LG 스마트 TV 앱 절반 가까이에 주거용 프록시 SDK 포함

 (spur.us)
1P by GN⁺ | ★ favorite | 댓글 1개
  • Spur Intelligence Labs가 LG webOS와 Samsung Tizen 앱 6,038개를 분석해, 가정용 IP를 제3자 트래픽 중계에 쓸 수 있는 주거용 프록시 SDK를 2,058개 앱에서 확인함
  • 스마트 TV는 항상 전원과 네트워크에 연결돼 있지만 사용자가 PC처럼 점검하지 않아, 한 번 동의한 뒤 앱을 닫아도 프록시가 계속 실행될 수 있음
  • 확인된 SDK는 Bright Data, Massive, Honeygain/Oxylabs 계열이며, 일부 앱은 게임·화면 보호기·유틸리티처럼 보이지만 실제로는 사용자의 주거용 IP를 수익화함
  • Amazon은 제3자 프록시 서비스를 돕는 앱을 금지하고 Roku도 Bright SDK류를 차단한 것으로 알려졌지만, LG와 Samsung은 동등한 공개 정책을 내놓지 않음
  • 업체들은 고객 심사와 트래픽 제한을 강조하지만, TV 사용자는 실제 트래픽 용도와 로컬 네트워크 접근 차단 여부를 직접 검증하기 어려움

스마트 TV가 프록시 호스트가 되는 구조

  • 스마트 TV 앱은 휴대폰 앱보다 사용자의 감시를 덜 받지만, 가정 내 다른 기기와 같은 홈 네트워크에 연결돼 있음
  • 배터리 소모, 셀룰러 요금 증가, 앱 전환기에서 보이는 백그라운드 활동 같은 이상 징후가 TV에서는 드러나기 어려움
  • 초기 설정 중 한 번의 동의 프롬프트가 지나가면, 사용자가 내용을 잊은 뒤에도 앱이 연결을 수익화할 수 있음
  • 시계, 어항, 화면 보호기, 조용한 게임 같은 앱은 광고를 넣으면 경험이 나빠지기 쉬워 프록시 SDK가 백그라운드 수익화 수단이 됨

동의와 수익화 방식

  • 조사 대상 SDK들은 한 번 동의를 받은 뒤 다시 묻지 않는 방식으로 동작함
  • 핵심 조건은 앱이 닫힌 뒤에도 프록시가 계속 실행될 수 있는 백그라운드 실행
  • Tizen의 Pac-Man은 Bright Data를 광고 없는 선택지로 제시함
    • 거절하면 광고 지원 게임을 계속 사용함
    • 수락하면 TV 연결이 웹 인덱싱에 사용될 수 있음
  • 사용자는 광고를 보거나, TV를 프록시 네트워크의 일부로 제공하는 선택을 하게 됨

퍼블리셔와 앱 성격

  • 프록시 SDK가 무작위 앱 개발자에게만 삽입된 구조는 아님
  • 데이터셋에서 Bright Data, Bright Data Ltd, Bright SDK는 367개 프록시 표시 앱과 연결됨
  • Honeygain UAB는 Oxylabs 자회사이며 16개 앱의 퍼블리셔로 나타남
  • 일부 앱은 일반 앱에 프록시 SDK가 들어간 형태보다, SDK가 실행될 공간을 확보하기 위한 얇은 게임·화면 보호기·유틸리티 껍데기에 가까움
  • 이런 경우 앱은 포장이고, 실제 상품은 사용자의 주거용 IP가 됨

플랫폼별 정책 차이

  • Amazon은 Device and System Abuse Policy에서 제3자 프록시 서비스를 돕는 앱을 명시적으로 금지함
  • Roku도 Bright SDK와 유사한 프록시 서비스 사용을 막은 것으로 알려짐
  • LG와 Samsung은 이와 동등한 공개 기준을 내놓지 않음
  • Amazon이 금지하고 Roku가 차단한 것으로 알려진 사업 모델이 webOS와 Tizen에서는 대규모로 확인

로컬 네트워크까지 이어지는 위험

  • TV 앱이 프록시가 되면 위험은 공인 IP를 빌려주는 수준에 그치지 않음
  • 앱은 홈 네트워크 안에서 실행되므로, 프록시 제공자가 사설·로컬 주소 요청을 허용하거나 필터링이 실패하면 내부 기기에 접근하는 거점이 될 수 있음
  • 노출될 수 있는 대상에는 라우터 관리자 패널, NAS, 프린터, 카메라, 개발자 머신, 로컬 포트에서 대기 중인 다른 앱이 포함됨
  • 2026년 1월 KrebsOnSecurity의 Kimwolf 사례에서는 주거용 프록시 네트워크를 이용해 프록시 엔드포인트 뒤의 로컬 네트워크로 터널링한 봇넷이 다뤄짐
  • Kimwolf에서는 공격자가 공개 웹 트래픽뿐 아니라 프록시 노드와 같은 LAN에 있는 기기에 접근하고 더 확산하는 방식이 확인됨

SDK 샘플에서 드러난 네트워크 경계

  • Bright Data 샘플에는 명시적인 사설·로컬 차단 목록이 포함됨
    • 127.0.0.0/8
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 169.254.0.0/16
    • 192.168.0.0/16
    • 255.255.255.255
  • 이 차단 목록은 긍정적인 신호지만, 동시에 TV가 해당 연결을 만들 수 있고 경계가 SDK의 정책 코드에 의존한다는 점을 보여줌
  • Massive 샘플은 서버가 제공한 host:port 값을 파싱하고 net.Socket으로 연결을 엶
  • Honeygain/Oxylabs 샘플은 messageType: "connect" 서버 메시지로 address.hostaddress.port를 받고, 이후 청크 메시지로 해당 연결에 바이트를 씀
  • 로컬 Massive 및 Honeygain/Oxylabs 샘플에서는 Bright Data 샘플과 비교 가능한 사설 대역 차단 목록을 찾지 못함
  • 실제 경계는 기술적 불가능성이 아니라 프록시 회사의 고객 심사, 트래픽 필터, 내부 규칙, LG·Samsung의 플랫폼 심사에 의해 유지됨

조사 방법

  • 스토어 설명이나 권한 프롬프트가 아니라, 실제 LG webOS와 Samsung Tizen 앱 패키지를 내려받아 압축을 풀고 내부 파일을 스캔함
  • 지문은 확인된 SDK 산출물을 기준으로 삼음
    • Bright Data의 brd_api.js, brd_sdk 서비스
    • Massive 클라이언트와 .massivesdk 서비스
    • Honeygain/Oxylabs SDK 파일과 서비스 이름
    • 관련 토큰 또는 패키지 이름
  • 집계된 모든 앱은 확인된 프록시 SDK 지문을 포함함

프록시 업체들의 입장

  • Bright Data는 동의가 합법적 네트워크와 악성 네트워크를 구분하며, 투명하고 준법적인 소싱·심사·거버넌스·책임 프레임워크를 통해 이를 입증할 수 있다고 밝힘
    • 독립 감사인과 보안 회사의 검토를 받는다고 함
    • 사용은 합법적이고 검증된 비즈니스, 연구, 저널리즘 목적에만 승인된다고 함
  • Massive는 소비자 측면에서 프라이버시와 보안에 중점을 둔다고 밝힘
    • 엔드포인트가 사용자에게 최소한의 영향과 인터페이스만 갖도록 설계돼 기기 소유자가 검증하기 어렵다는 점을 인정함
    • 과거에는 리소스 사용량을 조절하는 슬라이더를 제공했지만, 사용자가 제품 문제로 인식하는 자기 유발 서비스 거부 상태가 발생해 현재는 단순한 켜기·끄기 선택으로 바꿨다고 함
    • 네트워크 사용자는 합법적 비즈니스 목적 확인을 위한 KYC 절차를 거침
    • 기술 통제는 주로 서버 측에서 이뤄지며, 중간자 방식 트래픽 복호화나 모니터링은 하지 않는다고 함
  • Oxylabs는 인프라와 SDK 수준의 여러 기술 통제로 사설·로컬 네트워크 대역 접근을 제한한다고 밝힘
    • 필터링, 트래픽 검사, 로컬 차단 목록을 포함함
    • SDK 업데이트가 배포된 스마트 TV 앱에 반영되기까지 앱스토어 심사 때문에 시간이 걸릴 수 있다고 함
    • Honeygain SDK Partnership Program을 통해 배포된 승인 앱만 프록시 네트워크에 포함될 수 있다고 함
    • 제3자 침투 테스트와 보안 감사를 받았고, 로컬 네트워크 접근 방지 테스트도 포함됐다고 함

사용자에게 필요한 투명성과 통제

  • TV 앱은 거실의 기기를 조용히 주거용 프록시 인프라로 바꿀 수 없어야 함
  • 앱이 가정의 인터넷 연결을 수익화한다면 사용자는 그 의미, 연결 사용 방식, 위험과 트레이드오프를 명확히 알아야 함
  • 문제의 핵심은 주거용 프록시 네트워크의 존재 자체가 아니라, 소비자가 컴퓨터로 인식하지 않고 점검하기 어려운 기기에 대규모로 내장된다는 점임
  • TV 앱 안의 일회성 동의 프롬프트는 의미 있는 투명성, 지속적 제어, 플랫폼 감독을 대체하지 못함
  • 미성년자처럼 가정 내에서 TV를 사용하지만 동의 권한을 가져서는 안 되는 사람이 동의할 수 있을 때 위험이 커짐
  • LG와 Samsung은 주거용 프록시 SDK에 대한 명확한 정책을 세우고, 눈에 띄는 고지와 사용자 제어를 요구하며, 소비자 기기를 통해 제3자 트래픽을 중계하는 앱을 면밀히 심사할 수 있음

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 조금 원칙론적으로 말하자면, 조금만 더 내면 괜찮은 DID/상업용 TV를 살 수 있음: https://www.bhphotovideo.com/c/product/1788343-REG/samsung_q...
    몇 달 전에 샀는데 4K, 충분한 밝기, 색감도 괜찮았음
    최고급은 아니지만 Wi-Fi와 채널 표시까지 꺼뒀고, Apple TV를 TV의 CEC와 함께 써서 Apple TV를 켜면 TV가 바로 Apple 인터페이스로 켜지고, Apple 리모컨으로 끄면 TV도 꺼짐
    사실상 Apple TV 전용 화면처럼 쓰고 있고 만족함

    • 그럴 거면 굳이 프리미엄을 내지 말고 보조금이 들어간 스마트 TV를 사서 인터넷에 안 연결하면 되지 않나 싶음
      HN이나 Reddit에서 TV에 셀룰러 모뎀이 들어 있다는 막연한 추측은 있지만 아직 확인된 적은 없음
    • 일부 TCL TV는 본사 서버에 접근 가능한 네트워크에 연결하지 않으면 동작을 거부함
      다행히 Samsung S95D는 그러지 않고, 무광 OLED 화면도 좋으며 네트워크 연결이나 스마트 TV 기능 설정 없이도 잘 쓸 수 있음
      필요한 조작은 볼륨과 HDMI 입력 전환뿐이고, AppleTV 4K 두 대를 각각 미국 Apple ID와 영국 Apple ID에 묶어서 소스로 사용 중임
      언젠가 Oppo UDP-203 4K Blu-Ray 플레이어도 연결하겠지만 새집으로 이사한 지 2년 동안은 필요가 없었음
    • TV는 계속 멍청한 화면으로 두고, 뒤에 Kubuntu Linux가 돌아가는 노트북을 붙여 둠
      Chrome으로 전부 스트리밍하고, 가끔 에어 마우스와 무선 키보드를 쓰는데 아주 잘 동작함
    • Samsung의 The Frame처럼 보이는데, 무광 표면인지 궁금함
      Tizen 버전은 무엇이고 API 접근이 가능한지도 궁금함
    • 그러고 보면 왜 Apple은 TV를 한 번도 내놓지 않았는지 의문임

  • 스마트 TV는 절대 네트워크에 연결하지 않는 게 좋고, 참을 수 없이 연결하고 싶다면 방화벽이 걸린 게이트웨이 없는 VLAN에 넣어야 함
    스마트 기능 때문에 싸게 산 돈으로 중고 기업용 미니 워크스테이션을 사고 LibreELEC/Kodi 같은 걸 올려서 그 장치를 스마트 기기로 쓰면 됨
    TV를 인터넷에 붙여서 얻을 좋은 일은 절대 없음
    그리고 절대 돈을 바치는 가입자가 되지 말고, 구독도 하지 말라는 입장임

    • 대체로 동의하지만 LibreELEC나 다른 Kodi 배포판은 별로고 너무 제한적임
      최근까지는 전체 Linux 데스크톱 환경을 돌리는 게 최선이었지만, 이제는 소파에서 리모컨으로 쓰기 좋게 만든 Plasma Bigscreen[0]이 있음
      Kodi를 앱으로 실행할 수도 있고, 브라우저로 스트리밍하거나 Steam으로 게임도 할 수 있음
      [0] https://plasma-bigscreen.org/
    • 왜 절대 구독하면 안 되는지 모르겠음
      요즘 구독료가 비싸지는 건 맞지만, 한 서비스에 가입해서 원하는 걸 보고 취소한 뒤 다른 서비스로 옮길 수 있음
      Amazon을 욕할 거리는 많지만 적어도 Prime Video에서는 다른 서비스들을 그 안에서 구독하고, 아무 브라우저에서나 보고, 끝나면 확실히 쉽게 취소할 수 있음
    • 이런 조언은 전에도 들었고 보통 대안으로 Apple TV를 두는데, 그런 구성을 써 보니 리모컨을 두 개 써야 해서 별로였음
      더 나은 해결책은 TV를 루팅해서 스파이웨어와 광고웨어를 거세하는 것임
    • 내 TV가 인터넷에 연결됐던 유일한 때는 소프트웨어 업데이트를 할 때였고, 그때는 휴대폰으로 임시 Wi-Fi 핫스팟을 만드는 게 제일 쉬웠음
    • 몇 달에 한 번씩 펌웨어 업데이트 등을 확인하려고 케이블로 연결함
      그 외에는 오프라인으로 두는 데 동의함

  • 예전부터 스마트 TV에 본능적인 혐오감이 있었는데, 매년 이해를 넘어서는 새로운 인공 괴담을 보게 되면서 그 혐오가 조금씩 더 커짐

    • 인터넷 연결이 필요하고 LAN 전용 설정이나 실행을 허용하지 않는 집 안의 모든 “스마트” 기기에 대해 같은 감정임
      TV가 싸진 이유는 스마트 TV가 광고와 시청 데이터로 강하게 보조금을 받기 때문이라는 걸 사람들이 잊음
      의도적으로 또래 중 가장 저기술적인 집을 유지하고 있음
    • PC 모니터에도 오고 있음
      LG가 또 앞장서서 “스마트 게이밍 모니터” 같은 같은 헛소리를 밀고 있음

  • 기사 기준으로는 이게 LG 기본 앱이 아니라 서드파티 앱이라는 점을 강조할 만함
    제목만 보고는 내장 앱 문제인 줄 알았음

    • LG는 이미 자체 스파이웨어인 콘텐츠 인식을 돌리고 있음
    • 같은 서드파티 앱을 쓰는 다른 스마트 TV에도 같은 문제가 있는지 의문이 생김

  • 생각했던 것보다는 더 윤리적으로 보임
    동의가 아예 없거나, 프록시로 쓰인다는 실제 내용이 20쪽짜리 EULA에 묻혀 있을 줄 알았음

    • 이 정도면 꽤 합리적으로 보임
      대부분의 사용자가 별생각 없이 수락하겠지만, 이런 일을 하려면 적어도 비교적 정면으로 알리고 동의를 받는 방식임
      TV 플랫폼에서 이런 방식이 허용되지 않는 경우에는 앱들이 완전히 몰래 같은 일을 하면서 흔적까지 숨기려는지 의심하게 됨

  • “프록시로 표시된 앱이 가장 많은 게시자” 목록에서 1위가 Netanya, Israel 기반의 Desoline, 2위가 Israel 기반의 Bright Data라는 게 흥미로움

    • 스파이웨어와 iOS 해킹 도구로 꽤 알려진 나라라서 더 흥미롭긴 함
      결론을 내린 건 아님
    • 혹시 모르는 사람들을 위해 말하면 Bright Data는 예전 Luminati proxy임
      수상한 일을 많이 한 걸로 잘 알려져 있음

  • 이건 불법이어야 함

    • 어떤 부분이 불법이어야 하는지 모르겠음
    • 왜 그래야 하는지 모르겠음
      그나마 애매하게 문제 삼을 수 있는 건 동의 화면의 “인터넷에서 공개 웹 데이터를 다운로드”라는 표현이 실제로 무슨 일이 일어나는지와 관련 위험을 빠뜨린다는 점임
      그 외에는 “AI 스크래퍼 나쁨”이나 “신원 숨기기” 말고 원칙 있는 금지 근거를 만들기 어려워 보임
      Tor 중계나 VPN도 사실상 같은 일을 하지만, 실제 동작에 대한 공개가 더 명확할 뿐임

  • 스마트 TV 앱만의 문제가 아니라 모든 무료 앱의 문제임
    어떻게든 수익화해야 하고, 광고가 보이면 또 싫어하지 않나
    결국 이런 방식이 아니면 앱에 돈을 내야 함

    • 비꼬는 말인지 모르겠지만, 수익화 없이도 앱이 존재할 수 있다는 건 알고 있음
      지금도 Paint.net을 쓰고 있음
    • 문제는 유료 앱도 광고를 보여주고 또 수익화한다는 것임
    • 광고가 싫은 건 맞기도 하고 아니기도 함
      Youtube가 매출을 만들어야 하고 직원 월급도 줘야 한다는 건 이해함
      10년쯤 전처럼 클립 시작에 가끔 10초 광고 하나가 붙는 정도는 참을 수 있었음
      하지만 이제 건너뛸 수 없는 광고 두 개를 연속으로 주기적으로 틀기 시작하면서 선을 넘었고, 모든 기기에서 uBlock이나 VacuumTube를 쓰게 됨
    • 가능하면 앱에는 돈을 내지만, 어떤 경우에는 그게 불가능함
      게다가 유료 앱도 이런 짓을 안 한다고 믿어야 하는 문제가 남음

  • 오래된 Samsung 1080p LCD를 바꿀 만큼 4K 콘텐츠가 충분한지 모르겠음
    Craigslist에서는 아직도 무료 TV를 찾을 수 있음
    Costco에서 시연 모드로 돌아가는 4K TV를 보면 인상적이지만, 집에서 World Cup을 지상파나 Fios 1080p로 보면 충분히 좋아 보임
    Netflix 4K에 추가 비용을 내지 않고, Fios 콘텐츠 대부분도 4K가 아님

  • 2018년형 탈옥된 LG OLED를 정말 좋아하지만, 마음에 드는 기능들이 전부 제조사가 적극적으로 막고 싶어 하고 내가 접근하지 못하길 바라는 기능이라는 점이 씁쓸함

답변달기