주거용 프록시의 위협
(feistyduck.com)- 주거용 프록시는 가정용 주소나 유사한 네트워크 엔드포인트로 트래픽을 우회시켜, 데이터센터 IP 차단을 피하려는 스크래핑 수요와 맞물려 커지고 있음
- 웹사이트는 일반 사용자 접근을 열어두면서 원치 않는 자동화 트래픽을 걸러야 하며, 단일 IP나 클라우드 서버 기반 스캐닝은 빠르게 차단되기 쉬움
- 프록시 네트워크는 앱 SDK 삽입, 불충분한 동의 화면, 라우터 해킹, 악성코드가 사전 설치된 저가 기기 등으로 만들어질 수 있고, 사용자는 자신도 모르게 봇넷 일부가 될 수 있음
- 가정·기업 네트워크가 프록시 출구 노드가 되면 대역폭 소모, 웹사이트 접근 차단, 수사기관 방문 가능성, 내부 네트워크 접근 위험이 생김
- 가정에서는 중요 기기 분리와 트래픽량 모니터링이 필요하고, 기업에서는 미확인 기기 차단, 보호 DNS, 위협 인텔리전스, 트래픽 검사가 현실적인 방어 수단이 됨
왜 주거용 프록시가 쓰이는가
- 주거용 프록시는 보통 가정용 주소에 설치된 프록시를 뜻하며, 웹사이트 스크래핑과 유사한 활동에 활용됨
- 인터넷 서비스는 일반 대중에게 서비스를 제공하면서도 원치 않는 트래픽을 탐지하고 제거해야 함
- 단일 IP 주소에서 주요 웹사이트를 모니터링하면 빠르게 차단되는 경우가 많음
- 여러 클라우드 제공자의 서버 IP로 스캐닝을 넓혀도 데이터센터 트래픽은 통째로 차단되기 쉬움
- 이 빈틈을 파고드는 대안이 주거용 엔드포인트를 빌려 쓰는 방식임
합법적 사용과 악용 사이
- 스크래핑은 원치 않는 행위일 수 있지만, 그 자체가 항상 불법은 아님
- 다만 집중적인 스크래핑은 웹사이트가 방어해야 하는 운영 문제가 됨
- 사용 목적은 유료 네트워크 모니터링 같은 정당한 사례부터 범죄적 악용까지 넓게 퍼져 있음
- 웹사이트를 공격하려는 범죄자는 추적을 숨기기 위해 주거용 프록시를 쓰기도 함
- AI와 AI 에이전트 확산은 수요를 더 키움
- AI 벤더는 인터넷 콘텐츠를 학습에 활용하려고 함
- AI 사용자는 자신이 누리는 제한 없는 접근을 도구에도 주고 싶어 함
- 현재 봇이 인간보다 더 많은 인터넷 트래픽을 만든다고 여겨짐
스크래핑 경제를 바꾸려는 결제 시도
- 봇이 접근 비용을 지불하게 만들어 스크래핑 경제를 조정하는 방식이 가능한 해법으로 거론됨
- Cloudflare는 2025년에 pay-per-crawl 아이디어를 내놓았고, 이후 Coinbase와 함께 x402 standard를 만들었음
- AWS는 최근 이 결제 프로토콜을 WAF 제품에서 지원하는 기능을 추가함
네트워크 구축 방식: SDK와 불충분한 동의
- 주거용 프록시 운영에는 전 세계에 흩어진 많은 네트워크 엔드포인트가 필요함
- 겉으로는 합법적인 형태를 취하는 방식도 있음
- 휴대폰, TV처럼 대량으로 존재하는 기기용 소프트웨어 개발 키트를 만듦
- 앱 개발자에게 돈을 주고 프록시 소프트웨어를 애플리케이션에 포함하게 함
- 최악의 경우 무료 앱과 함께 프록시 코드가 조용히 배포됨
- 최선의 경우에도 최종 사용자에게 동의 화면을 보여주고 프록시 출구 노드 운영에 옵트인하게 하지만, 충분히 이해한 동의인지 의문이 남음
- Include Security의 스마트 TV가 AI 스크래핑 경제의 노드가 되는 방식에 대한 보고서가 이 구조를 설명함
- Synthient에 따르면 대부분의 피해자는 거주자임
불법적 구축 방식: 라우터 해킹과 사전 설치 악성코드
- 다른 방식은 불법적인 수단까지 포함해 가능한 모든 방법으로 네트워크를 만드는 것임
- 라우터 해킹은 여전히 효과적인 구축 수단임
- 일부 저가 기기는 주거용 프록시 악성코드가 사전 설치된 상태로 판매된 사례가 문서화됨
- 사용자가 가족 사진용 디지털 액자를 샀지만, 실제로는 트로이 목마처럼 동작해 봇넷 일부가 될 수 있음
- KrebsOnSecurity는 이런 네트워크의 운영 방식을 심층 보고서로 공개함
가정 네트워크에 생기는 피해
- 운이 좋다면 누군가 사용자의 IP 주소에서 스크래핑을 수행하고 일부 대역폭만 쓰는 수준에 그칠 수 있음
- IP 주소가 주거용 프록시 네트워크와 연결되면 일부 웹사이트에 더 이상 접근하지 못할 수 있음
- 더 나쁜 경우에는 누군가 사용자의 IP 주소를 사이버 공격 경유지로 써서 FBI나 현지 정부기관의 방문을 받을 수 있음
- 주거용 프록시 네트워크는 점점 더 범죄자가 내부 네트워크에 접근하는 통로로 쓰이고 있음
내부 네트워크 접근 위험
- 일부 제공자는 사설 IP 주소 접근을 제한한다고 주장하지만, 해당 코드는 보통 잘 작성되어 있지 않음
- 많은 Android 기반 기기는 제조사 문제 해결용으로 설계된 Android Debug Bridge를 탑재한 채 출하되는 것으로 보임
- 같은 네트워크 안에서는 이런 기기가 빠르게 루팅될 수 있음
- 기업 네트워크에서도 주거용 프록시 트래픽 증거가 늘고 있음
- Infoblox의 보고서는 보호 DNS 서비스 고객 중 최대 65%에서 주거용 프록시 네트워크로 향하는 트래픽이 있다고 밝힘
- 고객 내 탐지 비율: {p:65}
가정·기업의 방어 포인트
- 가정에서는 중요한 기기를 나머지 기기와 분리하기 위해 가상 네트워크 사용을 고려할 수 있음
- 트래픽량 모니터링도 도움이 됨
- 다만 집 안의 누군가가 TV에 새 앱을 설치할 수 있다면 확실한 해결책은 없음
- 기업 환경에서는 알 수 없는 기기를 네트워크에 허용하지 않는 것이 이상적이지만, 실제 실행은 쉽지 않음
- 흔히 보이는 주거용 프록시 네트워크를 아는 보호 DNS 서비스는 이런 트래픽을 억제하고 문제 기기를 찾는 데 도움이 됨
- 일부 기기는 DNS를 우회해 하드코딩된 IP 주소로 직접 연결할 수 있음
- 이런 경우에는 좋은 위협 인텔리전스와 기업 트래픽 검사·모니터링이 필요함
댓글과 토론
Lobste.rs 의견들
-
이런 시장을 누가 먹히게 만들었는지 참 궁금하다는 냉소가 듦 🙄
- 현실적으로 ~~주거용 프록시~~ 봇넷 문제는 업계 전체가 수십 년간 방치해 온 결과임
수억 대의 IoT 기기, 스마트 TV, 네트워크 장비가 더 이상 업데이트를 받지 않고, 제조사가 사라진 경우도 많음
일부는 애초에 악성코드를 품고 출하됐지만, 대부분은 그냥 방치되어 누구의 책임도 아니면서 모두의 문제가 됨 - 2010년대에 Netflix가 VPN 차단을 더 강하게 밀어붙였을 때부터라고 봄
- 현실적으로 ~~주거용 프록시~~ 봇넷 문제는 업계 전체가 수십 년간 방치해 온 결과임
-
홈 네트워크의 기기들이 이런 행동을 하는지, 중간자 방식으로 감시하는 것 말고 쉽게 탐지할 방법이 있는지 궁금함
- 쉬운 방법은 모르지만, 이 뉴스레터가 연결한 Krebs on Security article에서 다시 A tool provided by Synthient로 이어짐
이 도구는 내 IP 주소나 다른 IP가 주거용 프록시로 사용된 흔적이 있는지 확인해 주는 듯함
정확도는 모르겠고, 동적 IP를 쓰면 결과에 영향을 줄 가능성이 있어 보임
- 쉬운 방법은 모르지만, 이 뉴스레터가 연결한 Krebs on Security article에서 다시 A tool provided by Synthient로 이어짐
-
“많은 Android 기반 기기가 제조사 문제 해결용인 Android Debug Bridge를 켠 채 출하되고, 같은 네트워크에서 기기를 쉽게 루팅할 수 있다”는 대목에서 바로 신뢰를 접었음
- 실제로 벌어지는 일임
실험실에서 새 빌드를 테스트하거나 디버깅할 때 기기에adb remote를 쓰는 건 아주 편하고, 빠르게 반복 개발하는 상황에서 개발용 빌드와 고객 배포용 빌드를 따로 만드는 건 번거로움
나도 한 번 ADB가 활짝 열린 기기가 출하되는 걸 막은 적이 있고, 그때 꽤 시끄럽게 문제 삼았음
다른 곳에서는 그냥 넘어갔을 수도 있다고 봄
- 실제로 벌어지는 일임
-
주거용 프록시를 파는 회사 중 하나가 Bright Data이고, linked article에도 나옴
이들은 자신들이 제공하는 SDK 안에 프록시를 심는 SDK 경로를 쓴다고 함
Meta와 X가 맞서려 했지만 졌음