷 연결이 공격 목표에 접근하기 위한 일종의 위장 신분이 되는 셈이다.
소비자 기기 공급망 보안 문제 부상
이번 사태는 미국에 수입되는 저가 전자기기의 공급망 보안 문제도 드러냈다.
소비자는 기기 제조사와 부품업체, 펌웨어 개발사, 앱 공급업체가 어떤 소프트웨어를 설치했는지 확인하기 어렵다.
외관상 정상적으로 작동하는 기기라도 백그라운드에서 외부 이용자의 인터넷 트래픽을 전달할 수 있다.
보안 업데이트가 제공되지 않거나 제조사가 사라진 제품은 문제를 발견해도 수정하기 어렵다.
정부기관과 통신업체들은 개별 소비자에게 책임을 맡기는 것만으로는 수천만 대 규모의 네트워크를 해결할 수 없다고 보고 있다.
국가 해킹과 소비자 사기의 경계 무너져
주거용 프록시 네트워크는 원래 광고 사기와 자동화 계정 운영, 웹사이트 정보 수집 등에 많이 이용됐다.
그러나 국가 배후 해커들이 같은 서비스를 사용하기 시작하면서 일반 사이버범죄와 국가안보 위협의 경계가 흐려지고 있다.
국가 해킹 조직은 자체 기반시설을 구축하지 않고 상업적으로 판매되는 네트워크를 이용할 수 있다. 이 경우 네트워크 운영사가 공격 목적을 알았는지, 단순히 서비스를 판매했는지를 구분하기도 어렵다.
공격에 사용된 IP 주소의 실제 소유자는 범죄와 무관한 일반 가정일 가능성이 크다.
이 때문에 수사기관이 공격 출처를 찾아도 피해자의 집이나 소규모 사업장으로 연결되는 경우가 생긴다.
"미국 안으로 들어오는 산업 규모의 백도어"
컴캐스트 조사팀은 인터넷 연결 기기가 해킹에 취약하다는 사실을 이미 알고 있었다.
그러나 이번 사례는 외부 공격자가 우연히 취약한 기기를 감염시킨 것과 달랐다. 백도어 소프트웨어가 제품 출하 단계에서 설치되고, 이를 기반으로 대규모 상업 네트워크가 운영되고 있었다.
컴캐스트는 이를 미국 내부로 들어오는 산업적 규모의 백도어로 평가했다.
수백만 개의 가정용 기기가 공격자에게 미국 IP 주소를 제공하고, 같은 내부망에 있는 다른 기기까지 공격할 수 있다면 개인의 사생활뿐 아니라 기업과 정부기관의 보안도 위협받을 수 있다.
가정용 전자기기가 국가안보 문제로
이번 조사 결과는 평범한 가정용 전자기기가 국가안보 위협의 일부가 될 수 있다는 점을 보여준다.
사용하지 않는 스트리밍 기기나 출처가 불분명한 디지털 액자, 무료 앱 하나가 국가 배후 해커의 공격 경로로 악용될 수 있다.
미국 정부와 보안업계는 주거용 프록시 네트워크에 대한 규제와 기기 공급망 검증, 소프트웨어 공개 의무를 강화해야 한다고 보고 있다.
그러나 네트워크가 여러 국가와 공급업체, 수천만 개의 소비자 기기에 분산돼 있어 단속은 쉽지 않다.
구글이 한 사업자의 기반시설을 폐쇄했음에도 2주 만에 서비스가 재개된 사례는 개별 업체 차단만으로 문제를 해결하기 어렵다는 점을 보여준다.
국가 배후 해커들이 미국 가정의 인터넷주소를 계속 활용하면서, 사이버공격의 최전선도 정부기관과 기업 서버에서 일반 가정의 거실로 확대되고 있다.