63,000개 가정집 IP로 Citrix NetScaler를 정찰한 캠페인 분석. 주거용 프록시가 IP 평판 기반 보안을 무력화하는 원리와 CitrixBleed 2(CVE-2025-5777)와의 연결고리를 추적한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
보안팀의 일상은 이렇다.
위협 인텔리전스 피드에서 악성 IP 목록을 받는다. 방화벽에 넣는다. WAF에 넣는다. 차단된다.
데이터센터 IP? 차단. VPN 출구 노드? 차단. Tor 릴레이? 차단.
이 방식은 수십 년간 작동했다. 공격자의 IP는 "나쁜 동네"에서 오기 때문이다.
그런데 공격자가 옆집에서 들어오면?
2026년 1월 28일, GreyNoise의 센서가 이상한 트래픽을 감지했다. Citrix NetScaler 로그인 페이지를 향한 대규모 스캔이었다. 여기까지는 흔한 일이다.
문제는 출발지였다. 63,000개 IP, 그중 64%가(EclecticIQ 분석 기준) 일반 가정집 ISP에서 왔다. 베트남의 아파트, 아르헨티나의 주택, 멕시코의 카페. 어떤 위협 인텔리전스 피드에도 올라가 있지 않은 IP들이었다.
주거용 프록시 정찰 인프라
GreyNoise가 추적한 캠페인은 2026년 1월 28일부터 2월 2일까지, 정확히 6일 동안 진행됐다. 총 111,834 세션. 단순한 스캔이 아니라, 군사 작전처럼 단계가 나뉘어 있었다.
첫 번째 단계는 "어디에 Citrix가 있는가"를 파악하는 것이었다.
| 항목 | 상세 |
|---|---|
| 세션 수 | 109,942 |
| 대상 경로 | /logon/LogonPoint/index.html |
| IP 출처 | 64%가 주거용(EclecticIQ 보고서 기준) 프록시 (베트남, 아르헨티나, 멕시코, 알제리, 이라크) |
| 특이 사항 | Azure IP 1개(52.139.3.76)가 전체의 36%(로그 분석 기준), 즉 39,461세션을 생성 |
이 Azure IP의 User Agent는 Prometheus blackbox-exporter였다.
Prometheus는 정상적인 모니터링 도구다. 즉, 공격자는 모니터링 인프라를 활용해서 자신의 스캔을 정상 트래픽처럼 위장했다.
나머지 64%는(EclecticIQ 보고서 기준) 주거용 프록시를 통해 들어왔다. 한 IP당 평균 1~2회 요청 후 사라진다. 추적이 불가능하다.
"어디에 있는지" 알아낸 다음, "무슨 버전인지" 파악하는 단계다.
| 항목 | 상세 |
|---|---|
| 세션 수 | 1,892 |
| 대상 경로 | /epa/scripts/win/nsepa_setup.exe |
| 인프라 | AWS IP 10개 (us-west-1, us-west-2 리전) |
| User Agent | Chrome 50 (2016년 빈티지) |
| 소요 시간 | 6시간 집중 스프린트 |
EPA(Endpoint Analysis) 설치 파일을 요청하면 응답 헤더에서 정확한 NetScaler 버전을 알 수 있다. 공격자는 이걸 안다.
GreyNoise가 발견한 결정적 단서: 10개 AWS IP 모두 동일한 TCP 옵션 순서를 보였다. 이건 같은 OS 이미지에서 복제된 인스턴스라는 뜻이다. 한 사람, 또는 한 조직이 통제하는 인프라다.
공격자가 데이터센터 IP 대신 주거용 프록시를 선택한 이유는 명확하다.
| 구분 | 데이터센터 IP | 주거용 프록시 IP |
|---|---|---|
| IP 평판 | 위협 인텔리전스 피드에 등재 가능성 높음 | 등재 가능성 거의 없음 |
| 지리적 분포 | 특정 리전에 집중 | 전 세계 분산 (가정집 ISP) |
| 차단 용이성 | ASN 단위 차단 가능 | 개별 차단 시 정상 사용자도 차단 |
방화벽 입장에서 베트남 하노이의 가정용 인터넷에서 오는 HTTPS 요청은 정상 사용자와 구분할 수 없다. Rate limiting도 소용없다. 63,000개 IP가 각각 1~2번만 요청하면 어떤 임계값에도 걸리지 않는다.
이건 새로운 트렌드가 아니다. 이미 산업이 됐다.
2026년 1월, Google Threat Intelligence Group(GTIG)은 세계 최대 주거용 프록시 네트워크 중 하나인 IPIDEA를 차단했다. 조사 결과, 단 7일간 550개 이상의 위협 그룹이 이 네트워크를 사용하고 있었다. 중국, 북한, 이란, 러시아의 국가 지원 해커들이 포함돼 있었다.
같은 시기 Kimwolf 봇넷은 200만 대 이상의 안드로이드 기기를 감염시켜 주거용 프록시 노드로 전환했다. 감염된 기기의 소유자는 자신의 스마트폰이 공격 인프라의 일부가 됐다는 사실을 알지 못한다.
이 정찰 캠페인이 단순한 스캔이 아닌 이유가 있다.
2025년 6월, Citrix는 CVE-2025-5777을 공개했다. CVSS 9.3. 업계에서는 CitrixBleed 2라고 부른다.
이 취약점은 NetScaler의 메모리를 원격에서 읽을 수 있게 해준다. 세션 토큰이 메모리에 있다. 세션 토큰을 빼면 MFA를 우회할 수 있다. 인증 없이. 원격으로.
| 시점 | 사건 |
|---|---|
| 2025년 6월 17일 | Citrix 패치 발표 |
| 2025년 6월 23일 | 중국발 공격 최초 탐지 (PoC 공개 11일 전) |
| 2025년 7월 4일 | watchTowr PoC 공개 |
| 2025년 7월 9일 | CISA KEV(Known Exploited Vulnerabilities) 등재 |
| 2026년 1월 28일 | 63,000 IP 정찰 캠페인 시작 |
패치가 나온 지 7개월이 지났다. 그런데 Shodan 기준으로 인터넷에 노출된 Citrix NetScaler는 56,000대 이상이고, 그중 약 53%가 아직 패치되지 않았다.
원조 CitrixBleed()가 어떤 결과를 낳았는지 기억하는가. LockBit 랜섬웨어 그룹이 이 취약점을 악용해서 Boeing, 중국공상은행(ICBC), DP World를 공격했다.
63,000개 가정집 IP로 버전까지 파악한 지금, 공격자의 다음 단계는 뻔하다. 미패치 장비 목록이 이미 완성됐을 가능성이 높다.
이 사건이 보여주는 건 명확하다. IP 주소는 더 이상 신원 증명이 아니다.
"좋은 IP"와 "나쁜 IP"의 구분은 주거용 프록시 앞에서 무너진다. 위협 인텔리전스 피드의 업데이트 주기는 주거용 프록시의 IP 회전 속도를 따라갈 수 없다.
그렇다면 어떻게 해야 하는가.
IP가 아니라 행동을 본다.
정상 사용자가 /logon/LogonPoint/index.html에 접속한 뒤 /epa/scripts/win/nsepa_setup.exe를 요청하는 경우는 거의 없다. 이 두 경로에 대한 요청이 연속으로 발생하면, 출발지 IP와 무관하게 정찰로 판단할 수 있다.
EPA 설치 파일 경로를 통한 버전 열거를 차단해야 한다. 인증되지 않은 요청에 대해 /epa/scripts/ 경로의 접근을 제한하는 것만으로도 Phase 2 정찰을 무력화할 수 있다.
패치를 적용하는 것은 기본이다. 하지만 패치만으로는 부족하다. 패치 전에 이미 세션 토큰이 탈취됐을 수 있기 때문이다. 패치 후 모든 활성 세션을 강제 종료해야 한다.
GreyNoise는 이번 캠페인에서 사용된 IP들을 실시간으로 태깅했다. 전통적인 차단 목록이 아닌, 실시간 관찰 기반 인텔리전스가 주거용 프록시 시대에 맞는 접근이다.
63,000개 가정집 IP는 사라졌다. 흔적도 거의 없다.
하지만 그 6일간 수집된 데이터는 남아 있다. 어떤 조직의 Citrix가 어디에 있고, 무슨 버전인지. 패치됐는지, 안 됐는지.
이 정보는 곧 공격에 사용될 수 있다. 원조 CitrixBleed로 Boeing이 당했던 것처럼.
IP 차단 목록을 업데이트하는 동안, 공격자는 옆집 와이파이로 들어왔다. 이제 IP 주소가 아닌, 행동을 봐야 할 때다.
주거용 프록시(Residential Proxy)가 위험한 이유는 IP 주소가 실제 가정의 ISP에서 할당된 것이기 때문이다. 데이터센터 IP와 달리 IP 평판 데이터베이스에서 "클린"으로 분류된다. 63,000개 가정 IP를 동원한 이번 공격에서 각 IP의 요청 빈도는 분당 1-2회로, 일반 사용자의 웹 브라우징과 구별할 수 없었다.
봇넷이나 감염된 IoT 장비가 프록시 노드로 활용된다. 911.re, Bright Data 같은 상용 주거용 프록시 서비스도 존재하며, 이들의 노드 중 일부는 사용자의 동의 없이 동원된 것으로 알려져 있다. Citrix Gateway에 대한 이번 정찰은 후속 공격을 위한 사전 준비였으며, 유효한 자격증명 조합을 찾으면 VPN을 통해 기업 내부로 침투하는 것이 최종 목표였다.
63,000개 가정집 IP가 동원된 이 사건의 핵심은 주거용 프록시 네트워크다. 공격자가 데이터센터 IP를 사용하면 ASN(Autonomous System Number) 기반 필터링으로 쉽게 차단된다. 하지만 ISP가 일반 가정에 할당한 IP는 정상 트래픽과 구분이 불가능하다.
주거용 프록시 네트워크는 세 가지 방법으로 구축된다. 첫째, 무료 VPN 앱이나 브라우저 확장 프로그램을 통해 사용자의 동의(약관에 숨긴)를 받고 트래픽을 중계한다. 둘째, IoT 기기나 가정용 라우터의 취약점을 악용하여 봇넷을 구성한다. 셋째, 악성코드에 감염된 PC를 프록시 노드로 활용한다.
이 네트워크에서 IP는 자동으로 회전한다. 하나의 요청마다 다른 IP를 사용하면 IP 기반 속도 제한이 무력화된다. 63,000개 IP 풀에서 각 IP가 하루에 3-5건의 요청만 보내면 탐지 임계값 아래에 머물면서도 일일 수십만 건의 정찰이 가능하다.
Citrix ADC에 대한 정찰이 이 방식으로 수행된 이유는 인증 전 취약점의 존재 여부를 확인하기 위해서다. 취약한 버전의 Citrix 장비를 식별한 후 실제 익스플로잇은 소수의 전용 서버에서 수행된다.
이 사건 이후 Citrix는 인증 전 접근 가능한 엔드포인트의 응답에서 버전 정보를 제거하고, 로그인 시도 횟수 제한을 기본 활성화하는 패치를 배포했다. 하지만 이미 노출된 장비의 상당수는 패치 적용이 지연되었다.