# 스마트 가전을 점검해봐야 할지도 모른다

> Clean Markdown view of GeekNews topic #31459. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31459](https://news.hada.io/topic?id=31459)
- GeekNews Markdown: [https://news.hada.io/topic/31459.md](https://news.hada.io/topic/31459.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-07-15T16:01:56+09:00
- Updated: 2026-07-15T16:01:56+09:00
- Original source: [xeiaso.net](https://xeiaso.net/notes/2026/check-your-smart-tv/)
- Points: 1
- Comments: 1

## Topic Body

- Anubis 허니팟이 Sourceware에서 수집한 고유 IP 267만여 개 중 **89.3%가 기존 위협 목록에 없었으며**, 알려진 차단 목록만으로는 스크레이퍼 활동 대부분을 식별하기 어려움
- 챌린지 페이지에 의미상 유효하지 않은 HTML과 “Don't click me” 링크를 삽입해, 이를 따라가는 **부실한 스크레이퍼**를 무의미한 콘텐츠와 추가 링크로 유도함
- 고유 IP 2,678,193개 가운데 데이터베이스 등록 주소는 286,161개(10.7%)였고, 그중 98.6%가 abuse 범주였으며 전체 트래픽은 **229개 국가와 21,116개 ASN**에 걸쳐 있음
- 트래픽이 프록시 네트워크에 참여하는 **감염된 스마트 가전**에서 나올 가능성도 있지만, 수집 데이터만으로 실제 장치 유형이나 감염 여부를 입증할 수는 없음
- 특정 국가나 통신망에 국한되지 않은 스크레이핑에 대응하려면 Anubis 같은 **웹 애플리케이션 방화벽**이 필요하며, 근본적인 해결에는 동시에 조율된 세계적 대응이 요구됨

---

### 기존 위협 목록이 놓치는 스크레이퍼
- [Anubis reputation database](https://github.com/TecharoHQ/reputationdb)를 구축하는 과정에서 [허니팟 기능](https://anubis.techaro.lol/docs/admin/honeypot/overview)이 기록한 접근의 **80~90%** 가 기존 위협 모니터링 목록에 없는 IP에서 발생함
- [Sourceware](https://sourceware.org/)가 최근 몇 달간 수집한 데이터에는 고유 IP **2,678,193개**가 포함됨
  - 비 IP 항목이나 중복으로 제외된 주소는 없음
  - 데이터베이스 등록 주소는 286,161개로 전체의 10.7%
  - 미등록 주소는 2,392,032개로 전체의 89.3%
- 전체 입력 표는 [Appendix A: Full tables for the reputation database input](https://xeiaso.net/full-table/)에서 확인할 수 있음

### 등록된 IP의 분류와 공급자
- 데이터베이스 등록 주소 중 **abuse 범주**가 282,182개로 98.6%를 차지함
  - datacenter 7,918개(2.8%)
  - proxy 2,562개(0.9%)
  - vpn 1,264개(0.4%)
  - crawler 46개
  - tor 17개
- 별도 플래그 기준으로는 `is_datacenter` 7,918개, `is_proxy` 2,562개, `is_vpn` 1,264개, `is_crawler` 46개로 집계됨
- 공급자는 126개였으며, **netshield**가 237,945개(83.2%)로 가장 큰 비중을 차지함
  - bitwire 96,539개(33.7%), magicteamc 26,475개(9.3%), ipinsights 17,378개(6.1%), threathive 8,422개(2.9%)
  - 이 밖에 netmountains, multacom, fyvri, cbuijs, x4bnet, solispirit, dailyproxy, blackwall, hproxy, Scaleway, AWS, Alibaba Cloud, OVHcloud 등이 포함됨
  - 하나의 IP에 여러 범주나 공급자 정보가 적용될 수 있어 비율 합계는 100%를 넘음

### 국가와 네트워크 전반의 분포
- 전체 주소는 **229개 국가**에서 관측돼 특정 지역에 한정되지 않음
  - 주소 수는 브라질 270,937개, 인도 185,091개, 사우디아라비아 120,372개, 멕시코 95,449개, 튀르키예 87,258개 순으로 많음
  - 데이터베이스 등록률은 방글라데시 29.9%, 우크라이나 27.6%, 이라크 21.9%, 베네수엘라 21.3%, 파키스탄 20.0% 등으로 나타남
  - 미국은 40,828개 중 3,347개가 등록돼 8.2%를 기록함
- ISO 3166-1에 포함된 국가가 249개이고 그중 UN 회원국이 193개라는 점과 비교하면, 스크레이퍼 활동은 **전 세계에 걸쳐 있음**
- 주소는 21,116개의 **ASN**에 분포함
  - AS55836 Reliance Jio Infocomm Limited는 57,029개 중 1,749개가 등록돼 3.1%
  - AS45899 VNPT Corp는 56,910개 중 6,831개로 12.0%
  - AS14593 Space Exploration Technologies Corporation은 31,569개 중 4,597개로 14.6%
  - AS9541 Cyber Internet Services는 21,386개 중 3,696개로 17.3%
  - 표에서는 나머지 18,069개 ASN이 생략돼 있음

### Anubis 허니팟이 스크레이퍼를 가두는 방식
- Anubis는 스크레이퍼 문제의 확산 범위를 측정하기 위해 모든 챌린지 페이지에 다음과 같은 **의미상 유효하지 않은 HTML**을 삽입함

```html
&lt;script type="ignore"&gt;
&lt;a href="/.within.website/x/cmd/anubis/api/honeypot/&lt;uuidv4&gt;/init">Don't click me&lt;/a&gt;
&lt;/script&gt;
```

- 정상적인 처리 과정에서는 무시해야 할 링크지만, 이를 따라가면 생성 비용이 낮고 실질적인 정보가 없는 콘텐츠가 반환됨
  - 반환된 콘텐츠에는 다시 다른 페이지로 이어지는 링크 두 개가 들어 있음
- 이 구조는 **부실하게 작성된 스크레이퍼**를 보호 대상 웹사이트 대신 허니팟 내부로 유도하면서 문제 규모를 측정하도록 설계됨

### 스마트 가전 감염 가능성과 대응 한계
- 관측된 트래픽의 상당 부분이 프록시 네트워크에 트래픽을 제공하는 [감염된 스마트 가전](https://thehackernews.com/2026/06/free-apps-are-quietly-turning-smart-tvs.html)에서 나올 수 있음
- 다만 이는 추측에 머물며, 수집 데이터가 개별 IP의 **실제 장치 유형이나 감염 여부**를 직접 입증하지는 못함
- 국가와 ASN 전반에 분산된 문제에 실질적인 영향을 주려면 **동시에 조율된 세계적 대응**이 필요함
- 스크레이핑 규모가 충분히 광범위하므로 Anubis 같은 웹 애플리케이션 방화벽을 운영할 필요가 있음
- 공개 이후 사실과 상황이 달라졌을 수 있으므로, 불명확하거나 잘못된 부분은 성급히 결론 내리기 전에 확인해야 함

## Comments



### Comment 61861

- Author: neo
- Created: 2026-07-15T16:01:57+09:00
- Points: 1

###### [Lobste.rs 의견들](https://lobste.rs/s/slrak5/you_should_probably_check_on_your_smart) 
- **`script type=ignore`** 는 기발함. elinks 같은 도구와 스크레이퍼가 사용하는 헤드리스 Chrome 모두 이를 완전히 무시하지만, 내용 자체는 본거지로 전달되어 작업 대기열에 추가될 수 있음
- 정작 흥미로운 질문은 다루지 않음. **검사를 어떻게 수행할지**, 적대적 동작이 발견되면 무엇을 해야 할지가 궁금함  
  특히 감염된 기기가 **명령제어(C&C) 서버**와 통신하는지 탐지하는 방법을 더 알고 싶음
  - 가능한 스마트 TV 모델을 전부 파악하는 방법조차 모르는데, 각 모델의 악성코드를 검사하는 방법은 더더욱 제시하기 어려움. 그나마 할 수 있는 조언은 **무료 TV를 내세운 불법 앱**을 설치하지 말라는 것임
  - 어느 정도 **네트워크 엔지니어링** 없이는 어려워 보임. 가장 확실한 방법은 라우터에서 LAN의 출발지 기기별 트래픽을 분석하는 것임  
    전체 트래픽 양이나 접속한 서로 다른 목적지 IP의 개수를 기준으로 삼을 수 있을 듯함
- 여기서 **`abuse` 범주**는 무엇을 뜻하는지 궁금함
  - 여러 의미가 뒤섞여 있어 나눌 필요가 있지만, 보통 **이메일 스팸 발신지로 알려졌거나 FireHOL에 표시된 대상**을 뜻함. 이 파일에서 `abuse`를 검색하면 됨: https://github.com/TecharoHQ/reputationdb/blob/main/cmd/mkdatabase/sources.go
